1 și protecția datelor cu caracter personal. Care este partea tehnică a asigurării confidențialității PD

Astăzi puteți observa problema protecției datelor cu caracter personal: acestea sunt expuse pătrunderii a tot felul de mijloace tehnice prelucrarea si transmiterea informatiilor. În mod deosebit sunt afectate organizațiile private și publice care utilizează financiar și evidența personalului. Legea federală nr. 152-FZ protejează drepturile și reglementează relațiile legate de prelucrarea datelor cu caracter personal produse de operatorii de date cu caracter personal, cu sau fără automatizare. Potrivit acestei legi, datele personale pot fi orice informație care se referă la o anumită persoană fizică. Aceste date pot indica numele persoanei, data nașterii acesteia, adresa de reședință, statutul familial și social și patrimonial, ce studii are, ce specialitate lucrează și ce venituri are.

Cu ce ​​probleme te poti confrunta?

Țara noastră oferă cele mai populare sisteme de contabilitate și evidență a personalului, managementul vânzărilor, procese CRM. Acestea includ următoarele produse ale companiei 1C:

• „1C: Întreprindere”;
• „1c contabilitate”;
• „1C: managementul salariilor și al personalului”;
• „1C: Salariul și personalul unei instituții bugetare” și multe alte programe similare.

Bazele de date de fișiere sunt disponibile pentru fiecare utilizator, astfel încât există posibilitatea de a copia informații, ceea ce, la rândul său, aduce organizația sub încălcare. lege federala Nr. 152-FZ. Prin urmare, este necesar să se protejeze datele personale în 1C pentru a preveni consecințele globale neplăcute.

Multe companii recurg la o bază de date specială care este stocată într-un server SQL. Este important de înțeles că în acest caz există un pericol: datele personale continuă să fie copiate pe medii de stocare externe, cu transfer ulterior către Telefoane mobile, carduri de memorie, Stocare in cloud. Trimiterea informațiilor furate prin e-mail Skype, Telegram.

Majoritatea atacatorilor fac capturi de ecran ale computerului și transferă date de la 1C într-un fișier terță parte folosind un program de tamponare. Aceasta metoda este considerată cea mai comună și foarte des compania a suferit tocmai de la un astfel de furt de date cu caracter personal.

Cum să protejezi o companie de furtul de date confidențiale?

Există sistem modern, care oferă protecție împotriva scurgerilor în 1C. DeviceLock DLP este o modalitate eficientă de a împiedica un anumit utilizator să copieze informații. Programul detectează și funcționarea clipboard-ului. Setările sistemului sunt flexibile, astfel încât puteți selecta individual programe și puteți seta o blocare.

DeviceLock DLP este capabil să detecteze și să blocheze selectiv capturile de ecran care împiedică acțiunile anumitor utilizatori sau ale diverselor aplicații. Programul permite și interzice selectiv accesul la anumite fișiere. Responsabilul companiei primește o notificare despre încercarea de a copia informații pe dispozitive externe sau de a le trimite prin rețea. Profită de o ofertă unică pentru a elimina apariția consecințelor neplăcute.

Nu s-au găsit știri similare.

În conformitate cu Legea federală nr. 359-FZ din 23 decembrie 2010, până la 1 iulie 2011, sistemele de informare cu date cu caracter personal trebuie aduse în conformitate cu cerințele Legii federale nr. 152-FZ din 26 iunie 2007 „Cu privire la datele cu caracter personal ". Vă aducem în atenție răspunsurile la întrebările curente pe această temă.

În conformitate cu acest Ordin, există mijloace de protejare a informațiilor împotriva accesului neautorizat (un sistem de restricționare a accesului la informații, protecție antivirus, firewall-uri, mijloace de blocare a dispozitivelor de intrare-ieșire a informațiilor, instrumente criptografice etc.) și mijloace de protecție. informații de la scurgeri prin canale tehnice (utilizarea cablurilor ecranate; instalarea de filtre de înaltă frecvență pe liniile de comunicație; instalarea sistemelor active de zgomot etc.)

