Юридическая информация

Защита персональных данных в 1С (152-ФЗ, ИСПДн)

Согласно федеральному закону №152 "О персональных данных", все операторы обязаны выполнить ряд требований по защите и хранению персональных данных. Е-офис имеет ряд решений по защите персональных данных (ИСПДн) согласно закону, и работает в соответствии с нормами и правилами, принятыми фирмой "1С", поскольку является ее непосредственным представителем. Фирмой "1С" получен сертификат соответствия №2137, выданный ФСТЭК России, который подтверждает, что "защищенный программный комплекс (ЗПК) 1С:Предприятие, версия 8.2z" признан программным средством общего назначения, со встроенными средствами защиты от несанкционированного доступа (НСД) к информации, не содержащей сведения, составляющие государственную тайну.

По результатам сертификации подтверждены:

  • соответствие требованиям руководящих документов по защите от НСД -5 класса, по уровню контроля отсутствия недекларированных возможностей (НДВ) по 4 уровню контроля;
  • возможность использования для создания автоматизированных систем (АС) до класса защищенности 1Г (т.е. АС, обеспечивающих защиту конфиденциальной информации в ЛВС) включительно, а также для защиты информации в информационных системах персональных данных (ИСПДн) до класса К1 включительно.

Е-офис предлагает в аренду данные программы

Все конфигурации, разработанные на платформе "1С:Предприятие 8.2", могут быть использованы при создании информационной системы персональных данных любого класса, дополнительная сертификация прикладных решений не требуется.

Комментарии фирмы "1С":

  1. Непосредственно сам Федеральный закон № 152-ФЗ "О персональных данных" каких-либо требований к программному обеспечению не предъявляет (в редакции, действующей сегодня).
  2. Требование о необходимости проводить оценку соответствия средств защиты информации содержится в пункте 5 Положения, введенного Постановлением Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
  3. Непосредственно требования в части программного обеспечения предусмотрены Приказом ФСТЭК России № 58. В частности требования предусмотрены по подсистемам управления доступом, регистрации и учета и контроля целостности. Данные подсистемы имеют отношения исключительно к технологической платформе, а не конфигурациям.
  4. При проведении сертификации изначально предполагалось предусмотреть требования к конфигурациям (технические условия). Однако при завершении сертификации испытательная лаборатория отказалась от предъявления каких-либо требований к конфигурациям.

То есть, действующим законодательством сертификация (либо иная оценка соответствия) программных продуктов, не являющихся средствами защиты информации, к которым относятся типовые конфигурации, не требуется, какие-либо технические условия к конфигурациям не предусмотрены.

Нужно учесть, что при аттестации объектом выступают не просто программы, а весь комплекс административных регламентов и мероприятий (требования по обеспечению безопасности, модель угроз, акты классификации, план защиты персональных данных и др.), и вся информационная система, используемая в организации.

Оператор обработки персональных данных должен принять решение о присвоении системе персональных данных соответствующего класса.

Исходя из присвоенного класса ИСПДн (К1 – К4), оператор осуществляет выбор методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн, создает свою модель безопасности, и в соответствии с этой моделью определяет технические параметры защиты. Более подробную информацию можно получить в рекомендациях фирмы "1С".

Персональные данные хранятся в датацентрах только тех европейских стран, которые подписали данную Конвенцию.

В настоящий момент используется типовая платформа "1С:Предприятие, версия 8.2", с требованиями к защите данных, как указано выше. Поэтому с помощью Е-офис возможно построение систем защиты информации в информационных системах персональных данных (ИСПДн) до класса К2 включительно.

Даже при работе с Е-офис, оператором обработки персональных данных остается ваша организация. Вы создаете свою модель безопасности, и в соответствии с этой моделью определяете параметры защиты. Е-офис, в свою очередь, согласно вашим требованиям предлагает варианты защиты ваших данных (например, шифрование).

 


Личный кабинет
Забыли пароль?
Регистрация в личном кабинете осуществляется после заключения договора сотрудниками е-офиса. Данные для входа указаны в договоре. По всем вопросам вы можете позвонить по телефону:

8-800-700-22-34

или cвяжитесь с онлайн-консультантом