1с это испдн или нет

Обновлено: 23.01.2025

В соответствии с пунктом 1 статьи 19 Федерального закона от 26.06.2007 № 152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Методы и способы защиты информации в ИСПДн определены приказом ФСТЭК России от 05.02.2010 № 58.

В соответствии с данным Приказом различают средства защиты информации от несанкционированного доступа (система разграничения доступа к информации, антивирусная защита, межсетевые экраны, средства блокирования устройств ввода-вывода информации, криптографические средства и т. п.) и средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т. д.)

Комплекс необходимых мероприятий по защите прав субъектов персональных данных, в том числе выбор средств защиты информации определяется оператором ПДн на основании результатов проведенной классификации информационной системы персональных данных (далее - ИСПДн) исходя из объема обрабатываемых персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

Какие программные продукты фирмы «1С» могут быть использованы в целях защиты персональных данных?

В целях соблюдения требований законодательства о защите персональных данных (с учетом требований Приказа ФСТЭК России от 05.02.2010 № 58) были осуществлены специальные доработки технологической платформы «1С:Предприятие 8.2», в том числе в подсистеме управления доступом и подсистеме регистрации и учета. Начиная с версии 8.2.10, реализованы следующие возможности:

1) регистрация аутентификации и отказа в аутентификации (реализовано в версии 8.2.9);

2) регистрация изменений прав пользователей позволяет определить, когда какие роли назначались пользователю;

3) регистрация фактов отказа в доступе. Регистрируются все факты отказа в доступе пользователю. Например, для поиска массовых попыток обращения к недоступным для пользователя ресурсам;

С учетом сделанных доработок с целью соблюдения действующего законодательства в области защиты персональных данных создан защищенный программный комплекс «1С:Предприятие, версия 8.2z», который представляет собой сертифицированный релиз технологической платформы «1С:Предприятие 8.2».

Зачем нужен ЗПК «1С:Предприятие, 8.2z»? Какие функции по обеспечению безопасности реализованы в версии 8.2?

Использование ЗПК «1С:Предприятие, 8.2z» позволяет соблюсти требования законодательства в части защиты ПДн, предусмотренные пунктом 5 Положения об обеспечении безопасности ПДн при их обработке в ИСПДн, утвержденного Постановлением Правительства РФ № 781, а также требования, предусмотренные Приказом ФСТЭК России от 05.02.2010 № 58 для ИСПДн 1 класса при многопользовательском режиме пользования и разных правах доступа в части подсистем управления доступом (идентификация и проверка подлинности пользователя), регистрации и учета (например, регистрация входа (выхода) субъекта доступа в систему), обеспечения целостности (напр., обеспечение целостности средств защиты с помощью контрольных сумм).

Говорить о том, что с применением ЗПК «1С:Предприятие, версия 8.2z» реализованы все требования, предусмотренные Приказом ФСТЭК России от 05.02.2010 № 58, нельзя. Ряд обязательных мер относится к организационно-распорядительным (например, наличие средств восстановления системы защиты ПДн, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности должно быть обеспечено администратором сети, физическая охрана и учет защищаемых носителей информации - не имеет отношение к ЗПК и т. д.) Иные требования, предусмотренные Федеральным законом № 152-ФЗ и приказом ФСТЭК России № 58, должны быть соблюдены реализацией иных мер (антивирусные программы, межсетевое экраны и т. п.).

Платформа 8.2z обеспечивает все те же возможности, что и 1С:Предприятие 8.2, в том числе поддерживает работу с СУБД: MS SQL, PostgreSQL, DB2 Oracle.

Какая сертификация проведена?

Фирмой «1С» была проведена сертификация ЗПК «1С:Предприятие 8.2z» на соответствие требованиям руководящих документов:

«Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) - по 5 классу защищенности;
«Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (Гостехкомиссия России, 1999) - по 4 уровню контроля.

По результатам проведенной сертификации ЗПК «1С:Предприяти, 8.2z» признан программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну. Также подтверждена возможность использования ЗПК для защиты информации в информационных системах ПДн до 1 класса включительно.

Согласно условиям проведенной сертификации какие либо специальные требования к конфигурациям («Бухгалтерия предприятия», «Зарплата и управление предприятием» и т. п.) не предъявлены. Действующим законодательством в части защиты ПДН также не предусмотрены требования к ПО, не являющемуся средством защиты информации. В связи с вышеизложенным ЗПК «1С:Предприятие 8.2» может быть использован с любыми конфигурациями, разработанными на платформе 8.2.

