1s a ochranu osobních údajů. Jaká je technická stránka zajištění důvěrnosti PD

Dnes můžete pozorovat problém ochrany osobních údajů: jsou vystaveny pronikání všeho druhu technické prostředky zpracování a přenos informací. Postiženy jsou zejména soukromé a veřejné organizace, které využívají finanční a personální záznamy. Federální zákon č. 152-FZ chrání práva a upravuje vztahy související se zpracováním osobních údajů produkovaných provozovateli osobních údajů, s automatizací nebo bez ní. Osobním údajem může být podle tohoto zákona jakákoliv informace, která se týká konkrétní fyzické osoby. Tyto údaje mohou obsahovat jméno osoby, její datum narození, adresu bydliště, rodinný a sociální a majetkový poměr, jaké má vzdělání, v jaké specializaci pracuje a jaký má příjem.

S jakými problémy se můžete potýkat?

Naše země poskytuje nejoblíbenější systémy účetnictví a personální evidence, řízení prodeje, CRM procesy. Patří mezi ně následující produkty společnosti 1C:

• "1C:Enterprise";
• "1c účetnictví";
• "1C: mzdové a personální řízení";
• "1C: Plat a personál rozpočtové instituce" a mnoho dalších podobných programů.

Databáze souborů jsou dostupné každému uživateli, takže existuje možnost kopírování informací, což zase přivádí organizaci do porušování federální zákonč. 152-FZ. Proto je nutné v 1C chránit osobní údaje, abychom předešli nepříjemným globálním následkům.

Mnoho společností se uchýlí ke speciální databázi, která je uložena na serveru SQL. Je důležité si uvědomit, že v tomto případě existuje nebezpečí: osobní údaje jsou nadále kopírovány na externí paměťová média s následným přenosem na Mobily, paměťové karty, cloudové úložiště. Odesílání odcizených informací prostřednictvím e-mailem Skype, telegram.

Většina útočníků pořizuje snímky obrazovky počítače a přenáší data z 1C do souboru třetí strany pomocí programu pro ukládání do vyrovnávací paměti. Tato metoda je považován za nejčastější a velmi často společnost trpěla právě takovou krádeží osobních údajů.

Jak ochránit firmu před krádeží důvěrných dat?

Existuje moderní systém, který poskytuje ochranu proti úniku v 1C. DeviceLock DLP je účinný způsob, jak zabránit konkrétnímu uživateli v kopírování informací. Program také detekuje fungování schránky. Nastavení systému je flexibilní, takže si můžete individuálně vybrat programy a nastavit zámek.

DeviceLock DLP je schopen detekovat a selektivně blokovat snímky obrazovky, které brání akcím konkrétních uživatelů nebo různých aplikací. Program selektivně povoluje a zakazuje přístup k určitým souborům. Osoba odpovědná za společnost obdrží upozornění na pokus o zkopírování informací na externí zařízení nebo jejich odeslání přes síť. Využijte jedinečnou nabídku na eliminaci vzniku nepříjemných následků.

Nebyly nalezeny žádné související zprávy.

V souladu s federálním zákonem č. 359-FZ ze dne 23. prosince 2010 musí být informační systémy osobních údajů do 1. července 2011 uvedeny do souladu s požadavky federálního zákona č. 152-FZ ze dne 26. června 2007 „O osobních údajích ". Upozorňujeme na odpovědi na aktuální otázky k tomuto tématu.

V souladu s tímto nařízením existují prostředky ochrany informací před neoprávněným přístupem (systém omezování přístupu k informacím, antivirová ochrana, firewally, prostředky blokování zařízení pro vstup a výstup informací, kryptografické nástroje atd.) a prostředky ochrany informace z úniku přes technické kanály (použití stíněných kabelů; instalace vysokofrekvenčních filtrů na komunikační linky; instalace aktivních šumových systémů atd.)

