Согласно Федеральному закону от 27.06.2006 № 152-ФЗ "О персональных данных" практически любая информация о физическом лице является персональными данными, а любая организация или индивидуальный предприниматель, обладающие этой информацией, становятся операторами персональных данных. Хотя окончательное вступление в силу названного закона перенесено на 2011 год, ряд требований необходимо соблюдать уже сейчас. О том, что от операторов требует закон, и как к этим требованиям подготовлены программы "1С:Зарплата и Управление Персоналом 8" и "1С:Зарплата и кадры бюджетного учреждения 8"* и пойдет речь в настоящей статье методистов фирмы "1С".

Примечание:
* Механизм доступен в конфигурациях "Зарплата и управление персоналом" 2.5.19 и "Зарплата и кадры бюджетного учреждения" 1.0.8 при использовании платформы "1С:Предприятие" версии 8.2.10

Доступ

• личные сведения;
• сведения об имуществе;
• сведения о доходах.

Управление персональными данными

Как это работает?

Доступ и Отказ в доступе

• таблица ,

СведенияОПерсональныхДанных .

Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8"

Примечание:
* Механизм доступен в конфигурациях "Зарплата и управление персоналом" 2.5.19 и "Зарплата и кадры бюджетного учреждения" 1.0.8 при использовании платформы "1С:Предприятие" версии 8.2.10

Согласно подзаконным актам степень защиты данных зависит от класса информационной системы, который в свою очередь определяется количеством субъектов (в нашем случае физических лиц), количеством организаций и спецификой персональных данных*. Инструментарий конфигураций способен обеспечить защиту персональных данных в соответствии с требованиями Федерального закона от 27.06.2006 № 152-ФЗ (далее - Федеральный закон № 152-ФЗ) к информационным системам классов 3 и 2, в которые и входят большинство систем наших пользователей.

Что мы предлагаем пользователям для "защиты"?

Для защиты персональных данных в информационных системах класса 3 необходимо фиксировать события аутентификации (входа в систему) и отказа от аутентификации, которые по умолчанию включены. Для соответствия требованиям Федерального закона № 152-ФЗ к информационным системам класса 2 необходимо в числе прочего регистрировать события доступа и отказа в доступе к конкретным персональным данным. Иначе говоря, нужно "уметь" ответить на вопросs "Кто, когда, получил доступ к зарплате Иванова?", и "Кто и когда его получить пытался, но не смог" (из-за ограничения прав)?".

В новой версии 8.2.10 платформы "1С:Предприятие 8" добавлены возможности, которые решают эту задачу. А именно: регистрация событий доступа и отказа в доступе к данным и, соответственно, просмотр сведений о зарегистрированных событиях с точностью до полей данных.

Нужно понимать, что регистрация события Доступ довольно ресурсоемкая. И хотя предварительные замеры производительности позволяют утверждать, что не будет заметного пользователю увеличения времени выполняемых операций, однако поскольку результат запроса к защищаемым данным будет фиксироваться вместе с записью о событии, размер журнала регистрации существенно увеличится. Исходя из этого:

• с одной стороны, требуется обеспечить соответствие требованиям закону - защитить все области персональных данных;
• с другой стороны, необходимо минимизировать потери производительности.

Перед разработчиками прикладного решения встает задача - обеспечить гибкую настройку режима соответствия требованиям Федерального закона № 152-ФЗ. В типовых решениях гибкость настройки достигается за счет:

• выделения областей персональных данных;
• управления "детальностью" регистрации событий.

Что сделано в "зарплатных" конфигурациях?

Итак, данные, подпадающие под определение "персональные", разбиваются на четыре области:

• личные сведения;
• сведения об образовании и компетенциях;
• сведения об имуществе;
• сведения о доходах.

Пользователю (администратору информационной системы) предлагается установить области данных, для которых будет выполняться регистрация событий доступа и отказа в доступе (см. рис. 1).

Рис. 1. Форма настройки режима защиты персональных данных.

Это вовсе не означает, что частично "включив" регистрацию событий, мы "частично" выполняем требования закона. Просто наиболее вероятным кажется сценарий, при котором доступ к таким областям данных, как сведения о доходах, например, находится в руках у очень ограниченного круга лиц и детально регистрировать каждое отдельное событие нет необходимости. В этом случае область данных можно "отключить" и снизить нагрузку на систему.