Кому необходимо применять ЗПК «1С:Предприятие, 8.2z»?

Пунктом 2.12 Положения, утвержденного Приказом ФСТЭК России от 05.02.2010 № 58, предусмотрено, что ПО средств защиты информации, применяемое в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей, при этом пунктом 7 данного приказа определено, что необходимо применять ПО средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей. Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

С учетом изложенного, обязательное применение СЗИ с проведенным контролем отсутствия недекларированных возможностей предусмотрено только для ИСПДн 1 класса. Таким образом, ЗПК «1С:Предприятие, 8.2z» может быть использован для организации защиты ПДн в ИСПДн любого класса.

Порядок продажи ЗПК «1С:Предприятие, версия 8.2z» определен в инфописьме от 29.12.2010 № 12891.

Для каких режимов работы предусмотрен ЗПК «1С:Предприятие, версия 8.2z»?

ЗПК «1С:Предприятие, версия 8.2z» может использоваться как для файл-серверного, так и клиент-серверного режима работы.

В чем отличие ЗПК «1С:Предприятие, версия 8.2z» (x86-32) и ЗПК «1С:Предприятие, версия 8.2z» (x86-64)?

К продаже предлагается два варианта защищенного программного комплекса. Отличие между двумя продуктами в дистрибутивах программных продуктов, входящих в комплект поставки. ЗПК «1С:Предприятие, версия 8.2z» (Х86-32) предназначен для локальных компьютеров и 32-х разрядных серверов.

ЗПК «1С:Предприятие, версия 8.2z» (x86-64) предназначен для 64-разрядного сервера. При этом следует учитывать, что данный вариант комплекса содержит дистрибутивы обоих продуктов.

Что входит в комплект поставки защищенного программного комплекса «1С:Предприятие, 8.2z»

Комплект поставки ЗПК включает:

непосредственно дистрибутив сертифицированной платформы;
формуляр с голографической наклейкой ФСТЭК и контрольной суммой;
спецификацию;
описание применения;
описание программы;
копию сертификата ФСТЭК.

Документом, подлежащим систематическому заполнению оператором ПДн, является формуляр. Именно в формуляре подлежит делать записи об установке, результатах периодических проверок целостности ЗПК «1С:Предприятие, 8.2z», а также при установке вновь выходящих сертифицированных релизов.

Порядок обновлений ЗПК «1С:Предприятие, 8.2z»

С целью проведения сертификации вновь выходящих релизов заключен договор инспекционного контроля. В соответствии с условиями договора предусматривается ежеквартальное проведение инспекционного контроля с выдачей заключения о распространении действия сертификата на соответствующую новую версию с указанием ее контрольной суммы.

Кто вправе осуществлять работы по установке ЗПК «1С:Предприятие, 8.2z»

Деятельность по обслуживанию программных продуктов, не являющихся средствами защиты информации (в том числе конфигурации, разработанные на платформе «1С:Предприятие»), не относятся к деятельности по технической защите конфиденциальной информации.

Для осуществления работ по настройке управления ЗПК «1С:Предприятие, 8.2z», а также проведения комплекса работ по технической защите информации, рекомендуется привлекать организации, имеющие лицензии ФСТЭК России.

Какие работы по защите ПДн могут оказываться только при наличии лицензии на осуществление деятельности по технической защите ПДн?

Для оказания услуг по защите ПДн, включающих мероприятия по технической защите, необходимо наличие соответствующей лицензии ФСТЭК России.

Если организация ограничивается организационно-распрорядительными документами, то лицензии на техническую защиту конфиденциальной информации не нужна.

Также необходимо помнить, что каких-либо специальных лицензий на осуществление деятельности по защите персональных данных действующим законодательством не предусмотрены.

Возможна ли разработка необходимых организационно-распорядительных документов по защите ПДн самим оператором без привлечения специалистов по защите информации?

Действующие нормативные правовые акты в области защиты ПДн не содержат каких либо ограничений в части разработки необходимой внутренней документации собственными силами оператора ПДн. Исключения составляют лишь работы по формированию модели угроз. В соответствии с руководящими документами ФСТЭК России модель угроз должна быть составлена экспертами. Вместе с тем в настоящее время имеется неопределенность в признании того или иного специалиста - экспертом.

Какие требования должны быть соблюдены при работе с ПДн представителей третьих организаций?