Un set de măsuri necesare pentru protejarea drepturilor persoanelor vizate de date cu caracter personal, inclusiv alegerea instrumentelor de protecție a informațiilor, este determinat de operatorul PD pe baza rezultatelor clasificării sistemului de informații cu date cu caracter personal (denumit în continuare PDIS), pe baza privind volumul datelor cu caracter personal care sunt prelucrate și amenințările de securitate la adresa intereselor vitale ale individului, ale societății și ale statelor.

Pentru a respecta cerințele legislației privind protecția datelor cu caracter personal (ținând cont de cerințele Ordinului nr. 58 al FSTEC din Rusia din 5 februarie 2010), au fost aduse îmbunătățiri speciale tehnologice 1C:Enterprise 8.2. platformă, inclusiv în subsistemul control acces și subsistemul înregistrare și contabilitate. Începând cu versiunea 8.2.10, sunt implementate următoarele caracteristici:

1) înregistrarea autentificării și refuzul autentificării (implementat în versiunea 8.2.9);

2) înregistrarea modificărilor drepturilor utilizatorului vă permite să determinați când ce roluri au fost atribuite utilizatorului;

3) înregistrarea faptelor de refuz de acces. Toate faptele de refuz de acces la utilizator sunt înregistrate. De exemplu, pentru a căuta încercări în masă de a accesa resurse care sunt inaccesibile utilizatorului;

4) înregistrarea accesului la resursele protejate:
- dezvoltatorul permite înregistrarea pentru a accesa anumite câmpuri pe anumite obiecte de metadate;
- dezvoltatorul descrie ce informații cheie ar trebui incluse în jurnalul de evenimente pentru a căuta evenimente;
- sistemul implementează o reflectare a tuturor faptelor de acces la informațiile specificate (de exemplu, angajatul ale cărui date au fost accesate);
- sistemul oferă posibilitatea de a selecta evenimentele înregistrate prin metadate și date. De exemplu, căutarea tuturor acceselor la date protejate pentru o anumită persoană.

Ținând cont de îmbunătățirile aduse în vederea conformării cu legislația actuală în domeniul protecției datelor cu caracter personal, un pachete software 1C:Enterprise versiunea 8.2z, care este o versiune certificată a platformei tehnologice 1C:Enterprise 8.2.

Utilizarea 1C:Enterprise, 8.2z ZPK vă permite să respectați cerințele legii privind protecția PD, prevăzute la paragraful 5 din Regulamentul privind asigurarea securității PD la prelucrarea acestora în ISPD, aprobat prin Decret. al Guvernului Federației Ruse nr. 781, precum și cerințele prevăzute de Ordinul FSTEC al Rusiei din 05.02.2010 nr. 58 pentru clasa ISPD 1 cu un mod de utilizare multi-utilizator și drepturi de acces diferite în termenii subsistemelor pentru controlul accesului (identificarea și autentificarea utilizatorului), înregistrarea și contabilizarea (de exemplu, înregistrarea intrării (ieșirii) subiectului de acces la sistem), asigurarea integrității (de exemplu ., asigurarea integrității protecției înseamnă folosirea sumelor de control).

Este imposibil de spus că odată cu utilizarea ZPK „1C: Enterprise, versiunea 8.2z” sunt implementate toate cerințele stipulate de Ordinul FSTEC al Rusiei din 05 februarie 2010 nr. 58. O serie de măsuri obligatorii se referă la cele organizatorice și administrative (de exemplu, disponibilitatea mijloacelor pentru restabilirea sistemului de protecție PD, care prevede întreținerea a două copii ale componentelor software ale instrumentelor de protecție a informațiilor, actualizarea periodică a acestora și monitorizarea performanței ar trebui să fie furnizate de administratorul de rețea, protecția fizică și contabilizarea mediilor de informații protejate - nu are atitudine față de ZPK etc.) Trebuie respectate alte cerințe stipulate de Legea federală nr. 152-FZ și Ordinul nr. 58 al FSTEC din Rusia prin implementarea altor măsuri (programe antivirus, firewall-uri etc.).

Platforma 8.2z oferă toate aceleași caracteristici ca și 1C:Enterprise 8.2, inclusiv suport pentru lucrul cu DBMS: MS SQL, PostgreSQL, DB2 Oracle.

Ce certificare s-a făcut?