Регистрация списка лиц при доступе к данным определяет "детальность" сведений о событии. От этой настройки зависит, будет ли в журнале расшифровано "чья именно зарплата была прочитана" или будет указано: "была прочитана зарплата" без расшифровки по записям.

Все события фиксируются в журнале регистрации, но просмотреть новые события в удобной форме "ответов на вопросы" можно в форме Управление персональными данными (см. рис. 2). В форму отбираются: фиксированный набор видов событий, одновременно отражается список объектов и данных субъектов для событий доступа и отказ в доступе. Благодаря отбору по субъекту фактически появляется возможность получить ответ на вопрос: "Кто читал данные Иванова? Петрова? Сидорова?"

Рис. 2. Форма Управление персональными данными.

Еще одна настройка связана с обеспечением конфиденциальности сведений о доходах. Необходимо исключить возможность сотрудников видеть сумму зарплаты коллег. Это может произойти при выплате зарплаты по кассовым ведомостям. Настройка Ограничивать количество сотрудников при печати платежных ведомостей запрещает формирование печатной формы для платежных ведомостей, содержащих больше одного сотрудника. Выплату зарплаты в таком случае следует оформлять при помощи расходного кассового ордера.

В законе упоминается обязанность оператора в ряде случаев уничтожить персональные данные по запросу субъекта. Таким образом, по заявлению физического лица работодатель обязан удалить: данные о его доходах, ИНН, страховой номер ПФР и другие сведения, хранить которые работодателя обязывает законодательство. Учитывая специфику зарплатных конфигураций, принято решение выполнять уничтожение только тех персональных данных, которые не подлежат обязательному хранению. Предполагается, что уничтожение данных может быть выполнено, например, по требованию кандидата, который предоставлял свои сведения на этапе подбора персонала, но в последствии так и не стал сотрудником.

Уничтожение сведений выполняется только пользователем с полными правами в новой форме Управление персональными данными (той же, где и производится просмотр событий) - см. рис. 2. При уничтожении выполняется замена значений защищаемых полей пустыми значениями, иначе говоря, очистка полей, а ссылочная целостность базы данных сохраняется.

Как это работает?

Теперь несколько слов о том, как обеспечивается настройка регистрации новых событий Доступ и Отказ в доступе . Методы объектов платформы, выполняющие установку использования регистрации событий, требуют в качестве параметров: имя таблицы информационной базы, массив полей доступа (защищаемые данные), массив полей регистрации (то есть содержащих сведения о субъекте). Например:

• таблица РегистрРасчета.ОсновныеНачисленияРаботниковОрганизаций ,
• поля доступа: Показатель1, Показатель2, Показатель3, Показатель4, Показатель5, Показатель6, Результат;
• поля регистрации: Сотрудник, Физлицо.

Разумеется, таблиц, в которых содержатся персональные данные, в "зарплатных" конфигурациях немало. Информация о них сведена в таблицу значений, имеющую соответствующие колонки: ИмяТаблицы, ПоляДоступа, ПоляРегистрации. В каждой строке этой таблицы значений содержится информация о ее принадлежности к определенной области данных (одной из четырех), что устанавливает соответствие между данными и настройками режима защиты данных. При включении настройки для области данных выполняется установка использования регистрации событий для таблиц БД, принадлежащих этой области. Таблица значений преобразована в формат XML и в таком виде поставляется в составе конфигурации в макете двоичных данных СведенияОПерсональныхДанных .

Важно отметить, что с помощью появившейся в платформе возможности можно решать далеко не только эту, но и другие задачи контроля доступа к данным.

Учет персональных данных – важная составляющая в работе каждой организации. Будь то крупное предприятие или маленькая организация, все они ведут учет клиентов, поставщиков, и в первую очередь своих сотрудников, учитывая и сохраняя персональные данные каждого из них. Таким образом, организация возлагает на себя обязательство за конфиденциальность и сохранность предоставленной ей информации.