Доступ представителей третьих организаций (аудиторов, программистов, обслуживающих ПО и т. п.) к ПДн должен быть жестко регламентирован внутренними документами оператора ПДн. Порядок обеспечения безопасности ПДн определяется организационными мерами, в том числе условиями договоров. В случае, если имеется необходимость в рамках выполнения договора между двумя юридическими лицами предоставлять доступ к персональным данным оператора или их передавать, то, обговаривая условия такого договора, следует определять условия соблюдения конфиденциальности при организации работы с ПДн и предусматривать мероприятия по защите персональных данных (например, определять условия хранения, допуск лиц и т.п.) Может быть рекомендовано заключение договора о конфиденциальности с заказчиками, а также соглашения о неразглашении сведений персонального характера с работниками исполнителя. Кроме того порядок предоставления данных и передачи ПДн и доступа третьих лиц в необходимых случаях должен быть определен в Положении о защите ПДн.

Персональные данные - это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Различные фрагменты информации, собранные вместе, и приводящие к идентификации конкретного лица, также представляют собой персональные данные. Трудно точно сказать, какая именно информация о человеке входит в такое понятие персональных данных ( ПДн ). Обращаясь к законодательству разных стран в области хранения и обработки ПДн , нельзя найти точного определения что является персональными данными. Но можно точно сказать, если по совокупности личной информации мы можем определить конкретного человека, мы имеем дело с персональными данными.

Под такое определение попадает множество личных данных, которые как по отдельности, так и в совокупности, могут указать на конкретного человека.

Таким образом персональными данными являются:

Это лишь малая часть личной информации, по которой можно точно определить нужного человека. Несанкционированная, неосторожная и не имеющая должной зашиты обработка персональных данных может причинить большой вред физическим лицам и компаниям. Целью защиты персональных данных является не просто защита персональных данных человека, а защита основных прав и свобод людей, связанных с этими данными. Надежно защищая персональные данные, можно гарантировать, что права и свободы человека не нарушаются. Например, неправильная обработка персональных данных может привести к ситуации, когда человек упускает возможность трудоустройства или, что еще хуже, теряет текущую работу. Несоблюдение правил защиты персональных данных может привести к еще более жестким ситуациям, когда можно снять все деньги с банковского счета человека или даже создать опасную для жизни ситуацию, манипулируя медицинской информацией.

Исходя из этого можно сказать, что любая компания, собирающая подобную информацию, должна обеспечить надежную защиту для хранения и обработки персональных данных. В России законодательной основой защиты ПДн является федеральный закон №152-ФЗ "О персональных данных" . В это законе говорится, что любая организация, физическое или юридическое лицо, которое осуществляет обработку персональных данных является оператором персональных данных и несёт уголовную, административную и гражданскую ответственность за нарушение требований хранения и обработки персональных данных. В Европе защита персональных данных регулируется "Общим регламентом по защите персональных данных" (GDPR). За обработку и сохранность данных согласно GDPR отвечает контроллер данных. За нарушение норм GDPR предусмотрены штрафы в размерах до $20 млн. или до 4% оборота компании.

КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Для определения методов и способов защиты персональных данных их можно разделить на несколько категорий:

Особо охраняемы данные. К этой категории относятся данные, раскрытие которых может повлиять на конфиденциальность личности и в результате привести к дискриминации. Исчерпывающего перечня таких данных не существует, однако, данные, относящиеся к следующей информации, стали широко рассматриваться как конфиденциальные: политические взгляды, религиозные взгляды, физическое и ментальное здоровье, сексуальная ориентация, расовая и этническая принадлежность, генетические данные и т.п.
Биометрические данные. К таким данных относят физиологические или поведенческие признаки физического лица. Такие данные позволяют однозначно идентифицировать человека. Можно отнести к таким ПДн отпечатки пальцев, изображение человеческого лица, сетчатку глаза, запись голоса.
Общие данные. Все данные, относящиеся к человеку, которые он сам разместил в открытом доступе или же прямо или косвенно к нему относящиеся. К таким данным можно отнести страницу в социальных сетях или список редакции журнала.
Обезличенные или не относящиеся к остальным категориям данные.

Для разных категорий данных требуется обеспечение разной степени защиты. Особо охраняемы данные требуют максимальной защиты, так как нарушение требований защиты или утечка персональных данных может привести к значительному ущербу для субъекта персональных данных. Обезличенные же данные требуют лишь минимальной защиты, так как это не приведет к негативным последствиям для субъекта ПДн при утечки персональных данных.