Compania 1C a certificat ZPK „1C:Enterprise 8.2z” pentru conformitatea cu cerințele ghidurilor:

• „Mijloace de tehnologie informatică. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate din accesul neautorizat la informații” (Comisia Tehnică de Stat a Rusiei, 1992) - conform clasei a 5-a de securitate;
• „Protecție împotriva accesului neautorizat la informații. Partea 1. Software mijloace de protectie a informatiilor. Clasificarea după nivelul de control a absenței capacităților nedeclarate (Comisia Tehnică de Stat a Rusiei, 1999) - după al 4-lea nivel de control.

Conform rezultatelor certificării, ZPK „1C:Enterprise, 8.2z” a fost recunoscut ca un instrument software de uz general cu mijloace de protecție încorporate împotriva accesului neautorizat la informații care nu conțin informații care constituie secret de stat. De asemenea, a confirmat posibilitatea de a utiliza ZPK pentru a proteja informațiile în sisteme de informare PDN până la clasa 1 inclusiv.

Conform termenilor certificării, nu există cerințe speciale pentru configurații (Contabilitatea întreprinderii, Managementul salariilor și întreprinderii etc.). Legislația actuală privind protecția PD nu prevede, de asemenea, cerințe pentru software care nu este un mijloc de protecție a informațiilor. În legătură cu cele de mai sus, ZPK „1C:Enterprise 8.2” poate fi utilizat cu orice configurații dezvoltate pe platforma 8.2.

Clauza 2.12 din Regulamentul aprobat prin Ordinul FSTEC al Rusiei din 05.02.2010 nr. 58 prevede că software-ul de securitate a informațiilor utilizat în sistemele informatice de clasa 1 este supus controlului pentru absența capacităților nedeclarate, în timp ce clauza 7 din acest ordin stabilește că este necesară utilizarea informațiilor software de securitate corespunzătoare celui de-al 4-lea nivel de control al absenței capacităților nedeclarate. Necesitatea controlului absenței capacităților software nedeclarate ale instrumentelor de securitate a informațiilor utilizate în sistemele informatice din clasele 2 și 3 este determinată de operator (persoană autorizată).

Având în vedere cele de mai sus, utilizarea obligatorie a instrumentelor de securitate a informațiilor cu controlul absenței capacităților nedeclarate este prevăzută doar pentru ISPD-urile de clasa 1. Astfel, ZPK „1C:Enterprise, 8.2z” poate fi folosit pentru a organiza protecția PD în ISPD de orice clasă.

Procedura de vânzare a ZPK „1C:Enterprise, versiunea 8.2z” este definită în scrisoarea de informare din 29 decembrie 2010 nr. 12891.

ZPK „1C:Enterprise, versiunea 8.2z” poate fi utilizat atât pentru modul de operare server de fișiere, cât și pentru modul client-server.

Două versiuni ale pachetului software securizat sunt oferite spre vânzare. Diferența dintre cele două produse este în distribuțiile produselor software incluse în pachet. ZPK „1C:Enterprise, versiunea 8.2z” (X86-32) este destinat computerelor locale și serverelor pe 32 de biți.

ZPK „1C:Enterprise, versiunea 8.2z” (x86-64) este proiectat pentru un server pe 64 de biți. Trebuie luat în considerare faptul că această versiune a complexului conține kituri de distribuție ale ambelor produse.

Setul de livrare ZPK include:

• direct kitul de distribuție al platformei certificate;
• un formular cu un autocolant olografic FSTEC și o sumă de control;
• specificație;
• descrierea aplicației;
• descrierea programului;
• o copie a certificatului FSTEC.

Documentul care trebuie completat sistematic de către operatorul PD este un formular. Este în forma în care ar trebui făcute înregistrări despre instalare, rezultatele verificărilor periodice ale integrității 1C:Enterprise, 8.2z ZPK, precum și la instalarea versiunilor certificate recent lansate.

În vederea certificării eliberărilor nou lansate, a fost încheiat un acord de control de inspecție. În conformitate cu termenii contractului, controlul trimestrial de inspecție este prevăzut cu emiterea unei încheieri privind prelungirea valabilității certificatului la noua versiune corespunzătoare, indicând suma de control a acestuia.

Activitățile de întreținere a produselor software care nu sunt instrumente de securitate a informațiilor (inclusiv configurații dezvoltate pe platforma 1C:Enterprise) nu se referă la activități de protecție tehnică a informațiilor confidențiale.

