Защита персональных данных в 1С (152-ФЗ, ИСПДн)

Вступил в силу федеральный закон № 152 «О персональных данных», по требованию которого все операторы персональных данных обязаны выполнить ряд требований по защите и хранению персональных данных.

Мы оказываем услуги по размещению информационных систем на 1С по обработке персональных данных, согласно 152-ФЗ. Какие есть решения у 1С по защите персональных данных (ИСПДн)?

Фирмой “1С” получен сертификат соответствия №2137, выданный ФСТЭК России, который подтверждает, что защищенный программный комплекс (ЗПК) “1С:Предприятие, версия 8.2z” признан программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведения, составляющие государственную тайну.

По результатам сертификации подтверждено соответствие требованиям руководящих документов по защите от НСД -5 класса, по уровню контроля отсутствия недекларированных возможностей (НДВ) по 4 уровню контроля, подтверждена возможность использования для создания автоматизированных систем (АС) до класса защищенности 1Г (т.е. АС, обеспечивающих защиту конфиденциальной информации в ЛВС) включительно, а также для защиты информации в информационных системах персональных данных (ИСПДн) до класса К1 включительно.

Сертифицированные экземпляры платформы 1С маркированы знаками соответствия с №Г 420000 до №Г 429999.

1CAir предлагает в аренду данные программы. Как начать пользоваться?

Как создать на 1С систему по обработке персональных данных, согласно 152-ФЗ?

Все конфигурации, разработанные на платформе “1С:Предприятие 8.2″, могут быть использованы при создании информационной системы персональных данных любого класса и дополнительная сертификация прикладных решений не требуется.

Получены дополнительные разъяснения у фирмы “1С”:

1. Непосредственно сам Федеральный закон № 152-ФЗ “О персональных данных” каких либо требований к программному обеспечению не предъявляет (в редакции, действующей сегодня).

2. Требование о необходимости проводить оценку соответствия средств защиты информации содержится в пункте 5 Положения, введенного Постановлением Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

3. Непосредственно требования в части программного обеспечения предусмотрены Приказом ФСТЭК России № 58. В частности требования предусмотрены по подсистемам управления доступом, регистрации и учета и контроля целостности. Данные подсистемы имеют отношения исключительно к технологической платформе, а не конфигурациям.

4. При проведении сертификации изначально предполагалось предусмотреть требования к конфигурациям (технические условия). Однако при завершении сертификации испытательная лаборатория отказалась от предъявления каких-либо требований к конфигурациям.

Таким образом, действующим законодательством сертификация (либо иная оценка соответствия) программных продуктов, не являющихся средствами защиты информации к которым относятся типовые конфигурации, не предусмотрена, какие-либо технические условия  к конфигурациям не предусмотрены. Соответственно, с защищенным программным комплексом могут применяться любые конфигурации для этой платформы.

При этом при аттестации объектом выступают не просто программы, а весь комплекс административных регламентов и мероприятий (требования по обеспечению безопасности, модель угроз, акты классификации, план защиты персональных данных и др.) и вся информационная система, используемая в организации.
Оператор обработки персональных данных должен принять решение о присвоении системе персональных данных соответствующего класса.

Исходя из присвоенного класса ИСПДн (К1 – К4), оператор осуществляет выбор методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн, создает свою модель безопасности, и в соответствии с этой моделью определяет технические параметры защиты. Более подробную информацию можно получить в рекомендациях фирмы 1С.

Несмотря на то, что данные хранятся вне пределов РФ, Федеральный закон №152-ФЗ прямо предусматривает возможность трансграничной передачи данных, а именно ст 12. “Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом …”. Персональные данные хранятся в датацентрах только тех европейских стран, которые подписали данную Конвенцию, согласно письму Министерства связи и массовых коммуникаций РФ «Об осуществлении трансграничной передачи персональных данных».
Согласно ст.12 п.3 закона №152-ФЗ мы убедились, что обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных. Это зафиксировано в нашем договоре с датацентрами, и отражено в Соглашении с клиентом.

В настоящий момент используется типовая платформа “1С:Предприятие, версия 8.2″, с требованиями к защите данных, как указано выше. Поэтому с помощью 1CAir возможно построение систем защиты информации в информационных системах персональных данных (ИСПДн) до класса К2 включительно.

Несмотря на использование 1CAir, оператором обработки Ваших персональных данных остается Ваша организация, а не мы. Вы создаете свою модель безопасности, и в соответствии с этой моделью определяете параметры защиты. По этим техническим параметрам Вы можете у нас выяснить, предоставляем ли мы такой сервис (например, шифрование), и создаете нужную систему с использованием программ в 1CAir.