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» закрепляет уровень ответственности организаций нормативными актами. В вышеуказанном законе прописано: «лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».

1 января 2011 года данный закон претерпел некоторые изменения. В него внесены поправки, появилось несколько новых положений. Согласно одного из основных положений данного закона, все пользователи программ «1С» должны привести в соответствие с требованиями настоящего Федерального закона все информационные системы персональных данных, которые были созданы до 1 января 2010 года.

С начала прошлого года значительно возросли и взыскания с операторов, допускающих нарушения при обработке персональных данных. Информационные системы компаний регулярно подвергаются проверке со стороны соответствующих контролирующих органов власти. В случае обнаружения нарушений, в частности, что сохранность персональных данных не стопроцентная, компании не миновать штрафных санкций.

Как усилить безопасность? Ответ есть.

Для начала попытаемся разобраться, какие трудности могут возникнуть у компаний, сохраняющих персональные данные сотрудников и клиентов.

Итак, первое. Отталкиваясь от норм законодательства, сделаем первые шаги по защите персональных данных, и выполним ряд технических и организационно-распорядительных мероприятий. С учетом уровня развития информационной системы, защищенности доступа к ней пользователей, а также третьих лиц, выстроим индивидуальный комплекс безопасности.

Второе. Вероятно, вам придется пройти сертификацию вашего программного обеспечения (ПО), которое является средством защиты данных (в том случае, если оно еще не сертифицировано). Подскажем, проводят сертификацию уполномоченные операторы (к примеру, ФСТЭК). Программное обеспечение подвергается глубокому исследованию с широким всесторонним анализом, от исполнительного кода до исходных текстов программ. Анализируется уровень контроля не декларированных возможностей ПО.

Как бы сложно и громоздко ни звучало все вышеперечисленное, есть еще несколько важных факторов, влияющих на успешную работу любой организации. Обязаны вы или нет сертифицировать свое программное обеспечение? Все зависит и от класса информационной системы по обработке персональных данных. Всего существует четыре класса систем. Обязательна сертификация только для первого класса, нужна ли она для второго и третьего класса – это определяет специалист-оператор. Информационная система четвертого класса не требует сертификации.

Главное отличие первого класса – наличие сведений о расовой и национальной принадлежности, о политических взглядах и религиозных убеждений, о состоянии здоровья или интимой жизни. Второй случай по которому вашу ИС возможно причислить к первому классу – это хранение сведений более чем о ста тысячах клиентов и сотрудников. Если вы храните анкетные данные сотрудников, или информацию о больничных листах – то ваша система относится к первому классу!

Быть во всеоружии!

Как быть? Можно попробовать сделать все самостоятельно, запастись неистовым терпением, погрузиться в законодательные дебри и героически через них пробираться. Кропотливо изучать юридические и технические термины. И в случае удачи вы поймете, что же теперь делать со своей информационной системой. Тонкостей и вопросов в этом деле будет немало. Например, что делать, если система не проходит сертификацию, срочно менять ее, или оставить? Какое именно программное обеспечение сертифицировать и что такое «не декларированные возможности программного обеспечения»? Голова кругом, а ответов на волнующие вопросы все еще нет?..

Попробуем помочь. Итак, не декларированные возможности? Это означает, что есть возможность «скачать» информацию из вашего программного обеспечения способом, не указанным в его документации.

Сертификации подвергается программное обеспечение, используемое для хранения персональных данных ваших клиентов и сотрудников. Пользуетесь Excel или Word – значит сертифицируйте данные программы. Если вы используете специализированное обеспечение – подвергайте сертификации его.

Но если вы пользуетесь программами «1С»: храните персональные данные, ведете учет информации в программе на платформе «1С:Предприятие» - можем вас успокоить, у вас все в порядке!

Непробиваемая защита от «1С»!

Фирма «1С» не оставляет своих клиентов наедине с проблемами, возникающими из-за нововведений в законодательстве. Совсем недавно компания «1С» выпустила новый продукт – защищенный программный комплекс «1С:Предприятие, версия 8.2z» для защиты информации от несанкционированного доступа к информации. Данный продукт успешно прошел сертификацию ФСТЭК России. Защищенный программный комплекс (ЗПК) «1С:Предприятие, версия 8.2z» утвержден программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведения, составляющие государственную тайну.