СПОСОБЫ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Любая организация, которая хранит или обрабатывает любую персональную информацию пользователей и использует ее в личных целях является оператором ПДн и должен надежно их защищать, чтобы соответствовать законодательству нашей страны. Для работы организации необходимые данные клиентов должны быть доступны для многих сотрудников с нескольких устройств, поэтому должны быть обеспеченна легкая доступность и возможность легкого доступа. Решением этой проблемы может послужить локальное хранилище или различные облачные решения. Для защиты персональных данных согласно закону №152-ФЗ "О персональных данных" выделяется несколько технических мер, например шифрование. Существует три основных подхода для хранения шифрованных совместно используемых персональных данных:

Локальное хранение зашифрованных данных. В этом случае данные шифруются и уже зашифрованные данные сохраняются на локальных серверах.
Облачное хранилище с шифрованием на стороне сервера и при передаче. Шифрование данных осуществляет поставщик облачного хранилища, который шифрует и хранит персональные данные пользователей, а также соответствующий ключ шифрования и расшифровки в безопасном месте. По вашему запросу провайдер может расшифровать данные по вашему запросу. Такие услуги предлагают практически все облачные провайдеры, такие как Яндекс, Google, Dropbox, Microsoft и другие.
Облачное хранилище с сквозным шифрованием. В этом случае данные шифруются на вашей стороне, а хранение осуществляется на облаке. Преимущество такого способа хранения в том, что вы единственный, кто обладает ключом для расшифровки данных и никто другой, даже поставщик облачных услуг.

Для того понять преимущества и недостатки каждого решения для хранения и шифрования проведем риск-анализ и выясним актуальности и вероятность успеха некоторых атак, направленных на кражу и повторное использование персональных данных пользователей.

ЛОКАЛЬНОЕ ХРАНЕНИЕ ЗАШИФРОВАННЫХ ДАННЫХ

Способ локально хранения является достаточно простым и безопасным только в том случае, если сервер, хранящий ПДн и ключ для расшифрования достаточно защищен. Однако реализовать высокий уровень защиты для небольших и средних организаций достаточно проблематично, так как хранение персональных данных не основная их деятельность. Даже наличие достаточной технической защиты и использование безопасных программ обычно недостаточно. Профессиональные целенаправленные атаки могут полностью обойти все средства защиты используя фишинг и социальную инженерию. Это может произойти, например, если сотрудник компании откроет безобидное вложение ил пройдет по ссылке в письме, которая была подделана злоумышленником. Далее вредоносное программное обеспечение, установленное на любую машину, получает доступ к локальной сети и, использовав уязвимости некоторых программных компонентов, получает доступ к конфиденциальным файлам, в которых может храниться ключ для расшифровки базы ПДн. Кроме того, вредоносные программы могут считывать нажатия клавиш, когда вы вводите пароль для расшифровки вашей базы данных. Даже компании, которые вкладывают значительные средства в безопасность данных подвержены таким угрозам.

ОБЛАЧНОЕ ХРАНИЛИЩЕ С ШИФРОВАНИЕ НА СТОРОНЕ СЕРВЕРА

Оператор персональных данных доверяет шифрование ПДн клиентов провайдеру облачного хранилища, передавая данные в облако по защищенному каналу. Провайдер шифрует данные и сохраняет их вместе с ключом шифрования и расшифровки в безопасном месте. Всякий раз, когда оператору ПДн необходимы данные, поставщик облачных услуг расшифровывает их и отправляет расшифрованные данные по к оператору ПДн по защищенному каналу. Для внешнего злоумышленника получение доступа к серверу провайдера, на котором хранятся зашифрованные данные, может быть технически более сложным, чем при использовании локального сервера. Это объясняется тем, что хранение данных является их основной деятельностью, поэтому провайдеры облачных хранилищ более подготовлены к таким атакам и используют более комплексную защиту. Тем не менее, вероятность успешной атаки вероятна даже в этом случае. Реальная разница заключается в мотивации злоумышленника. Если он знает, что поставщик хранит ключ дешифровки данных или незашифрованные данные, то злоумышленник может быть гораздо более мотивированным, при нападении на него. Наконец, внутренние злоумышленники включают самого облачного провайдера, а также его сотрудников, которые могут легко получить ключ для расшифровки данных. Хотя у поставщика облачных услуг нет стимула пользоваться файлами и базами данных клиентов из-за потенциальных юридических последствий и потери репутации, однако несправедливо уволенный или финансово мотивированный сотрудник может это осуществить.