Soubor nezbytných opatření k ochraně práv subjektů osobních údajů, včetně volby nástrojů ochrany informací, stanoví provozovatel OÚ na základě výsledků klasifikace informačního systému osobních údajů (dále jen PDIS), na základě o objemu zpracovávaných osobních údajů a bezpečnostních hrozbách životně důležitých zájmů jednotlivce, společnosti a států.

Aby byly splněny požadavky legislativy na ochranu osobních údajů (s přihlédnutím k požadavkům vyhlášky č. 58 ruského FSTEC ze dne 5. února 2010), byla provedena speciální vylepšení technologie 1C:Enterprise 8.2 platforma, včetně subsystému řízení přístupu a registračního a účetního subsystému. Počínaje verzí 8.2.10 jsou implementovány následující funkce:

1) registrace autentizace a odmítnutí autentizace (implementováno ve verzi 8.2.9);

2) registrace změn uživatelských práv umožňuje určit, kdy byly uživateli přiděleny jaké role;

3) registrace skutečností odepření přístupu. Všechny skutečnosti o odmítnutí přístupu uživateli jsou registrovány. Například k vyhledávání hromadných pokusů o přístup ke zdrojům, které jsou uživateli nedostupné;

4) registrace přístupu k chráněným zdrojům:
- vývojář umožňuje registraci pro přístup k určitým polím na určitých metadatových objektech;
- vývojář popisuje, jaké klíčové informace by měly být zahrnuty do protokolu událostí pro vyhledávání událostí;
- systém implementuje reflexi všech skutečností přístupu ke specifikovaným informacím (např. zaměstnanec, k jehož údajům byl přístup);
- systém poskytuje možnost výběru registrovaných událostí podle metadat a dat. Například vyhledávání všech přístupů k chráněným datům pro konkrétní osobu.

S přihlédnutím k vylepšením provedeným za účelem souladu se současnou legislativou v oblasti ochrany osobních údajů je chráněn softwarový balík 1C:Enterprise verze 8.2z, což je certifikovaná verze technologické platformy 1C:Enterprise 8.2.

Použití 1C:Enterprise, 8,2z ZPK umožňuje dodržet požadavky zákona týkající se ochrany OÚ, stanovené v odst. 5 Nařízení o zajištění bezpečnosti OÚ při jejich zpracování v ISPD, schválené vyhl. vlády Ruské federace č. 781, jakož i požadavky stanovené nařízením FSTEC Ruska ze dne 5. 2. 2010 č. 58 pro třídu ISPD 1 s víceuživatelským způsobem použití a různými přístupovými právy v podmínky subsystémů pro řízení přístupu (identifikace a autentizace uživatele), evidenci a účtování (např. evidence vstupu (výstupu) subjektu přístupu do systému), zajišťování integrity (např. ., zajištění integrity ochrany znamená použití kontrolních součtů).

Nelze říci, že s použitím ZPK "1C: Enterprise, verze 8.2z" jsou splněny všechny požadavky stanovené nařízením FSTEC Ruska ze dne 5. února 2010 č. 58. Řada povinných opatření se týká organizačních a administrativních opatření (například dostupnost prostředků pro obnovu systému ochrany PD, který zajišťuje údržbu dvou kopií softwarových komponent nástrojů ochrany informací, jejich pravidelnou aktualizaci a sledování výkonu zajišťuje správce sítě, fyzickou ochranu a účtování chráněných informačních médií - nemá postoj k ZPK atd.) Je třeba dodržovat další požadavky stanovené federálním zákonem č. 152-FZ a nařízením č. 58 FSTEC Ruska implementací dalších opatření (antivirové programy, firewally atd.).

Platforma 8.2z poskytuje všechny stejné funkce jako 1C:Enterprise 8.2, včetně podpory pro práci s DBMS: MS SQL, PostgreSQL, DB2 Oracle.

Jaká certifikace byla provedena?

Společnost 1C certifikovala ZPK "1C:Enterprise 8.2z" pro shodu s požadavky pokynů:

• „Prostředky výpočetní techniky. Ochrana před neoprávněným přístupem k informacím. Indikátory zabezpečení před neoprávněným přístupem k informacím“ (Státní technická komise Ruska, 1992) - podle 5. třídy zabezpečení;
• „Ochrana před neoprávněným přístupem k informacím. Část 1. Software prostředky ochrany informací. Klasifikace podle úrovně kontroly absence nedeklarovaných schopností (Státní technická komise Ruska, 1999) - podle 4. úrovně kontroly.