Что немаловажно! Каждый экземпляр ЗПК имеет собственный сертификат. И количество защищенных программных комплексов, которые есть в продаже, ограничено. Так как сертификацию прошло ограниченное количество комплексов.

Защищенный программный комплекс состоит из:

непосредственно дистрибутив сертифицированной платформы;

формуляр с контрольной суммой;

регистрационная карточка защищенного продукта;

спецификация;

описание применения;

тестовая документация;

описание программы;

копия сертификата ФСТЭК России (плюс – наклейка ФСТЭК).

Итак, установка защищенного программного комплекса в компании, позволяет использовать все конфигурации работающие на платформе «1С:Предприятие 8.2» (например, «1С:Зарплата и Управление персоналом 8», «1С:Управление производственным предприятием 8» и др.), при создании информационной системы персональных данных любого класса. Дополнительной сертификации прикладных решений не потребуется, поскольку сертифицирована платформа. Не потребуются и отдельные пользовательские лицензии (ключи).

К тому же, ЗПК «1С:Предприятие, версия 8.2z» поддерживает специальный режим совместимости с версиями 8.0 и 8.1. Это позволяет использовать ее с конфигурациями, разработанными для версий 8.0 и 8.1, без внесения изменений в сами конфигурации. В данном режиме прикладные решения, разработанные на платформе «1С:Предприятие» версий 8.0 и 8.1, можно использовать с платформой версии 8.2 без дополнительной переработки.

Поддержка на 100%

Вы пользователь «1С» и клиент Центра комплексного развития бизнеса компании «1С-Архитектор бизнеса»? Вам повезло вдвойне!

Установку сертифицированного ЗПК «1С:Предприятие, версия 8.2z» произведет у вас высококвалифицированный специалист. Работа будет выполнена качественно и в рамках предлагаемых бесплатных часов (2 часа для 32-разрядной версии и 4 часа для 64-разрядной версии).

При желании дополнительно защитить ваши данные, специалисты помогут вам подобрать и установить соответствующее программное обеспечение.

Вы работаете в линейке продуктов «1С:Предприятие 7.7», несовместимых с ЗПК «1С:Предприятие, версия 8.2z»? Пусть вас это не беспокоит. Наши специалисты обладают немалым опытом по переводу клиентов с «7» на «8»!

Мы готовы прийти к вам на помощь! Вне зависимости от объема и сложности поставленных задач! Будь то полный комплекс работ от правильной организации защищенных линий связи, рабочих мест, серверного помещения и до разработки необходимых должностных инструкций, в том числе соответствующего обучения сотрудников вашего предприятия, которые работают с персональной информацией.

Специалисты Центра комплексного развития бизнеса «1С-Архитектора бизнеса» будут рады оказать вам информационную и техническую поддержку.

На страницах журнала мы уже неоднократно писали о необходимости проведения организационных мер в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных". С 1 января 2011 года этот закон вступит в полную силу, и, соответственно, на организации будут возложены дополнительные обязанности по обеспечению защиты персональных данных. Среди них - необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации. В предлагаемой статье И.А. Баймакова (методист фирмы "1С") ответит на наиболее часто возникающие у пользователей программных продуктов фирмы "1С" вопросы.

До 1 января 2011 года - даты вступления в полную силу "О персональных данных" (далее - Федеральный закон № 152-ФЗ) осталось не так много времени. Все больше операторов персональных данных, которыми являются практически все организации и предприниматели, планируют и проводят комплекс мероприятий во исполнение требований данного закона и нормативных правовых актов.

1) Какими нормативными правовыми актами предусмотрено проведение сертификации?
2) Кому и когда необходимо использовать сертифицированное программное обеспечение?
3) Кем может быть проведена сертификация программного обеспечения?
4) Достаточно ли использования сертифицированной программы для обеспечения защиты персональных данных?

Сертификация программ с целью соответствия законодательству по защите персональных данных

До 1 января 2011 года - даты вступления в полную силу Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ) осталось не так много времени. Все больше операторов персональных данных, которыми являются практически все организации и предприниматели, планируют и проводят комплекс мероприятий во исполнение требований данного закона и нормативных правовых актов.