ОБЛАЧНОЕ ХРАНИЛИЩЕ С ШИФРОВАНИЕ НА СТОРОНЕ КЛИЕНТА

Данный способ хранения ПДн сочетает в себе преимущества локального хранения и облачного хранения с шифрование на стороне провайдера. Только оператор ПДн знает ключ для расшифровки, но данные безопасно хранятся у поставщика. Даже в случае, если злоумышленник каким-то образом получит копию зашифрованной базы данных с ПДн клиентов, то он не извлечет никакой личной информации. Практическую пользу от таких данных злоумышленник получит только в случае их успешного расшифрования, а для этого требуется ключ дешифровки. Если размер ключа равен 256 бит и является полностью случайным, вероятность того, что злоумышленник угадает ключ ничтожно мала. Таким образом, можно с уверенностью сказать, что ни один злоумышленник не имеет шанса угадать ключ. До тех пор, пока данные не могут быть расшифрованы, они не представляют ценности и не принесут ущерба субъектам ПДн.

Однако, если ваш ключ расшифровки генерируется не случайно или совпадает с вашим паролем, злоумышленник может подобрать нужный ключ и расшифровать базы с персональными данными. Так же, алгоритм шифрования, используемый оператором ПДн или провайдером облачного хранилища, может быть уязвим для некоторых атак. Например, злоумышленник может использовать конструктивные недостатки схемы шифрования. Этого довольно маловероятно, если используются рекомендуемые и стандартизированные алгоритмы шифрования. Еще однин способ взлома схемы шифрования заключается в использовании недостатков реализации в некоторых программных компонентах, использующихся в схеме шифрования. Недостатки реализации неизбежны до тех пор. Для лучшей реализации защиты персональных данных необходимо оператору ПДн и провайдеру облачных услуг использовать рекомендуемые средства криптографической защиты информации ( СКЗИ ), а также регулярно обновлять программные компоненты.

Таким образом, проанализировав каждый способ хранения можно сделать выводы о возможных угрозах, уязвимостях и путях утечки персональных данных в выбранном способе хранения. В приведенной ниже таблицы приведены в соответствие способы хранения и вероятности утечки ПДн, что позволяет сделать выбор наилучшего способа хранения базы персональных данных.

Таблица Актуальность и вероятность успеха атаки на ПДн

Таблица Актуальность и вероятность успеха атаки на ПДн Таблица Актуальность и вероятность успеха атаки на ПДн

Исходя из данных таблицы, можно сделать вывод о том, что облачное хранилище со сквозным шифрованием обладает наибольшей степенью защиты и наименьшей вероятностью утечки данных. Это происходит главным образом потому, что провайдер не имеет доступа к ключам для расшифрования данных, и поэтому злоумышленник не так сильно замотивирован. Даже если он получит доступ к данным, они не буду иметь ценности в зашифрованном виде. Еще одна причина для использование облачного хранилища вместо локального повышенная безопасность. Поставщик облачных услуг имеет гораздо более защищенную от угроз сервера. Это улучшает доступность и целостность персональных данных, что является главными принципами информационной безопасности.

КАТЕГОРИИ УГРОЗ

Под угрозой персональных данных можно считать случаи, при которых возникает вероятность потери или раскрытия личной информации субъекта персональных данных. Угрозой является лицо или организация, которые стремятся получить, изменить данные или другие активы ИС (информационной системы) незаконно, без разрешения владельца и часто без ведома владельца. Уязвимостью является возможность для угроз получить доступ к индивидуальным или организационным активам. Например, когда человек покупает что-то в интернете, он предоставляет данные кредитной карты, когда эти данные передаются через Интернет, они уязвимы для угроз. Защитная мера - это некоторая мера, которую отдельные лица или организации принимают для предотвращения угрозы неправомерного получения актива. Наконец, целью угрозы является актив, который желателен для угрозы. Угроза безопасности - это вызов конфиденциальности, целостности и доступности информационных систем, возникающих от одного из трех источников:

Человеческих ошибок
Компьютерных преступлений
Стихийных бедствий

К категории компьютерных преступлений относятся действия сотрудников и бывших сотрудников, которые умышленно уничтожают данные или другие компоненты системы. Умышленные же действия сотрудники преднамеренно совершают для получения доступа к секретной информации или нанесения ущерба компании. Злоумышленники или компании-конкуренты могут за материальное вознаграждение получать от сотрудников компании важную и конфиденциальную информацию. В своем большинстве это опытные сотрудники, которые могут легко уничтожить следы своих преступлений. Выявление таких сотрудников очень непростая задача. Также угрозу безопасности данных компании представляют уволенные сотрудники, которые при увольнении могут забрать всю информацию, к которой имеют доступ. В категории компьютерных преступлений угроза безопасности данных обусловлена действиями физических лиц, террористических организаций, иностранных спецслужб и криминальных формирований, реализующие ситуации в которых создаются условия, представляющие угрозу безопасности персональных данных. Также к категории компьютерных преступлений можно отнести действия злоумышленников, которые взламывают систему, авторов вирусов и червей, которые заражают компьютерные системы, а также аппаратные и программные закладки. Атаки типа " отказ в обслуживании " могут быть осуществлены злоумышленниками. Злоумышленник может перегрузить веб-сервер, например, миллионами поддельных запросов, которые перегрузят сервер так, что он не сможет обслуживать реальные запросы.