Podle výsledků certifikace byl ZPK "1C:Enterprise, 8.2z" uznán jako univerzální softwarový nástroj se zabudovanými prostředky ochrany proti neoprávněnému přístupu k informacím, které neobsahují informace představující státní tajemství. Potvrdila také možnost využití ZPK k ochraně informací v informační systémy PDN do třídy 1 včetně.

Podle podmínek certifikace nejsou kladeny žádné zvláštní požadavky na konfigurace (Enterprise Accounting, Payroll and Enterprise Management atd.). Současná právní úprava ochrany OZ rovněž nestanoví požadavky na software, který není prostředkem ochrany informací. V souvislosti s výše uvedeným lze ZPK "1C:Enterprise 8.2" použít s libovolnými konfiguracemi vyvinutými na platformě 8.2.

Článek 2.12 nařízení schváleného nařízením FSTEC Ruska ze dne 05.02.2010 č. 58 stanoví, že software pro bezpečnost informací používaný v informačních systémech třídy 1 podléhá kontrole z důvodu absence nedeklarovaných schopností, zatímco článek 7 tohoto nařízení stanoví, že je nutné používat bezpečnostní softwarové informace odpovídající 4. úrovni kontroly absence nedeklarovaných schopností. Potřebu kontroly absence nedeklarovaných softwarových schopností nástrojů informační bezpečnosti používaných v informačních systémech třídy 2 a 3 určuje provozovatel (oprávněná osoba).

S ohledem na výše uvedené je povinné používání nástrojů bezpečnosti informací s kontrolou absence nedeklarovaných schopností stanoveno pouze pro ISPD třídy 1. ZPK "1C:Enterprise, 8.2z" lze tedy použít k organizaci ochrany PD v ISPD jakékoli třídy.

Postup prodeje ZPK "1C:Enterprise, verze 8.2z" je definován v informačním dopise ze dne 29. prosince 2010 č. 12891.

ZPK "1C:Enterprise, verze 8.2z" lze použít pro režimy provozu soubor-server i klient-server.

K prodeji jsou nabízeny dvě verze zabezpečeného softwarového balíčku. Rozdíl mezi těmito dvěma produkty je v distribucích softwarových produktů obsažených v balíčku. ZPK "1C:Enterprise, verze 8.2z" (X86-32) je určen pro místní počítače a 32bitové servery.

ZPK "1C:Enterprise, verze 8.2z" (x86-64) je určen pro 64bitový server. Je třeba vzít v úvahu, že tato verze komplexu obsahuje distribuční sady obou produktů.

Sada dodávky ZPK obsahuje:

• přímo distribuční sadu certifikované platformy;
• formulář s holografickou nálepkou FSTEC a kontrolním součtem;
• Specifikace;
• popis aplikace;
• popis programu;
• kopii certifikátu FSTEC.

Dokladem, který provozovatel PD systematicky vyplňuje, je formulář. Ve formě, ve které by měly být pořízeny záznamy o instalaci, výsledcích pravidelných kontrol integrity 1C:Enterprise, 8.2z ZPK, jakož i při instalaci nově vydaných certifikovaných verzí.

Za účelem certifikace nově uvolněných výpustí byla uzavřena dohoda o kontrole inspekce. V souladu s podmínkami smlouvy je čtvrtletní kontrolní kontrola zajišťována vydáním závěru o prodloužení platnosti certifikátu na odpovídající novou verzi s uvedením jeho kontrolního součtu.

Činnosti pro údržbu softwarových produktů, které nejsou nástroji pro zabezpečení informací (včetně konfigurací vyvinutých na platformě 1C:Enterprise), se netýkají činností technické ochrany důvěrných informací.