Пользователей программных продуктов фирмы "1С" интересует, сертифицирован ли используемый ими программный продукт. В рамках данной статьи мы ответим на этот вопрос, но вначале попробуем взглянуть на проблему несколько глубже и рассмотрим следующие вопросы:

1) Какими нормативными правовыми актами предусмотрено проведение сертификации?
2) Кому и когда необходимо использовать сертифицированное программное обеспечение?
3) Кем может быть проведена сертификация программного обеспечения?
4) Достаточно ли использования сертифицированной программы для обеспечения защиты персональных данных?

Проблема защиты персональных данных постоянно усугубляется проникновением технических средств обработки и передачи информации во все сферы нашей жизни. Особо актуальна данная проблема для частных и государственных организаций, активно применяющих системы финансового и кадрового учета.

Федеральный закон № 152-ФЗ регулирует отношения, связанные с обработкой персональных данных, осуществляемой операторами персональных данных, с использованием или без использования средств автоматизации.

Согласно 152-му закону под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту персональных данных (физическому лицу). В частности: ФИО, год, месяц, дата рождения, адрес, семейное и социально-имущественное положение, образование, профессия и доходы.

В нашей стране самыми популярными системами бухгалтерского и кадрового учета, ведения продаж, CRM процессов являются продукты компании "1С", такие как: "1С:Предприятие", "1С:Бухгалтерия", "1С:Зарплата и управление персоналом", "1С:Зарплата и кадры бюджетного учреждения" и т.д.

Файловые базы данных продуктов 1С легко доступны для всех пользователей и как следствие любой пользователь, имеющий право работать в 1С, может скопировать все данные и таким образом подвести организацию под нарушение 152-ФЗ.

Даже если продукт 1С, настроен для работы с базами данных, расположенными в SQL-сервере (Microsoft SQL Server или PostgreSQL), есть опасность кражи персональных данных через экспорт информации во внешние файлы и последующее их копирование на мобильные носители (USB-диски, флешки, карты памяти), в сетевое облачно хранилище, либо отправку по электронной почте, Скайпу или Telegram.

Кроме того, не стоит забывать о возможности "снимать скриншоты" (делать снимки экранов) и переносить данные из 1С в сторонний файл через буфер обмена. Это один из самых распространенных способов кражи конфиденциальных данных из информационных систем.

DeviceLock DLP позволяет предотвращать утечки данных в момент, когда пользователь копирует конфиденциальную информацию между документами и приложениями через буфер обмена (клипборд). Гибко настраиваемые политики DeviceLock DLP, выборочно блокируют и протоколируют операции передачи данных через буфер обмена между приложениями (например, из "1С:Зарплата и кадры бюджетного учреждения" в MS Excel). DeviceLock DLP селективно блокирует снимки экрана ("скриншоты"), как для отдельных пользователей, так и для различных приложений.

DeviceLock DLP позволяет выборочно разрешать и запрещать доступ к определенным типам файлов (в частности, к файловым базам данных 1С) в момент попытки их копирования на внешние устройства или отправки по сети.

DeviceLock DLP это эффективное решение для защиты персональных данных , хранящихся в системе 1С от утечки.

В соответствии с Федеральным законом от 23.12.2010 № 359-ФЗ к 1 июля 2011 года необходимо привести информационные системы персональных данных в соответствии с требованиями Федерального закона от 26.06.2007 № 152-ФЗ "О персональных данных". Предлагаем вашему вниманию ответы на актуальные вопросы по этой теме.

В соответствии с данным Приказом различают средства защиты информации от несанкционированного доступа (система разграничения доступа к информации, антивирусная защита, межсетевые экраны, средства блокирования устройств ввода-вывода информации, криптографические средства и т. п.) и средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т. д.)

