Обратный звонок
Оставьте свои данные и мы перезвоним вам и ответим на интересующие вас вопросы
Ваши контактные данные под защитой. Заполняя форму, вы соглашаетесь на обработку персональных данных, ч. 2 ст. 18.1 ФЗ-152. Политика обработки персональных данных
Защита персональных данных согласно требованиям 152 Федерального закона
Защита ПДн при использовании продуктов 1С
Действия в области защиты ПДн можно условно разделить на 2 составляющих:
- Формирование описательных и регламентных документов, требуемых законодательством.
- Реализация технических мер безопасности для систем, работающих на собственной инфраструктуре либо поверх облачной инфраструктуры
Мы готовы оказать Вам необходимые консультации, выполнить весь объем работ либо совместно с Вашими специалистам (например, только техническую реализацию защиты ПДн), что поможет Вам экономить время и защищаться от финансовых и репутационных рисков.
Решения для защиты персональных данных в российских компаниях и учреждениях формируются на базе мер организационно-технического характера. Они должны соответствовать нормам правовых актов: Конституции Российской Федерации (статья 24), Федерального закона №152-ФЗ «О персональных данных» и специальным требованиям регуляторов.
Функции регуляторов выполняют:
Роскомнадзор следит за исполнением законодательства, касающегося персональных данных в целом, ФСТЭК и ФСБ формируют требования к методологическим, техническим и организационным условиям защищенности информационных систем обработки персональных данных.
Функции регуляторов выполняют:
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор;
- Федеральная служба по техническому и экспортному контролю – ФСТЭК;
- Федеральная служба безопасности – ФСБ.
Роскомнадзор следит за исполнением законодательства, касающегося персональных данных в целом, ФСТЭК и ФСБ формируют требования к методологическим, техническим и организационным условиям защищенности информационных систем обработки персональных данных.
В современном мире практически невозможно вести бизнес, не соприкасаясь с обработкой и хранением персональных данных. Согласно действующему законодательству при этом у бизнеса возникает обязанности выполнения требований по защите персональных данных. В большинстве случаев персональные данные обрабатываются прежде всего в учетных системах. В связи с ранее сложившейся практикой и последними вынужденными мерами по замене импортного ПО в качестве учетных систем наибольшую популярность в России имеют продукты фирмы 1С.
Когда Вы размещает персональные данные в развернутой системе 1С, то ваша система 1С становится информационной системой персональных данных (ИСПДн), а Вы становитесь владельцем данных, а значит должны выполнять все обязанности оператора данных (например, собирать согласия на обработку персональных данных (ПДн), уведомлять Роскомнадзор об обработке ПДн, моделировать угрозы для своих информационных систем персональных данных (ИСПДн).
В зависимости от того, где размещены Ваши 1С-системы: на собственных ресурсах или в Облаке, возможно разделение обязанностей по защите ПДн. Например, если вы развернули свою 1С -систему в Облаке Яндекс, то Яндекс предоставляет возможность выполнять требования законодательства по защите персональных данных на самом высоком 1-ом уровне защищенности ПДн, но для этого Вам необходимо обеспечивать на своей стороне действия по защите ПДн, как оператора данных.
Когда Вы размещает персональные данные в развернутой системе 1С, то ваша система 1С становится информационной системой персональных данных (ИСПДн), а Вы становитесь владельцем данных, а значит должны выполнять все обязанности оператора данных (например, собирать согласия на обработку персональных данных (ПДн), уведомлять Роскомнадзор об обработке ПДн, моделировать угрозы для своих информационных систем персональных данных (ИСПДн).
В зависимости от того, где размещены Ваши 1С-системы: на собственных ресурсах или в Облаке, возможно разделение обязанностей по защите ПДн. Например, если вы развернули свою 1С -систему в Облаке Яндекс, то Яндекс предоставляет возможность выполнять требования законодательства по защите персональных данных на самом высоком 1-ом уровне защищенности ПДн, но для этого Вам необходимо обеспечивать на своей стороне действия по защите ПДн, как оператора данных.