Pentru a efectua lucrări de înființare a managementului ZPK „1C: Enterprise, 8.2z”, precum și pentru realizarea unui set de lucrări privind protecția tehnică a informațiilor, se recomandă implicarea organizațiilor care dețin licențe de la FSTEC de Rusia.

Pentru a oferi servicii de protecție a PD, inclusiv măsuri de protecție tehnică, este necesar să aveți o licență adecvată de la FSTEC din Rusia.

Dacă organizația se limitează la documente organizatorice și administrative, atunci licențe pentru protectie tehnica nu sunt necesare informații confidențiale.

De asemenea, trebuie reținut că nu există licențe speciale pentru implementarea activităților de protecție a datelor cu caracter personal prin legislația în vigoare.

Reglementări actuale acte juridice in domeniul protectiei PD nu contin restrictii in ceea ce priveste elaborarea documentatiei interne necesare de catre resursele proprii ale operatorului PD. Singurele excepții sunt munca la formarea unui model de amenințare. În conformitate cu documentele de orientare ale FSTEC din Rusia, modelul de amenințare trebuie elaborat de experți. În același timp, există în prezent incertitudine în recunoașterea unui anumit specialist ca expert.

Accesul reprezentanților unor terțe organizații (auditori, programatori, software de întreținere etc.) la PD trebuie să fie strict reglementat documente interne operator PD. Procedura de asigurare a securității PD este determinată de măsuri organizatorice, inclusiv de termenii contractelor. Dacă este nevoie, ca parte a executării unui acord între două persoane juridice, de a oferi acces la datele personale ale operatorului sau de a le transfera, atunci, atunci când se negociază termenii unui astfel de acord, este necesar să se determine condițiile pentru menținerea confidențialității la organizarea muncii cu PD și prevederea măsurilor de protecție a datelor cu caracter personal (de exemplu, , determinarea condițiilor de păstrare, admiterea persoanelor etc.) Se poate recomanda încheierea unui acord de confidențialitate cu clienții, precum și acorduri privind nedezvăluirea informațiilor personale cu angajații contractantului. În plus, procedura de furnizare a datelor și transferul PD și accesul către terți, dacă este necesar, ar trebui stabilită în Reglementările privind protecția PD.

Problema protecției datelor cu caracter personal este agravată constant de pătrunderea mijloacelor tehnice de prelucrare și transmitere a informațiilor în toate sferele vieții noastre. Această problemă este relevantă în special pentru privat și organizatii guvernamentale folosind în mod activ sistemele de contabilitate financiară și de personal.

Legea federală nr. 152-FZ reglementează relațiile legate de prelucrarea datelor cu caracter personal de către operatorii de date cu caracter personal, cu sau fără utilizarea instrumentelor de automatizare.

Conform legii 152, prin date cu caracter personal se înțelege orice informație legată de un anumit sau determinat pe baza unei astfel de informații subiect de date cu caracter personal (persoană fizică). În special: numele complet, anul, luna, data nașterii, adresa, starea civilă și socială, studiile, profesia și veniturile.

În țara noastră, cele mai populare sisteme de contabilitate și evidență a personalului, vânzări, procesele CRM sunt produsele companiei „1C”, precum: „1C: Întreprindere”, „1C: Contabilitate”, „1C: Salariul și managementul personalului”, „1C: Salariul și personalul unei instituții bugetare”, etc.

Bazele de date de fișiere ale produselor 1C sunt ușor accesibile pentru toți utilizatorii și, ca urmare, orice utilizator care are dreptul de a lucra în 1C poate copia toate datele și astfel aduce organizația sub încălcarea 152-FZ.

Chiar dacă produsul 1C este configurat să funcționeze cu baze de date situate într-un server SQL (Microsoft SQL Server sau PostgreSQL), există riscul furtului de date personale prin exportul de informații în fișiere externe și apoi copierea lor pe medii mobile (unități USB, flash unități, carduri de memorie), către o rețea de stocare în cloud sau trimise prin e-mail, Skype sau Telegram.

În plus, nu uitați de capacitatea de a „face capturi de ecran” (de a face capturi de ecran) și de a transfera date de la 1C într-un fișier terță parte prin clipboard. Aceasta este una dintre cele mai comune metode de sustragere a datelor confidențiale din sistemele informaționale.

DeviceLock DLP ajută la prevenirea scurgerilor de date în timp ce utilizatorul copie informații confidențialeîntre documente și aplicații prin clipboard (clipboard). Politicile flexibile DeviceLock DLP blochează și înregistrează în mod selectiv operațiunile de transfer de date prin clipboard între aplicații (de exemplu, de la „1C: Salarizarea și personalul unei instituții bugetare” la MS Excel). DeviceLock DLP blochează în mod selectiv capturile de ecran („capturi de ecran”), atât pentru utilizatorii individuali, cât și pentru diverse aplicații.

DeviceLock DLP vă permite să permiteți și să refuzați selectiv accesul la anumite tipuri de fișiere (în special, la bazele de date de fișiere 1C) în momentul încercării de a le copia pe dispozitive externe sau de a le trimite prin rețea.

DeviceLock DLP este solutie eficienta pentru a proteja datele personale stocate în sistemul 1C împotriva scurgerilor.

Pachetul software protejat „1C:Enterprise 8.3z” (x86-64). Versiune pe 64 de biți.

Structura include o versiune certificată a platformei tehnologice „1C:Enterprise 8.3” și un set de documentație.

„1C:Enterprise 8.3z” este certificat în Sistemul de certificare a securității informațiilor pentru cerințele de securitate a informațiilor nr. ROSS RU.0001.01BI00 și are un certificat de conformitate nr. 3442 (emis de FSTEC din Rusia la 2 septembrie 2015). Conform certificatului, produsul respectă cerințele documentului de guvernare „Protecția împotriva accesului neautorizat la informații. Partea 1. Software de securitate a informațiilor. Clasificarea după nivelul de control al capabilităților nedeclarate” (Comisia Tehnică de Stat a Rusiei, 1999) - în conformitate cu cel de-al 4-lea nivel de control, documentul de guvernare „Facilități computerizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” (Comisia tehnică de stat a Rusiei, 1992) - în conformitate cu clasa a 5-a de securitate atunci când urmează instructiunile de operare date in sectiunea 12 din formularul inclus in kitul produsului.

Exemplele certificate ale platformei sunt marcate cu mărci de conformitate de la nr. K 605432 până la K 615431.

Toate configurațiile dezvoltate pe platforma 1C:Enterprise 8.3 (de exemplu, 1C:Management uzină de producție„ sau „1C: Salariul și Managementul Personalului 8”, etc.), pot fi folosite pentru a crea un sistem informațional de date personale de orice clasă și nu este necesară certificarea suplimentară a soluțiilor aplicate.

Scopul și procedura de utilizare a pachetului software protejat „1C:Enterprise, versiunea 8.3z”

Pachetul software securizat „1C:Enterprise, versiunea 8.3z” poate fi utilizat pentru a asigura securitatea datelor cu caracter personal în conformitate cu Compoziția și conținutul organizației și masuri tehnice privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, aprobat prin ordinul FSTEC al Rusiei din 18 februarie 2013 nr. 21, în sistemele informatice de date cu caracter personal de toate nivelurile de securitate. ZPK „1C:Enterprise, versiunea 8.3z” poate fi utilizat atât în ​​organizațiile care sunt operator de date cu caracter personal și prelucrează datele cu caracter personal în mod independent, cât și în organizațiile care furnizează servicii pentru menținerea ISPD mai multor operatori. ZPK „1C:Enterprise, versiunea 8.3z” poate fi folosit atât la procesarea informațiilor pentru unul singur entitate legală sau antreprenor, și pentru un grup de companii (holding).

Procedura de vânzare a unui produs software Pachet software protejat „1C:Enterprise, versiunea 8.3z”

Este permisă achiziționarea ZPK „1C:Enterprise, versiunea 8.3z” numai în plus față de produsele software înregistrate ale sistemului „1C:Enterprise”, inclusiv produsele „1C-Jointly”.

Dacă pentru produsul pentru care este achiziționat 1C:Enterprise, versiunea 8.3z ZPK, a fost introdus serviciul obligatoriu de suport pentru tehnologia informației (ITS), atunci utilizatorul înregistrat trebuie să aibă un abonament ITS în momentul achiziționării ZPK-ului.

Setul de livrare ZPK include:

• direct kitul de distribuție al platformei certificate pe un disc;
• autocolant al FSTEC din Rusia;
• formular de sumă de control;
• card de înregistrare a produsului protejat;
• specificație;
• descrierea programului;
• descrierea aplicației;
• o copie a certificatului FSTEC.

FIŢI ATENȚI:

ZPK „1C:Enterprise, versiunea 8.3z” poate fi utilizat numai dacă există licențe și chei de securitate existente ca parte a produselor software achiziționate anterior „1C:Enterprise 8”;

utilizarea ZPK „1C:Enterprise, versiunea 8.3z” nu necesită reînregistrarea licențelor achiziționate anterior;

CHEILE DE SECURITATE NU SUNT INCLUSE ÎN LIVRAREA ZPK „1C:Enterprise, versiunea 8.3z”

Procedura de actualizare a pachetului software protejat

1C va certifica sistematic noile versiuni ale ZPK 1C:Enterprise, versiunea 8.3z. Pentru a primi actualizări ale platformei certificate, 1C introduce o taxă de întreținere anuală.

Este furnizată următoarea metodă de obținere a actualizărilor: auto-abonament timp de 6 sau 12 luni pe site-ul http://www.online.1c.ru pentru a primi actualizări în în format electronic(Informațiile de pe site sunt postate pe măsură ce sunt lansate actualizări);

Nu se percepe taxa de intretinere timp de un an (primul an) de la data expedierii din depozitul „1C” al platformei certificate.

Setul de actualizare va include informații la zi privind organizarea protecției datelor cu caracter personal ghid metodologic și explicații.

Costul unui abonament plătit: Actualizarea ZPK „1C: Enterprise 8.3z” (abonament ONLINE) timp de 6 luni, iar 12 luni poate fi clarificat cu managerul organizației noastre.

Dacă pentru produsul pentru care este achiziționat CPK a fost introdus serviciul obligatoriu de suport pentru tehnologia informației (ITS), atunci utilizatorul înregistrat trebuie să aibă un abonament la ITS în momentul achiziționării actualizării 1C:Enterprise, versiunea 8.3z.

La 29 mai 2014, a avut loc o prelegere la Moscova la 1C: Prelegeri (Moscova, str. Seleznevskaya, 34). Cititorii noștri, care nu au putut participa la prelegere, și-au trimis întrebările în cadrul conferinței pe Internet cu același nume. În cadrul evenimentului, Yuri Kontemirov, șeful Departamentului pentru Protecția Drepturilor Subiecților Datelor cu Caracter Personal al Roskomnadzor, și Irina Baimakova, expert de la 1C, au răspuns întrebărilor despre protecția datelor cu caracter personal și au analizat, de asemenea, principalele erori identificate de Roskomnadzor în timpul implementării măsurilor de control.

Utilizatorul kot : 1C:Enterprise 8.2z pentru întreprinderi mici și mijlocii. Medicină, angajați de stat, militari...? Pentru cine și pentru ce este această platformă? În modul utilizator, acesta ar trebui să fie îngropat cu permisiuni. De la conexiune terță parte prin intermediul unui DBMS?

De 4 ani încoace bănuiesc că aceasta este o simplă pompare de bani prin analogie cu „problema anului 2000”. Când ai venit, ai rulat un program pe computer, a făcut ceva, ai spus că totul este în regulă și ai fost plătit.

Irina Baimakova : Cerințele Legii federale „Cu privire la datele cu caracter personal” se aplică oricăror operatori de date cu caracter personal, de ex. orice organizație în care sunt prelucrate date cu caracter personal. Da, într-adevăr, cerințele pentru protecția datelor cu caracter personal, în funcție de categoria de date și de volumul acestora, pot varia semnificativ.

: Ce este atât de special la versiunea 8.2z? De ce sunt protejate datele personale în acesta și ce este greșit în ceea ce privește protejarea datelor cu caracter personal în alte versiuni ale celor opt programe?