Комплекс необходимых мероприятий по защите прав субъектов персональных данных, в том числе выбор средств защиты информации определяется оператором ПДн на основании результатов проведенной классификации информационной системы персональных данных (далее - ИСПДн) исходя из объема обрабатываемых персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

В целях соблюдения требований законодательства о защите персональных данных (с учетом требований Приказа ФСТЭК России от 05.02.2010 № 58) были осуществлены специальные доработки технологической платформы «1С:Предприятие 8.2», в том числе в подсистеме управления доступом и подсистеме регистрации и учета. Начиная с версии 8.2.10, реализованы следующие возможности:

1) регистрация аутентификации и отказа в аутентификации (реализовано в версии 8.2.9);

2) регистрация изменений прав пользователей позволяет определить, когда какие роли назначались пользователю;

3) регистрация фактов отказа в доступе. Регистрируются все факты отказа в доступе пользователю. Например, для поиска массовых попыток обращения к недоступным для пользователя ресурсам;

4) регистрация доступа к защищаемым ресурсам:
- разработчик включает регистрацию для доступа к определенным полям по определенным объектам метаданных;
- разработчик описывает какую ключевую информацию необходимо включать в события журнала регистрации для поиска событий;
- система реализует отражение всех фактов доступа к указанной информации (например, сотрудника, к данным которого выполнялось обращение);
- система предоставляет возможность отбора зарегистрированных событий по метаданным и данным. Например, поиск всех обращений к защищаемым данным по конкретному физическому лицу.

С учетом сделанных доработок с целью соблюдения действующего законодательства в области защиты персональных данных создан защищенный программный комплекс «1С:Предприятие, версия 8.2z», который представляет собой сертифицированный релиз технологической платформы «1С:Предприятие 8.2».

Использование ЗПК «1С:Предприятие, 8.2z» позволяет соблюсти требования законодательства в части защиты ПДн, предусмотренные пунктом 5 Положения об обеспечении безопасности ПДн при их обработке в ИСПДн, утвержденного Постановлением Правительства РФ № 781, а также требования, предусмотренные Приказом ФСТЭК России от 05.02.2010 № 58 для ИСПДн 1 класса при многопользовательском режиме пользования и разных правах доступа в части подсистем управления доступом (идентификация и проверка подлинности пользователя), регистрации и учета (например, регистрация входа (выхода) субъекта доступа в систему), обеспечения целостности (напр., обеспечение целостности средств защиты с помощью контрольных сумм).

Говорить о том, что с применением ЗПК «1С:Предприятие, версия 8.2z» реализованы все требования, предусмотренные Приказом ФСТЭК России от 05.02.2010 № 58 , нельзя. Ряд обязательных мер относится к организационно-распорядительным (например, наличие средств восстановления системы защиты ПДн, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности должно быть обеспечено администратором сети, физическая охрана и учет защищаемых носителей информации - не имеет отношение к ЗПК и т. д.) Иные требования, предусмотренные Федеральным законом № 152-ФЗ и приказом ФСТЭК России № 58, должны быть соблюдены реализацией иных мер (антивирусные программы, межсетевое экраны и т. п.).

Платформа 8.2z обеспечивает все те же возможности, что и 1С:Предприятие 8.2, в том числе поддерживает работу с СУБД: MS SQL, PostgreSQL, DB2 Oracle.

Какая сертификация проведена?

Фирмой «1С» была проведена сертификация ЗПК «1С:Предприятие 8.2z» на соответствие требованиям руководящих документов:

• «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) - по 5 классу защищенности;
• «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (Гостехкомиссия России, 1999) - по 4 уровню контроля.

По результатам проведенной сертификации ЗПК «1С:Предприяти, 8.2z» признан программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну. Также подтверждена возможность использования ЗПК для защиты информации в информационных системах ПДн до 1 класса включительно.

Согласно условиям проведенной сертификации какие либо специальные требования к конфигурациям («Бухгалтерия предприятия», «Зарплата и управление предприятием» и т. п.) не предъявлены. Действующим законодательством в части защиты ПДН также не предусмотрены требования к ПО, не являющемуся средством защиты информации. В связи с вышеизложенным ЗПК «1С:Предприятие 8.2» может быть использован с любыми конфигурациями, разработанными на платформе 8.2.