Законодательная база и защите информации в РФ
- Настройка средств аутентификации внутри физических/виртуальных серверов (на уровне ОС, СУБД, 1С).
- Контроль доступа пользователей к физическим/виртуальным серверам (на уровне ОС, СУБД, 1С).
- Регистрация событий безопасности (на уровне ОС, СУБД, 1С).
- Реализация антивирусной защиты физических/виртуальных серверов.
- Анализ уязвимостей и установка обновлений безопасности на ОС, СУБД и 1С.
- Обеспечение защиты данных от раскрытия и модификации при передаче их через Интернет.
- Управление изменениями внутри физических/виртуальных серверов.
Пример технических мер безопасности
Что входит в понятие «персональные данные»?
Ключевой особенностью трактовки является словосочетание «любая информация», то есть закон позволяет буквально все организации записать в «операторы персональных данных». Логика понятна. Устраиваясь, например, на работу человек передает работодателю всю информацию о себе, а заключая, скажем, договор с физическим лицом – получает и обрабатывает ПДн. Госструктуры, банки, интернет-магазины, социальные сети – это всего лишь несколько примеров из обширного списка операторов ПДн.
Федеральный закон обозначает общее «защитное поле» персональных данных. Конкретные нормы содержатся в приказе ФСТЭК от 18.02.2013 № 21. Например:
Федеральный закон обозначает общее «защитное поле» персональных данных. Конкретные нормы содержатся в приказе ФСТЭК от 18.02.2013 № 21. Например:
Ориентировочные сроки реализации. От 1,5 до 12 месяцев
- В системе обработки ПДн должна применяться идентификация и аутентификация пользователей, компонентов системы и персональной информации – объектов доступа, защиту которых нужно обеспечивать. Реализация требования предполагает сопоставление уникальных идентификаторов, которые присваиваются объектам и субъектам в ИСПДн. Это значит, необходимо задействовать механизмы авторизации и разграничения прав.
- Программная среда должна быть ограниченной, что подразумевает наличие фиксированного перечня системного и прикладного ПО. У пользователя должны быть заблокированы полномочия изменять набор системных компонентов и разрешенного ПО. Пользователь вправе запускать и использовать ПО в рамках своей роли. Это обеспечит защиту от случайных действий сотрудников, способных нанести ущерб ИСПДн.
- Хранение и обработка ПДн на съемных носителях возможна только при отлаженном учете устройстве.
- Оператор должен обеспечить непрерывный мониторинг безопасности: вести журнал аудита событий, чтобы отследить, что произошло и какие меры были предприняты. Одновременно следует надежно защитить сам журнал аудита от модификации и удаления.
- Система защиты ПДн должна включать антивирусные программные комплексы. Вредоносное ПО нередко становится причиной утечек конфиденциальной информации и частичного (реже – полного) выхода из строя информационной инфраструктуры.
- Наряду с антивирусом рекомендуется применять системы обнаружения и предотвращения вторжений. Это позволяет анализировать и выявлять факты не авторизованного доступа на уровне сети или компьютерной системы, попытки превышения полномочий или внедрения вредоносного ПО и предпринимать меры по устранению угроз: информирование офицера безопасности, сброс соединения, блокирование трафика и т.д.
- Несанкционированное изменение, повреждение информационной системы и ПДн фиксируют также системы обеспечения целостности, которые при использовании в ИСПДн должны иметь функции восстановления поврежденных компонентов и информации.
- Уровень защищенности ИСПДн подлежит регулярному контролю. Развернутые программные компоненты, аппаратный инструментарий и установленные настройки должны обеспечивать непрерывную и полную защиту процедур обработки и хранения информации, исходя из экспертного класса информационной системы.