K provedení práce na nastavení správy ZPK "1C: Enterprise, 8.2z", jakož i provedení souboru prací na technické ochraně informací, se doporučuje zapojit organizace, které mají licence od FSTEC of Rusko.

Pro poskytování služeb na ochranu PD, včetně opatření pro technickou ochranu, je nutné mít příslušnou licenci od FSTEC Ruska.

Pokud je organizace omezena na organizační a administrativní dokumenty, pak licence pro technickou ochranu nejsou potřeba žádné důvěrné informace.

Je třeba také připomenout, že současná legislativa nevytváří žádné zvláštní licence pro provádění činností na ochranu osobních údajů.

Současné předpisy právní úkony v oblasti ochrany PD neobsahují žádná omezení týkající se zpracování potřebné interní dokumentace vlastními zdroji provozovatele PD. Jedinou výjimkou je práce na vytvoření modelu ohrožení. V souladu s pokyny FSTEC Ruska musí být model ohrožení sestaven odborníky. V současné době přitom panuje nejistota v uznání konkrétního specialisty za odborníka.

Přístup zástupců třetích organizací (auditoři, programátoři, software pro údržbu atd.) k PD musí být přísně regulován interní dokumenty Operátor PD. Postup při zajišťování bezpečnosti PD je stanoven organizačními opatřeními včetně smluvních podmínek. Pokud vznikne potřeba v rámci uzavření smlouvy mezi dvěma právnickými osobami zpřístupnit osobní údaje provozovatele nebo je přenést, pak je při sjednávání podmínek takové smlouvy nutné stanovit podmínky pro zachování mlčenlivosti při organizování práce s PD a zajištění opatření k ochraně osobních údajů (např. , stanovení podmínek uchovávání, přijímání osob apod.) Lze doporučit uzavření smlouvy o mlčenlivosti se zákazníky, jakož i dohod o mlčenlivosti o osobních údajích se zaměstnanci zhotovitele. Kromě toho by měl být postup pro poskytování údajů a předávání PD a v případě potřeby přístup třetím stranám stanoven v nařízeních o ochraně PD.

Problém ochrany osobních údajů se neustále zhoršuje pronikáním technických prostředků zpracování a přenosu informací do všech sfér našeho života. Tento problém se týká zejména soukromých a vládní organizace aktivně využívat finanční a personální účetní systémy.

Federální zákon č. 152-FZ upravuje vztahy související se zpracováním osobních údajů provozovateli osobních údajů, a to s využitím automatizačních nástrojů nebo bez nich.

Osobním údajem se podle 152 zákona rozumí jakákoli informace týkající se určitého nebo na základě takové informace určeného subjektu osobních údajů (fyzické osobě). Zejména: celé jméno, rok, měsíc, datum narození, adresa, rodinný a sociální stav, vzdělání, povolání a příjem.

V naší zemi jsou nejoblíbenější systémy účetnictví a personální evidence, prodeje, CRM procesy jsou produkty společnosti "1C", jako například: "1C: Enterprise", "1C: Accounting", "1C: Platy a personální management", "1C: Plat a personál rozpočtové instituce" atd.

Souborové databáze produktů 1C jsou snadno přístupné všem uživatelům a v důsledku toho může každý uživatel, který má právo pracovat v 1C, zkopírovat všechna data a přivést tak organizaci do porušení 152-FZ.

I když je produkt 1C nakonfigurován pro práci s databázemi umístěnými na SQL serveru (Microsoft SQL Server nebo PostgreSQL), existuje riziko krádeže osobních údajů prostřednictvím exportu informací do externích souborů a jejich následného zkopírování na mobilní média (USB disky, flash disky, paměťové karty), do síťového cloudového úložiště nebo zaslané e-mailem, Skype nebo telegramem.

Kromě toho nezapomeňte na možnost „pořizovat snímky obrazovky“ (pořizovat snímky obrazovky) a přenášet data z 1C do souboru třetí strany prostřednictvím schránky. Jedná se o jednu z nejčastějších metod krádeže důvěrných dat z informačních systémů.