Пунктом 2.12 Положения, утвержденного Приказом ФСТЭК России от 05.02.2010 № 58 , предусмотрено, что ПО средств защиты информации, применяемое в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей, при этом пунктом 7 данного приказа определено, что необходимо применять ПО средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей. Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

С учетом изложенного, обязательное применение СЗИ с проведенным контролем отсутствия недекларированных возможностей предусмотрено только для ИСПДн 1 класса. Таким образом, ЗПК «1С:Предприятие, 8.2z» может быть использован для организации защиты ПДн в ИСПДн любого класса.

Порядок продажи ЗПК «1С:Предприятие, версия 8.2z» определен в инфописьме от 29.12.2010 № 12891.

ЗПК «1С:Предприятие, версия 8.2z» может использоваться как для файл-серверного, так и клиент-серверного режима работы.

К продаже предлагается два варианта защищенного программного комплекса. Отличие между двумя продуктами в дистрибутивах программных продуктов, входящих в комплект поставки. ЗПК «1С:Предприятие, версия 8.2z» (Х86-32) предназначен для локальных компьютеров и 32-х разрядных серверов.

ЗПК «1С:Предприятие, версия 8.2z» (x86-64) предназначен для 64-разрядного сервера. При этом следует учитывать, что данный вариант комплекса содержит дистрибутивы обоих продуктов.

Комплект поставки ЗПК включает:

• непосредственно дистрибутив сертифицированной платформы;
• формуляр с голографической наклейкой ФСТЭК и контрольной суммой;
• спецификацию;
• описание применения;
• описание программы;
• копию сертификата ФСТЭК.

Документом, подлежащим систематическому заполнению оператором ПДн, является формуляр. Именно в формуляре подлежит делать записи об установке, результатах периодических проверок целостности ЗПК «1С:Предприятие, 8.2z», а также при установке вновь выходящих сертифицированных релизов.

С целью проведения сертификации вновь выходящих релизов заключен договор инспекционного контроля. В соответствии с условиями договора предусматривается ежеквартальное проведение инспекционного контроля с выдачей заключения о распространении действия сертификата на соответствующую новую версию с указанием ее контрольной суммы.

Деятельность по обслуживанию программных продуктов, не являющихся средствами защиты информации (в том числе конфигурации, разработанные на платформе «1С:Предприятие»), не относятся к деятельности по технической защите конфиденциальной информации.

Для осуществления работ по настройке управления ЗПК «1С:Предприятие, 8.2z», а также проведения комплекса работ по технической защите информации, рекомендуется привлекать организации, имеющие лицензии ФСТЭК России.

Для оказания услуг по защите ПДн, включающих мероприятия по технической защите, необходимо наличие соответствующей лицензии ФСТЭК России.

Если организация ограничивается организационно-распрорядительными документами, то лицензии на техническую защиту конфиденциальной информации не нужна.

Также необходимо помнить, что каких-либо специальных лицензий на осуществление деятельности по защите персональных данных действующим законодательством не предусмотрены.

Действующие нормативные правовые акты в области защиты ПДн не содержат каких либо ограничений в части разработки необходимой внутренней документации собственными силами оператора ПДн. Исключения составляют лишь работы по формированию модели угроз. В соответствии с руководящими документами ФСТЭК России модель угроз должна быть составлена экспертами. Вместе с тем в настоящее время имеется неопределенность в признании того или иного специалиста - экспертом.

Доступ представителей третьих организаций (аудиторов, программистов, обслуживающих ПО и т. п.) к ПДн должен быть жестко регламентирован внутренними документами оператора ПДн. Порядок обеспечения безопасности ПДн определяется организационными мерами, в том числе условиями договоров. В случае, если имеется необходимость в рамках выполнения договора между двумя юридическими лицами предоставлять доступ к персональным данным оператора или их передавать, то, обговаривая условия такого договора, следует определять условия соблюдения конфиденциальности при организации работы с ПДн и предусматривать мероприятия по защите персональных данных (например, определять условия хранения, допуск лиц и т.п.) Может быть рекомендовано заключение договора о конфиденциальности с заказчиками, а также соглашения о неразглашении сведений персонального характера с работниками исполнителя. Кроме того порядок предоставления данных и передачи ПДн и доступа третьих лиц в необходимых случаях должен быть определен в Положении о защите ПДн.