Санкции за нарушение норм закона в области обработки и защиты персональных данных варьируются для юридических лиц – от ста 100 000 до 18 000 000 00 рублей (не исключено и уголовное преследование)
Список действий для обеспечения мер по защите ПДн
Вы можете выполнить их самостоятельно либо совместно с нами
Оценить бизнес-процессы, в рамках которых обрабатываются персональные данные. Определить цели обработки, состав обрабатываемых ПДн, порядок обработки ПДн, а также места и форму хранения ПДн. Определить законные основания обработки ПДн.
Оценить возможный ущерб субъектам ПД, провести моделирования угроз безопасности ПДн в ИСПДн.
Определить уровни защищенности ИСПДн согласно требованиям постановления правительства №1119.
Назначить работника, ответственного за организацию обработки персональных данных.
Сформировать меры по реализации требований Приказа №21 ФСТЭК России.
Документировать и реализовать выбранные меры защиты и осуществлять периодический контроль их исполнения.
Оценить возможный ущерб субъектам ПД, провести моделирования угроз безопасности ПДн в ИСПДн.
Определить уровни защищенности ИСПДн согласно требованиям постановления правительства №1119.
Назначить работника, ответственного за организацию обработки персональных данных.
Сформировать меры по реализации требований Приказа №21 ФСТЭК России.
Документировать и реализовать выбранные меры защиты и осуществлять периодический контроль их исполнения.
Разработать пакет локальных документов (политика, положения, регламенты и инструкции), регулирующие обработку и защиту персональных данных в организации.
Опубликовать политику в отношении обработки персональных данных на сайтах и в мобильных приложениях организации.
Подписать согласия на обработку персональных данных (в случае необходимости) с работниками и другими физическими лицами, чьи персональные данные вы обрабатываете.
При необходимости подать уведомление в Роскомнадзор об обработке ПДн.
Поддерживать документацию по персональным данным в актуальном состоянии.
Опубликовать политику в отношении обработки персональных данных на сайтах и в мобильных приложениях организации.
Подписать согласия на обработку персональных данных (в случае необходимости) с работниками и другими физическими лицами, чьи персональные данные вы обрабатываете.
При необходимости подать уведомление в Роскомнадзор об обработке ПДн.
Поддерживать документацию по персональным данным в актуальном состоянии.
1.
2.
3.
4.
5.
6.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
8.
9.
10.
11.
Универсального подхода к исполнению требований всеми организациями, которые подпадают под контроль регуляторов, нет. Как и нет одинаковый решений для обеспечения инфобезопасности.
Разработать и внедрить полный комплекс мероприятий по информационной защите невозможно без освоения нормативной базы, навыков настройки технических средств и знаний принципов ПО, обеспечивающего информационную безопасность. Это значит, защищать персональные данным силами одного сотрудника, по меньшей мере недальновидно.
Разработать и внедрить полный комплекс мероприятий по информационной защите невозможно без освоения нормативной базы, навыков настройки технических средств и знаний принципов ПО, обеспечивающего информационную безопасность. Это значит, защищать персональные данным силами одного сотрудника, по меньшей мере недальновидно.
Менее затратным и быстрым будет вариант привлечь специалистов Ситек, которые профессионально занимаются защитой информации. Специалисты уже обладают всеми знаниями нормативной и технической базы, имеют опыт создания комплексных систем безопасности, в том числе информационной.
Получить бесплатную консультацию по телефону
Оставьте свои данные и мы перезвоним вам и ответим на интересующие вас вопросы
Ваши контактные данные под защитой. Заполняя форму, вы соглашаетесь на обработку персональных данных, ч. 2 ст. 18.1 ФЗ-152. Политика обработки персональных данных
Хочу консультацию специалиста
Оставьте свои данные и мы перезвоним вам и ответим на интересующие вас вопросы
Ваши контактные данные под защитой. Заполняя форму, вы соглашаетесь на обработку персональных данных, ч. 2 ст. 18.1 ФЗ-152. Политика обработки персональных данных