DeviceLock DLP pomáhá předcházet únikům dat, když uživatel kopíruje důvěrná informace mezi dokumenty a aplikacemi prostřednictvím schránky (schránky). Flexibilní zásady DeviceLock DLP selektivně blokují a protokolují operace přenosu dat přes schránku mezi aplikacemi (například od „1C: Mzdy a personál rozpočtové instituce“ po MS Excel). DeviceLock DLP selektivně blokuje snímky obrazovky („snímky obrazovky“), a to jak pro jednotlivé uživatele, tak pro různé aplikace.

DeviceLock DLP umožňuje selektivně povolit a zakázat přístup k určitým typům souborů (zejména k databázím souborů 1C) v době pokusu o jejich zkopírování na externí zařízení nebo jejich odeslání přes síť.

DeviceLock DLP je efektivní řešení k ochraně osobních údajů uložených v systému 1C před únikem.

Chráněný softwarový balíček "1C:Enterprise 8.3z" (x86-64). 64bitová verze.

Struktura zahrnuje certifikovanou verzi technologické platformy „1C:Enterprise 8.3“ a sadu dokumentace.

"1C:Enterprise 8.3z" je certifikován v systému certifikace informační bezpečnosti pro požadavky na bezpečnost informací č. ROSS RU.0001.01BI00 a má certifikát shody č. 3442 (vydaný FSTEC Ruska dne 2. září 2015). Podle certifikátu výrobek splňuje požadavky řídícího dokumentu "Ochrana před neoprávněným přístupem k informacím. Část 1. Software pro bezpečnost informací. Klasifikace podle úrovně kontroly nedeklarovaných schopností" (Státní technická komise Ruska, 1999) - podle 4. úrovně kontroly řídící dokument "Počítačová zařízení . Ochrana před neoprávněným přístupem k informacím. Indikátory zabezpečení proti neoprávněnému přístupu k informacím "(Státní technická komise Ruska, 1992) - podle 5. třídy zabezpečení při sledování návod k obsluze uvedený v části 12 formuláře, který je součástí sady produktu.

Certifikované instance platformy jsou označeny značkami shody od č. K 605432 do K 615431.

Všechny konfigurace vyvinuté na platformě 1C:Enterprise 8.3 (například 1C:Management výrobní závod“ nebo „1C: Salary and Personnel Management 8“ atd.), lze použít k vytvoření informačního systému osobních údajů libovolné třídy a není nutná další certifikace aplikovaných řešení.

Účely a postup používání chráněného softwarového balíčku "1C:Enterprise, verze 8.3z"

Pro zajištění bezpečnosti osobních údajů v souladu se Složením a obsahem organizačních a technická opatření o zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů, schváleného nařízením FSTEC Ruska ze dne 18. února 2013 č. 21, v informačních systémech osobních údajů všech stupňů zabezpečení. ZPK „1C:Enterprise, verze 8.3z“ lze využít jak v organizacích, které jsou provozovatelem osobních údajů a zpracovávají osobní údaje samostatně, tak v organizacích, které poskytují služby pro vedení ISPD více provozovatelů. ZPK "1C:Enterprise, verze 8.3z" lze použít při zpracování informací pro jednoho právnická osoba nebo podnikatel, a pro skupinu společností (holding).

Postup pro prodej softwarového produktu chráněný softwarový balíček "1C:Enterprise, verze 8.3z"

ZPK „1C:Enterprise, verze 8.3z“ je povoleno zakoupit pouze k registrovaným softwarovým produktům systému „1C:Enterprise“, včetně produktů „1C-Jointly“.

Pokud je pro produkt, pro který je zakoupen ZPK 1C:Enterprise, verze 8.3z, zavedena povinná služba podpory informačních technologií (ITS), musí mít registrovaný uživatel v době zakoupení ZPK předplatné ITS.

Sada dodávky ZPK obsahuje:

• přímo distribuční kit certifikované platformy na disku;
• nálepka FSTEC Ruska;
• formulář kontrolního součtu;
• chráněná registrační karta produktu;
• Specifikace;
• popis programu;
• popis aplikace;
• kopii certifikátu FSTEC.

