29 мая 2014 года в Москве в «1С:Лектории» (Москва, ул. Селезневская, 34) состоялась лекция «Защита персональных данных. Применение защищенного программного комплекса "1С:Предприятие 8.2z"». Наши читатели, которые не могли посетить лекцию, присылали свои вопросы в рамках одноименной интернет-конференции. В ходе мероприятия Юрий Контемиров, начальник управления по защите прав субъектов персональных данных Роскомнадзора и Ирина Баймакова, эксперт фирмы «1С» ответили на вопросы о защите персональных данных, а также проанализировали основные ошибки, выявляемые Роскомнадзором в ходе осуществления контрольных мероприятий.
Пользователь kot: 1С:Предприятие 8.2z для малых и средних предприятий. Медицина, Бюджетники, Военные...? Для кого и чего нужна эта платформа? В пользовательском режиме это должно зарываться правами доступа. От стороннего подключения средствами СУБД?
Уже как 4 года гадаю, что это простая выкачка денег по аналогии "проблемы 2000 года". Когда приходил, запускал на компьтере программку, она что-то делала, ты говорил что все нормально и тебе платили.
Ирина Баймакова: Требования Федерального закона "О персональных данных" касаются любых операторов персональных данных, т.е. любых организаций в которых обрабатываются персональные данные. Да, действительно, требования по защите ПДн в зависимости от категории данных и их объема могут существенно различаться.
Использование ЗПК "1С:Предприятие, версия 8.2z" позволяет выполнить требование, предусмотренное статьей п. 2 статьи 19 Федерального закона "О персональных данных" в части обязательности применения средств защиты информации, прошедших оценку соответствия, в отношении персональных данных, обрабатываемых с использованием программных продуктов 1С.
Незарегистрированный пользователь: Что такого особенного в версия 8.2z? Почему именно в ней персональные данные защищены и что не так в плане защиты персональных данных в других версиях восьмерочных программ?
Ирина Баймакова: ЗПК "1С:Предприятие, версия 8.2z" – сертифицированная версия технологической платформы 1С:Предприятие 8.2. Функциональных отличий между сертифицированной версией и обычной нет. Доработки, сделанные с учетом требований ФСТЭК России, реализованы как обычной, так и сертифицированной версии технологической платформы.
Использование ЗПК "1С:Предприятие, версия 8.2z" позволяет выполнить требование, предусмотренное статьей п. 2 статьи 19 Федерального закона "О персональных данных" в части обязательности применения средств защиты информации, прошедших оценку соответствия, в отношении персональных данных, обрабатываемых с использованием программных продуктов 1С.
Незарегистрированный пользователь: Не очень представляю, как программа может стать панацеей в области защиты персональных данных. А как же пресловутый человеческий фактор? Ведь в программе работают люди.
Ирина Баймакова: В данном случае нельзя говорить, что программа является панацеей. Защищенный программный комплекс "1С:Предприятие, версия 8.2z" – один из "кирпичиков", который позволяет выстроить систему защиты информации и обеспечить соблюдение требований действующего законодательства РФ в области защиты персональных данных.
Незарегистрированный пользователь: Бывали ли случаи утечки данных защищенных 1с?
Ирина Баймакова: Такие данные у меня отсутствуют.
Незарегистрированный пользователь: Несет ли какую либо ответственность 1С за утрату данных и их утечку?
Ирина Баймакова: Ответственность за утрату данных возложена на оператора персональных данных.
Незарегистрированный пользователь: Кому необходимо применять ЗПК «1С:Предприятие, 8.2z»? Что входит в комплект поставки ЗПК?
Ирина Баймакова: В соответствии с подп. 3 п. 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации является одной из мер по обеспечению безопасности персональных данных при их обработке.
Согласно требованиям Постановления Правительства от 01.11.2012 № 1119 использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации обязательно, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Таким образом, определить необходимость или отсутствие необходимости применения средств защиты информации, прошедших оценку соответствия, в том числе ЗПК "1С:Предприятия, версия 8.2z" можно на основании модели угроз.
В комплект ЗПК "1С:Предпрятие, версия 8.2z" входят дистрибутив технологической платформы, формуляр, документация.
Незарегистрированный пользователь: Какие другие программные продукты можно использовать с целью защиты персональных данных?
Ирина Баймакова: На рынке представлено значительное количество средств защиты информации. Необходимость применения того или иного продукта зависит от выявленных актуальных угроз и требований по защите персональных данных у конкретного оператора.
Незарегистрированный пользователь: Какие главные потенциальные опасности Вы видите для персональных данных? Что именно гарантирует или исключает защита?
Юрий Контемиров: Основной опасностью является утечка и незаконное распространение персональных данных, что может повлечь негативные последствия для человека, вторжение в его личную жизнь. Гарантировать действительную защиту ПДн можно только при комплексном подходе к организации защиты информации, уделяя особое внимание "человеческому" фактору.