Природные явления и катастрофы включают пожары, наводнения, ураганы, землетрясения, цунами, лавины и другие природные явления. Проблемы этой категории включают в себя не только первоначальную потерю доступности, но и потери, возникающие в результате действий по устранению первоначальной проблемы.

Большинство угроз реализуемых с применением программных средств, осуществляются при несанкционированном или случайном доступе, в процессе которого происходит полное нарушение конфиденциальности, целостности и доступности персональных данных, т. е. копирование, изменение, уничтожение или несанкционированное распространение. Такие угрозы включают в себя:

Угрозы внедрения вредоносного программного обеспечения. Угрозы такого типа широко распространены. Реализуются при посещении непроверенных ресурсов без подтвержденного сертификата или при подключении по незащищенному протоколу связи, а также в случае использования неофициального (пиратского) программного обеспечения.

Угрозы утечки с серверов оператора ПДн. Такие угрозы обусловлены халатностью и нежеланием операторов персональных данных обеспечить необходимые меры по защите доступа к персональным данным хранящихся на серверах, а также каналов передачи. Невыполнение минимальных рекомендаций для защиты персональных данных приводит к утечкам и несанкционированному распространению информации.

Осуществляемые методами социальной инженерии угрозы. Актуальный вид угроз от которого нет надежных способов защиты. Действия злоумышленника направлены на получение от пользователей или сотрудников конфиденциальной информации или доступа к интересующим его информационным системам, хранящих персональные данные. Вероятность реализации угроз данного типа увеличивается при недостаточных мерах защиты персональных данных, а также публикации личной информации в открытых источниках.

Угрозы проникновения в операционную среду устройства с использованием прикладных программ или средств операционной системы подразделяются на:

Угрозы непосредственного доступа. Доступ к серверу или базе данных, оставленному без присмотра и без соответствующей защиты и содержащей персональные данные, злоумышленник может осуществить непосредственно.
Угрозы удаленного доступа. Доступ к серверу или базе данных злоумышленник может получить посредством взлома систем защиты, либо используя по умолчанию установленные данные для авторизации.

Угрозы нештатных режимов работы программных средств за счет преднамеренных изменений служебных данных, игнорирования, предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, модифицирования самих данных. Использования нелицензионного или скомпрометированного программного обеспечения создает риск реализации угроз данного типа.

В соответствии со статьей 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее - Федеральный закон № 152-ФЗ) оператором информационной системы персональных данных признается любая организация или предприниматель, обрабатывающие данные в отношении физических лиц.

Причем требования законодательства о защите персональных данных (далее - ПДн) предусматривают не только необходимость создания системы защиты ПДн с учетом технических решений с последующей аттестацией или декларированием соответствия информационной системы ПДн (далее - ИСПДн) требованиям безопасности информации, но и разработку системы документооборота, предусматривающую возможность получения согласия у субъектов ПДн на обработку ПДн, уведомление Роскомнадзора о своем намерении осуществлять обработку ПДн, разработку документов, регламентирующих получение, обработку и передачу ПДн, и т. п. Для организации и проведения работ по защите ПДн следует познакомиться не только с нормами Федерального закона № 152-ФЗ, Положением об обеспечении персональных данных при их обработке в ИСПДн, утвержденного Постановлением Правительства РФ от 17.11.2007 № 781 (далее - Положение), но и нормативными правовыми актами, разработанными "регуляторами" исполнения данного закона, с которыми можно ознакомиться на сайтах ФСТЭК РФ, ФСБ РФ, Роскомнадзора.

Необходимо защитить персональные данные

Получение согласия на обработку данных

Статьей 9 Федерального закона № 152-ФЗ предусмотрено, что субъект персональных данных принимает решение о предоставлении своих ПДн и дает согласие на их обработку своей волей и в своем интересе.