DÁVEJ POZOR:

ZPK „1C:Enterprise, verze 8.3z“ lze použít pouze v případě, že existují stávající licence a bezpečnostní klíče jako součást dříve zakoupených softwarových produktů „1C:Enterprise 8“;

použití ZPK „1C:Enterprise, verze 8.3z“ nevyžaduje přeregistraci dříve zakoupených licencí;

BEZPEČNOSTNÍ KLÍČE NEJSOU SOUČÁSTÍ DODÁVKY ZPK "1C:Enterprise, verze 8.3z"

Postup aktualizace chráněného softwarového balíčku

1C bude systematicky certifikovat nově vydané verze ZPK 1C:Enterprise, verze 8.3z. Aby bylo možné přijímat aktualizace certifikované platformy, 1C zavádí poplatek za roční údržbu.

Je poskytován následující způsob získávání aktualizací: vlastní předplatné na 6 nebo 12 měsíců na webu http://www.online.1c.ru pro příjem aktualizací v v elektronické podobě(Informace na webu jsou zveřejňovány při vydávání aktualizací);

Udržovací poplatek za jeden rok (první rok) od data odeslání ze skladu "1C" certifikované platformy není účtován.

Aktualizační sada bude obsahovat aktuální informace o organizaci ochrany osobních údajů metodický návod a vysvětlivky.

Náklady na placené předplatné: Aktualizaci ZPK "1C: Enterprise 8.3z" (ONLINE předplatné) na 6 měsíců a 12 měsíců lze vyjasnit s manažerem naší organizace.

Pokud je pro produkt, ke kterému je CPK zakoupena, zavedena povinná služba podpory informačních technologií (ITS), pak musí mít registrovaný uživatel předplatné ITS v době nákupu aktualizace 1C:Enterprise, verze 8.3z.

Dne 29. května 2014 se v Moskvě na 1C konala přednáška: Přednášky (Moskva, Selezněvskaja ul., 34). Naši čtenáři, kteří se přednášky nemohli zúčastnit, zasílali své dotazy v rámci stejnojmenné internetové konference. Během akce Yuri Kontemirov, vedoucí oddělení pro ochranu práv subjektů osobních údajů Roskomnadzor, a Irina Baimakova, expertka z 1C, odpovídali na otázky týkající se ochrany osobních údajů a také analyzovali hlavní chyby identifikované Roskomnadzor při provádění kontrolních opatření.

Uživatel kot : 1C:Enterprise 8.2z pro malé a střední podniky. Medicína, státní zaměstnanci, armáda...? Komu a k čemu je tato platforma určena? V uživatelském režimu by to mělo být zanořeno s oprávněními. Z připojení třetí strany pomocí DBMS?

Už 4 roky tuším, že jde o prosté pumpování peněz analogicky s "problémem roku 2000". Když jste přišli, spustili jste na počítači program, ten něco udělal, řekl jste, že je vše v pořádku a máte zaplaceno.

Irina Baimaková : Požadavky spolkového zákona „O osobních údajích“ se vztahují na všechny provozovatele osobních údajů, tzn. jakákoli organizace, ve které dochází ke zpracování osobních údajů. Ano, skutečně, požadavky na ochranu osobních údajů se mohou v závislosti na kategorii údajů a jejich objemu výrazně lišit.

: Co je na verzi 8.2z tak zvláštního? Proč jsou v něm osobní údaje chráněny a co je z hlediska ochrany osobních údajů v jiných verzích osmi programů špatně?

Irina Baimaková : ZPK "1C:Enterprise, verze 8.2z" je certifikovaná verze technologické platformy 1C:Enterprise 8.2. Mezi certifikovanou verzí a běžnou verzí nejsou žádné funkční rozdíly. Vylepšení provedená s ohledem na požadavky FSTEC Ruska jsou implementována jak v běžné, tak v certifikované verzi technologické platformy.

Použití ZPK „1C:Enterprise, verze 8.2z“ vám umožňuje splnit požadavek stanovený článkem 2, článkem 19 federálního zákona „o osobních údajích“ ve smyslu povinného používání nástrojů bezpečnosti informací, které prošly posouzením shody v vztah k osobním údajům zpracovávaným pomocí softwarových produktů 1C.

Neregistrovaný uživatel : Opravdu nechápu, jak se program může stát všelékem v oblasti ochrany osobních údajů. Co takhle notoricky známé lidský faktor? V programu přece pracují lidé.

Irina Baimaková : V tomto případě nemůžeme říci, že program je všelékem. Zabezpečený softwarový balík „1C:Enterprise, verze 8.2z“ je jedním ze stavebních kamenů, které umožňují vybudovat systém informační bezpečnosti a zajistit soulad s požadavky aktuální legislativy Ruské federace v oblasti ochrany osobních údajů.

Neregistrovaný uživatel : Vyskytly se případy úniku dat chráněných 1s?

Irina Baimaková : Takové údaje nemám.

Neregistrovaný uživatel : Nese 1C nějakou odpovědnost za ztrátu a únik dat?

Irina Baimaková : Odpovědnost za ztrátu dat nese provozovatel osobních údajů.

Neregistrovaný uživatel : Kdo potřebuje používat ZPK "1C:Enterprise, 8.2z"? Co je součástí balíčku ZPK?

Irina Baimaková

Balíček ZPK "1C:Enterprise, verze 8.2z" obsahuje distribuční sadu technologické platformy, formulář, dokumentaci.

Neregistrovaný uživatel : Co jiného softwarových produktů lze použít k ochraně osobních údajů?

Irina Baimaková : Na trhu existuje značné množství nástrojů pro bezpečnost informací. Potřeba použití konkrétního produktu závisí na zjištěných aktuálních hrozbách a požadavcích na ochranu osobních údajů u konkrétního provozovatele.

Neregistrovaný uživatel : Jaká hlavní potenciální nebezpečí vidíte pro osobní údaje? Co přesně ochrana zaručuje nebo vylučuje?

Jurij Kontemirov : Hlavním nebezpečím je únik a nelegální šíření osobních údajů, které může vést k Negativní důsledky pro člověka zásah do jeho soukromí. Skutečnou ochranu osobních údajů je možné zaručit pouze s integrovaným přístupem k organizaci ochrany informací, přičemž je třeba věnovat pozornost Speciální pozornost"lidský faktor.

Neregistrovaný uživatel : Jak často se podle vás malé firmy potýkají s únikem účetních dat?

Jurij Kontemirov : Informace k této problematice bohužel nemám.

Neregistrovaný uživatel : Proč se "1C:Enterprise 8.2z" nazývá chráněný? Jaký je jeho zásadní rozdíl od ostatních produktů?

Irina Baimaková : V tomto případě je "chráněno" jméno, tzn. ověřeno zkušební laboratoř za absenci nedeklarovaných schopností a splnění dalších požadavků stanovených FSTEC Ruska.

ZPK "1C:Enterprise, verze 8.2z" je speciální produkt pro zajištění požadavků aktuální legislativy na osobní údaje organizací a podnikatelů využívajících softwarové produkty 1C.

Uživatel Kaufen : Organizace zakoupila ZPK "1C: Enterprise 8.2z". Jaké jsou hlavní rozdíly mezi platformou a 1C:Enterprise 8.2, kromě certifikátu FSTEC? Setkal se někdo s takovou platformou?

Irina Baimaková : ZPK "1C: Enterprise, verze 8.2z" - certifikovaná verze technologické platformy 1C: Enterprise 8.2. Mezi certifikovanou verzí a běžnou verzí nejsou žádné funkční rozdíly.

Hlavním rozdílem je, že certifikovaná verze je ověřena zkušebnou a potvrzuje shodu s požadavky uvedenými v certifikátu a obsahuje také kontrolní součty uvedené ve formuláři 1C:Enterprise, verze 8.2z ZPK.

Neregistrovaný uživatel : Jsme rozpočtová instituce. Existuje modifikace ZPK "1C:Enterprise 8.2z" speciálně pro státní zaměstnance a kolik stojí verze s podporou?

Irina Baimaková : ZPK "1C:Enterprise, verze 8.2z" je certifikovaná verze technologické platformy 1C:Enterprise 8.2, kterou lze použít s libovolnými standardními konfiguracemi, včetně pro rozpočtové instituce(například „1C: Plat a personál veřejné instituce"," 1C: Účetní oddělení státní instituce").

Postup prodeje a aktualizace ZPK 1C: Enterprise verze 8.2z" je definován v informačním dopise 1C č. 12891. Najdete jej na následujícím odkazu -http://1c.ru/news/info.jsp?id =12891

Neregistrovaný uživatel : Oznámení o přednášce a internetové konferenci hovoří o hlavních chybách zjištěných Roskomnadzorem při zavádění kontrolních opatření. Zajímalo by mě o tom více, jaké chyby oddělení nejčastěji zjišťuje?

Jurij Kontemirov : Většina typická porušení zákony odhalené v průběhu kontrolních akcí Roskomnadzoru se odrážejí ve výročních zprávách zveřejňovaných na webových stránkách ministerstva.

Neregistrovaný uživatel : Řekněte nám prosím o certifikaci ZPK "1C:Enterprise, verze 8.2z".

Irina Baimaková : Otázky týkající se cílů, postupu, výsledků certifikace prováděné 1C jsou podrobně diskutovány a uvedeny na webových stránkách buh.ru, včetně článku „Certifikace programů za účelem dodržení právních předpisů o ochraně osobních údajů“ o primární certifikaci v 2010 a v článku "Ochrana osobních údajů - 2011 až 2013 nebo dvouleté změny" o certifikaci provedené v roce 2013 a obnovení certifikátu.

Neregistrovaný uživatel : Potřebujete podle Vás nová opatření k zamezení úniku osobních údajů a zvýšení úrovně jejich ochrany? V případě potřeby, jaké to jsou?

Jurij Kontemirov : Aby se zabránilo úniku osobních údajů, je důležitý rozumný integrovaný přístup a zvláštní pozornost by měla být věnována „lidskému“ faktoru.

Neregistrovaný uživatel : Má smysl používat takové softwarové produkty pro jednotlivé podnikatele a malé firmy?

Irina Baimaková : V souladu s pod. 3, odstavec 2 článku 19 federálního zákona ze dne 27. července 2006 č. 152-FZ "O osobních údajích", použití nástrojů zabezpečení informací, které prošly postupem posuzování shody v souladu se stanoveným postupem, je jedním z opatření k zajištění bezpečnosti osobních údajů při jejich zpracování.

Podle požadavků nařízení vlády č. 1119 ze dne 1. listopadu 2012 je používání nástrojů informační bezpečnosti, které prošly řízením pro posouzení shody s právními požadavky Ruská Federace v oblasti informační bezpečnosti je povinný v případě, kdy je použití takových nástrojů nezbytné k neutralizaci skutečných hrozeb. Na základě modelu ohrožení je tak možné určit potřebu nebo absenci potřeby použití nástrojů ochrany informací, které prošly posouzením shody, včetně ZPK 1C:Enterprise verze 8.2z.

Použití ZPK "1C:Enterprise, verze 8.2z" umožňuje splnit požadavky současné legislativy popsané výše, stejně jako řadu požadavků stanovených nařízením FSTEC Ruska ze dne 18. února 2013 č. 21 , za nejnižší cenu.

Neregistrovaný uživatel : Jaké jsou nepříznivé dopady úniku dat? Například pro jednotlivé podnikatele bez zaměstnanců.

Irina Baimaková : Hlavním nebezpečím je únik a nelegální šíření osobních údajů, které může mít pro člověka negativní důsledky, zásah do jeho soukromí.

Pokud jednotlivý podnikatel nemá zaměstnance, a proto PD nezpracovávají zaměstnanci ani jiní Jednotlivci, pak v tomto případě lze jen stěží předpokládat možný únik PD.