Незарегистрированный пользователь: Как Вы считаете, часто ли малые компании сталкиваются с утечкой бухгалтерских данных?
Юрий Контемиров: Информация по данному вопросу, к сожалению, у меня отсутствует.
Незарегистрированный пользователь: А почему "1С:Предприятие 8.2z" называется защищенным? В чем его принципиальное отличие от других продуктов?
Ирина Баймакова: В данном случае "защищенный" – это название, т.е. проверенный испытательной лабораторией на отсутствие недекларированных возможностей и соблюдение иных требований, определенных ФСТЭК России.
ЗПК "1С:Предприятие, версия 8.2z" – это специальный продукт для обеспечения требований действующего законодательства о персональных данных организациями и предпринимателями, применяющими программные продукты 1С.
Пользователь Kaufen: Организация закупила ЗПК "1С:Предприятие 8.2z". В чем основные отличия платформы от 1С:Предприятие 8.2, кроме наличия сертификата ФСТЭК? Кто-то сталкивался с такой платформой?
Ирина Баймакова: ЗПК "1С:Предприятие, версия 8.2z" – сертифицированной версия технологической платформы 1С:Предприятие 8.2. Функциональных отличий между сертифицированной версией и обычной нет.
Основным отличием является, то что сертифицированный релиз проверен испытательной лабораторией и подтверждает соответствие приведенным в сертификате требованиями, а также содержит контрольные суммы, приведенные в формуляре ЗПК "1С:Предприятие, версия 8.2z".
Незарегистрированный пользователь: У нас бюджетное учреждение. Есть ли модификация ЗПК "1С:Предприятие 8,2z" специально для бюджетников и сколько стоит версия с сопровождением?
Ирина Баймакова: ЗПК "1С:Предприятие, версия 8.2z" – сертифицированная версия технологической платформы 1С:Предприятие 8.2, которая может быть использована с любыми типовыми конфигурациями, в том числе для бюджетных учреждений (напр. "1С:Зарплата и кадры государственного учреждения", "1С:Бухгалтерия государственного учреждения").
Порядок продажи и обновления ЗПК 1С:Предприятие версия 8.2z" определен в инфописьме фирмы 1С № 12891. Ознакомиться можно по следующей ссылке -http://1c.ru/news/info.jsp?id=12891
Незарегистрированный пользователь: В анонсе лекции и интернет-конференции говорится про основные ошибки, выявляемые Роскомнадзором в ходе осуществления контрольных мероприятий. Хотелось бы узнать об этом подробнее, какие ошибки чаще всего выявляет ведомство?
Юрий Контемиров: Наиболее типичные нарушения законодательства, выявляемые в ходе контрольных действий Роскомнадзора, отражаются в ежегодных отчетах, публикуемых на сайте ведомства.
Незарегистрированный пользователь: Расскажите, пожалуйста, о сертификации ЗПК «1С:Предприятие, версия 8.2z».
Ирина Баймакова: Вопросы о целях, порядке, результатах сертификации, проведенной фирмой "1С", подробно рассмотрены и изложены на сайте buh.ru, в том числе в статье "Сертификация программ с целью соответствия законодательству по защите персональных данных" о первичной сертификации 2010 года и в статье "Защита персональных данных - из 2011 в 2013 или изменения длиной в два года" о сертификации, проведенной в 2013 году и продлении сертификата.
Незарегистрированный пользователь: Нужны ли, на ваш взгляд, новые меры для предотвращения утечки персональных данных и повышения уровня их защиты? Если нужны, то какие?
Юрий Контемиров: Для предотвращения утечек персональных данных важен разумный комплексный подход и особое внимание должно быть уделено "человеческому" фактору.
Незарегистрированный пользователь: Есть ли смысл пользоваться ИП и малым предприятиям подобными программными продуктами?
Ирина Баймакова: В соответствии с подп. 3 п. 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации является одной из мер по обеспечению безопасности персональных данных при их обработке.
Согласно требованиям Постановления Правительства от 01.11.2012 № 1119 использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации обязательно, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Таким образом, определить необходимость или отсутствие необходимости применения средств защиты информации, прошедших оценку соответствия, в том числе ЗПК "1С:Предприятия, версия 8.2z" можно на основании модели угроз.
Применение ЗПК "1С:Предприятие, версия 8.2z" позволяет выполнить с наименьшими затратами требования действующего законодательства, описанные выше, а также ряд требований, предусмотренных Приказом ФСТЭК России от 18.02.2013 № 21.
Незарегистрированный пользователь: Какие неблагоприятные последствия может иметь утечка данных? Например, для ИП без наемных работников.
Ирина Баймакова: Основной опасностью является утечка и незаконное распространение персональных данных, что может повлечь негативные последствия для человека, вторжение в его личную жизнь.
Если у ИП нет наемных работников, а, соответственно, не осуществляется обработка ПДн ни работников, ни иных физических лиц, то в данном случае предполагать возможную утечки ПДн вряд ли возможно.
Комментарии
1