Под ПДн в соответствии со статьей 3 Федерального закона № 152-ФЗ понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Как видим, перечень такой информации является открытым.

Предоставление данных может быть обязательным и добровольным. Например, обязательное предоставление данных предусмотрено пунктом 2 статьи 9 Федерального закона № 152-ФЗ в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

В большинстве же случаев мы предоставляем персональные данные в добровольном порядке, при этом согласие субъектов ПДн на обработку ПДн требуется не всегда.

Без получения согласия субъекта ПДн может осуществляться обработка персональных данных в целях исполнения договора, одной из сторон которого является субъект ПДн, либо в случае, если обработка ПДн необходима для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в пункте 2 статьи 6 Федерального закона № 152-ФЗ (например, не требуется получения согласия в целях исполнения договора с субъектом ПДн).

Следует принимать во внимание, что обеспечение конфиденциальности ПДн не требуется в отношении общедоступных ПДн. При использовании таких данных рекомендуется источник их получения.

Перечень сведений, подлежащих отражению в согласии субъекта персональных данных на обработку данных, приведен в пункте 4 статьи 9 Федерального закона № 152-ФЗ.

Уведомление Роскомнадзора

С 1 января 2008 операторы, осуществляющие обработку персональных данных, обязаны направлять уведомление в Роскомнадзор. Такое уведомление в соответствии с требованием пункта 1 статьи 22 Федерального закона № 152-ФЗ оператор должен направлять до начала обработки персональных данных.

Без уведомления Роскомнадзора можно осуществлять обработку ПДн, относящихся к субъектам ПДн, которых связывают с оператором трудовые отношения либо полученные оператором в связи с заключением договора, стороной которого является субъект ПДн (например, при заключении договора бытового подряда). Полный список исключений приведен в пункте 2 статьи 22 Федерального закона № 152-ФЗ.

Форма уведомления утверждена приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций РФ от 17.07.2008 № 08.

Проведение классификации

Еще одним обязательным мероприятием, которое обязаны осуществить все без исключения операторы информационных систем является проведение классификации и присвоение класса ИСПДн.

При проведении классификации необходимо исходить в первую очередь из перечня сведений, подлежащих обработке в информационной системе, а уже затем учитывать применяемые технические средства, прикладные программы, средства антивирусной защиты, сетевые экраны и т. п.

Основной целью проведения классификации является установление методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

В соответствии с пунктом 2 Порядка проведения классификации информационных систем, утвержденного совместным Приказом ФСТЭК РФ (Федеральной службы по техническому и экспортному контролю), ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 № 55/86/20 классификация проводится самой организацией - оператором информационной системы персональных данных. Необходимо оговориться, что класс информационной системы ПДн варьируется от К4 до К1.

При этом наименьшие требования к защите ПДн предъявляются к классу К4, а максимальные - к классу К1, т. е., говоря о повышении класса информационной системы, подразумеваем снижение требований по защите информации.

При определении класса информационной системы ПДн, необходимо определить в какой диапазон попадает ИСПДн вашей организации исходя из объема обрабатываемых данных:

менее 1 000 субъектов;
от 1 000 до 100 000 субъектов;
более 100 000 субъектов.

При расчете данного показателя стоит учитывать содержащуюся в базе информацию о работниках, бывших работниках, акционерах (учредителях), клиентах, контактных лицах в различных организациях (поставщиках, покупателях) и т. п.

При этом при обработке данных в рамках одной организации (независимо от численности) следует исходить из порядка, предусмотренного для ИСПДн, в которой обрабатываются ПДн не более чем 1 000 субъектов.

Таким образом, в особую "группу риска" попадают те операторы, в информационных базах которых содержится информация о деятельности нескольких организаций и соответственно сведения о субъектах ПДн, имеющих отношения к нескольким операторам ПДн.

К перечню обрабатываемой информации необходимо подойти с особой тщательностью, ведь от этого напрямую зависит класс и, соответственно, сумма расходов на проведение мероприятий по защите ПДн.

С учетом изложенного можно попытаться предварительно определить класс информационной системы в соответствии с таблицей.

В случае если рассматриваемую ИСПДн можно признать типовой, то такой системе присваивается один из следующих классов:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;
класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.

Возьмем для примера сведения, подлежащие учету в программе "1С:Бухгалтерия 8". Например, при внесении записи в Справочник Физические лица подлежат указанию следующие сведения: ФИО, дата рождения, пол, место рождения, паспортные данные, гражданство, инвалидность, страховой номер свидетельства в ПФР, ИНН.