Irina Baimakova : ZPK „1C:Enterprise, version 8.2z” este o versiune certificată a platformei tehnologice 1C:Enterprise 8.2. Nu există diferențe funcționale între versiunea certificată și versiunea obișnuită. Îmbunătățirile realizate ținând cont de cerințele FSTEC din Rusia sunt implementate atât în ​​versiunea obișnuită, cât și în versiunea certificată a platformei tehnologice.

Utilizarea ZPK „1C:Enterprise, versiunea 8.2z” vă permite să îndepliniți cerințele prevăzute la articolul 2, articolul 19 din Legea federală „Cu privire la datele cu caracter personal” în ceea ce privește utilizarea obligatorie a instrumentelor de securitate a informațiilor care au trecut evaluarea conformității în raport cu datele personale prelucrate cu ajutorul produselor software 1C.

Utilizator neînregistrat : Nu prea văd cum programul poate deveni un panaceu în domeniul protecției datelor cu caracter personal. Ce zici de notorii factorul uman? La urma urmei, oamenii lucrează în program.

Irina Baimakova : În acest caz, nu putem spune că programul este un panaceu. Pachetul software securizat „1C:Enterprise, versiunea 8.2z” este unul dintre elementele de bază care vă permite să construiți un sistem de securitate a informațiilor și să asigurați conformitatea cu cerințele legislației actuale a Federației Ruse în domeniul protecției datelor cu caracter personal.

Utilizator neînregistrat : Au existat cazuri de scurgere de date ale 1-urilor protejate?

Irina Baimakova : Nu am astfel de date.

Utilizator neînregistrat : Poartă 1C vreo responsabilitate pentru pierderea și scurgerea datelor?

Irina Baimakova : Responsabilitatea pentru pierderea datelor revine operatorului de date cu caracter personal.

Utilizator neînregistrat : Cine trebuie să folosească ZPK „1C:Enterprise, 8.2z”? Ce este inclus în pachetul ZPK?

Irina Baimakova

Pachetul ZPK „1C:Enterprise, versiunea 8.2z” include kitul de distribuție al platformei tehnologice, formular, documentație.

Utilizator neînregistrat : Ce altceva produse software poate fi folosit pentru a proteja datele personale?

Irina Baimakova : Există un număr semnificativ de instrumente de securitate a informațiilor pe piață. Necesitatea de a utiliza un anumit produs depinde de amenințările curente identificate și de cerințele de protecție a datelor cu caracter personal pentru un anumit operator.

Utilizator neînregistrat : Care sunt principalele pericole potențiale pe care le vedeți pentru datele personale? Ce anume garantează sau exclude protecția?

Yuri Kontemirov : Principalul pericol este scurgerea și distribuirea ilegală a datelor cu caracter personal, ceea ce poate duce la Consecințe negative pentru o persoană, o invazie a intimității sale. Este posibil să se garanteze protecția reală a datelor cu caracter personal doar printr-o abordare integrată a organizării protecției informațiilor, acordând atenție Atentie speciala"factorul uman.

Utilizator neînregistrat : Cât de des credeți că companiile mici se confruntă cu scurgerea datelor contabile?

Yuri Kontemirov : Informații despre această problemă, din păcate, nu am.

Utilizator neînregistrat : De ce „1C:Enterprise 8.2z” este numit protejat? Care este diferența sa fundamentală față de alte produse?

Irina Baimakova : În acest caz, „protejat” este numele, i.e. verificat laborator de testare pentru absența capacităților nedeclarate și conformitatea cu alte cerințe determinate de FSTEC din Rusia.

ZPK „1C:Enterprise, versiunea 8.2z” este un produs special pentru asigurarea cerințelor legislației actuale privind datele personale de către organizații și antreprenori care utilizează produse software 1C.

Utilizatorul Kaufen : Organizația a achiziționat ZPK „1C: Enterprise 8.2z”. Care sunt principalele diferențe dintre platformă și 1C:Enterprise 8.2, cu excepția certificatului FSTEC? A dat cineva peste o astfel de platformă?

Irina Baimakova : ZPK „1C: Enterprise, versiunea 8.2z” - o versiune certificată a platformei tehnologice 1C: Enterprise 8.2. Nu există diferențe funcționale între versiunea certificată și versiunea obișnuită.

Principala diferență este că ediția certificată este verificată de laboratorul de testare și confirmă conformitatea cu cerințele prevăzute în certificat și conține, de asemenea, sumele de verificare date în formularul 1C:Enterprise, versiunea 8.2z ZPK.

Utilizator neînregistrat : Suntem o instituție bugetară. Există o modificare a ZPK „1C:Enterprise 8.2z” special pentru angajații de stat și cât costă versiunea cu suport?

Irina Baimakova : ZPK „1C:Enterprise, version 8.2z” este o versiune certificată a platformei tehnologice 1C:Enterprise 8.2, care poate fi utilizată cu orice configurație standard, inclusiv pentru instituţiile bugetare(de exemplu, „1C: Salariu și personal institutie publica"," 1C: Departamentul de contabilitate al unei instituții de stat").

Procedura de vânzare și actualizare a ZPK 1C: versiunea Enterprise 8.2z" este definită în scrisoarea de informare a 1C nr. 12891. O puteți găsi la următorul link -http://1c.ru/news/info.jsp?id =12891

Utilizator neînregistrat : Anunțul prelegerii și conferinței pe Internet vorbește despre principalele erori identificate de Roskomnadzor în timpul implementării măsurilor de control. Aș dori să știu mai multe despre asta, ce erori sunt cel mai des detectate de departament?

Yuri Kontemirov : Cel mai încălcări tipice legile dezvăluite în cursul acțiunilor de control ale Roskomnadzor sunt reflectate în rapoartele anuale publicate pe site-ul departamentului.

Utilizator neînregistrat : Vă rugăm să ne spuneți despre certificarea ZPK „1C:Enterprise, versiunea 8.2z”.

Irina Baimakova : Întrebările despre obiectivele, procedura, rezultatele certificării efectuate de 1C sunt discutate în detaliu și prezentate pe site-ul web buh.ru, inclusiv în articolul „Certificarea programelor pentru a respecta legislația privind protecția datelor cu caracter personal” privind certificarea primară în 2010 și în articolul „Protecția datelor cu caracter personal – din 2011 până în 2013 sau modificări de doi ani” despre certificarea efectuată în 2013 și reînnoirea certificatului.

Utilizator neînregistrat : În opinia dumneavoastră, aveți nevoie de noi măsuri pentru a preveni scurgerea datelor cu caracter personal și pentru a crește nivelul de protecție a acestora? Dacă este nevoie, care sunt acestea?

Yuri Kontemirov : Pentru a preveni scurgerile de date cu caracter personal, este importantă o abordare integrată rezonabilă și ar trebui acordată o atenție deosebită factorului „uman”.

Utilizator neînregistrat : Are sens să folosim astfel de produse software pentru antreprenorii individuali și întreprinderile mici?

Irina Baimakova : În conformitate cu sub. 3, paragraful 2 al articolului 19 din Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”, utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității în conformitate cu procedura stabilită este una dintre măsuri pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora.

În conformitate cu cerințele HG nr. 1119 din 1 noiembrie 2012, utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității cu cerințele legale Federația Rusăîn domeniul securității informațiilor este obligatorie, în cazul în care utilizarea unor astfel de instrumente este necesară pentru neutralizarea amenințărilor reale. Astfel, este posibil să se determine necesitatea sau absența necesității de a utiliza instrumente de protecție a informațiilor care au trecut de evaluarea conformității, inclusiv 1C:Enterprise versiunea 8.2z ZPK, pe baza modelului de amenințare.

Utilizarea ZPK „1C:Enterprise, versiunea 8.2z” vă permite să îndepliniți cerințele legislației actuale descrise mai sus, precum și o serie de cerințe stipulate de Ordinul FSTEC al Rusiei din 18 februarie 2013 nr. 21 , la cel mai mic cost.

Utilizator neînregistrat : Care sunt efectele adverse ale unei încălcări a datelor? De exemplu, pentru antreprenorii individuali fără angajați.

Irina Baimakova : Principalul pericol este scurgerea și distribuirea ilegală a datelor personale, care poate duce la consecințe negative pentru o persoană, o invazie a vieții private a acesteia.

Dacă un antreprenor individual nu are angajați și, în consecință, PD nu este procesat nici de către angajați, nici de către alte indivizii, atunci în acest caz este greu de presupus o posibilă scurgere de PD.