Кроме того, в базе данных будет также содержаться информация об адресе места жительства физического лица, телефоне, должности и другие сведения, в том числе финансового характера.

В ряде случаев могут возникнуть вопросы по поводу таких сведений как гражданство и инвалидность.

Но ведь мы понимаем, что гражданство не является синонимом национальной принадлежности, а понятия состояние здоровья и инвалидность не тождественны.

Данные сведения необходимы для правильного исчисления налогов с учетом требований законодательства.

Соответственно, можно говорить, что персональные данные, вводимые и обрабатываемые в "1С:Бухгалтерии 8", соответствуют классу К3.

Необходимо учитывать, что в случае дополнения базы дополнительными реквизитами, организация рискует понизить класс и соответственно повысить требования по защите этой информации.

Например, в случае внесения в информационную систему данных о состоянии здоровья (например, о заболеваниях) класс информационной системы будет К1, а требования, предъявляемые по защите таких данных максимальными.

Дополнительно стоит отметить, что в настоящее время нет четкого разграничения между ПДн, относящимися к классу 2 (ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к классу 1) и ПДн класса 1 (ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни).

Присвоение системе соответствующего класса подтверждается актом, утверждаемым руководителем организации.

Кроме того, среди факторов, подлежащих анализу, необходимо учитывать:

структуру информационной системы (автономные, локальные вычислительные системы с и без удаленного доступа);
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки персональных данных (однопользовательский или многопользовательский);
наличие системы с разграничением прав доступа пользователей информационной системы или без;
местонахождение технических средств информационной системы - целиком в России или нет.

С учетом проведенного обследования информационной системы и присвоения класса следует определить перечень необходимых мер.

Пунктом 1 статьи 19 Федерального закона № 152-ФЗ предусмотрено, что оператор при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий.

К таким мерам могут быть отнесены следующие мероприятия:

разработка документов, регламентирующих обработку персональных данных в организации;
создание системы защиты ПДн, в том числе разработка мер по защите информации от несанкционированного доступа (система разграничения доступа к информации; регистрация и учет; обеспечение целостности; контроль отсутствия недекларируемых возможностей; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, анализ защищенности; криптографические средства; обнаружение вторжений) и меры по защите информации от утечки по техническим каналам (организация режима и контроля доступа в помещения; защита от ПЭМИН (экранирование, зашумление и т. д.); защита от утечки акустической и видовой информации);
обязательная сертификация (аттестация) по требованиям безопасности информации - для ИСПДн классов 1 и 2 или декларирование соответствия для ИСПДн класса 3.

Деятельность по обязательной сертификации (аттестации) по требованиям безопасности информации может осуществляться исключительно организациями, имеющими соответствующую лицензию ФСТЭК РФ.

Особо стоит подчеркнуть, что для обеспечения требования по защите ПДн при эксплуатации ИСПДн класса 1 и 2 операторы ПД также должны получить лицензию на деятельность по технической защите конфиденциальной информации или заключить соответствующий договор с организацией, имеющей такую лицензию.

Документы по защите ПДн

Особое внимание необходимо уделить разработке соответствующих документов по защите ПДн, в которых необходимо отразить перечень обрабатываемых данных, перечень ИСПДн, перечень сотрудников, имеющих право доступа к ПДн и вид доступа, используемое оборудование, средства защиты, антивирусные программы и т. п.

Основными документами, подлежащими разработке, являются:

Положение о персональных данных и их защите;
Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
Приказы о возложении персональной ответственности за защиту ПДн;
Регламент допуска сотрудников к обработке персональных данных;
Перечень сотрудников, допущенных к обработке персональных данных (с правом записи и без такого права);
Должностные инструкции сотрудников, имеющих отношение к обработке ПДн и т. д.

Экспресс-опрос по защите ПДн

Определим место вашей организации в правовом поле защиты персональных данных.

Экспресс-опрос по определению минимального набора необходимых мероприятий в рамках выполнения требований по защите ПДн:
Шаг 1 - определяем класс ИСПДн - см. схему 1.
Шаг 2 - определяем комплекс необходимых мероприятий - см. схему 2.

Федеральный закон "О персональных данных" предъявляет дополнительные требования и к разработчикам программных продуктов, в первую очередь к организациям, являющимися производителями средств защиты информации.

Ряд дополнительных требований предъявляется и к программному обеспечению, не признаваемому средством защиты информации. Именно к данной категории относятся программные продукты, разрабатываемые фирмой "1С". В связи с чем, фирмой "1С" проводятся работы по направлениям:

Читайте также: