Нажмите здесь для того, чтобы попасть на главную страницу

Курсы фирмы 1С (Москва)

Курсы 1С в регионах (ЦСО)

Дистанционные курсы

Экзамены













ГлавнаяКурсы 1С, Экзамены 1СЕжегодная конференция «Использование программных продуктов 1С в учебных заведениях»

Ссылка на аккаунт в социальной сети twitterСсылка на аккаунт в социальной сети Вконтакте Версия для печати
Bookmark and Share

Ежегодная конференция «Использование программных продуктов 1С в учебных заведениях»

Год: 
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005

2010 г.

Cекция "Повышение эффективности управления образовательными учреждениями с использованием технологий "1С""

"01. Организация работы с персональными данными при использовании программных продуктов «1С»" (Баймакова И.А., Фирма «1С»)

Одной из серьезных проблем, возникающих сегодня, является проблема защиты персональных данных (ПДн). Ведь под действие закона «О персональных данных», в полном объеме вступающем в силу с 01.01.2011 года, попадают все организации, зарегистрированные в Российской Федерации и осуществляющие обработку персональных данных, независимо от вида отрасли, формы собственности и иных факторов. 

Особенно актуальна данная проблема для учреждений образования, так как информационные базы таких заведений содержат большой объем сведений об обучающихся и их родителях/попечителях, выпускниках, абитуриентах, преподавателях и т.п. Защита таких данных - насущная проблема каждого учебного заведения с учетом соблюдения требований законодательства о защите персональных данных.

1. Защита персональных данных - задача комплексная.

Мероприятия по обеспечению безопасности персональных данных сочетают в себе реализацию правовых, организационных и технических мер, причем все они одинаково значимы, а невыполнение одних требований сводит на нет результаты реализации других.

Комплекс мероприятий, которые необходимо провести, обширен, среди основных можно выделить:

  • инвентаризация/обследование информационных системы ПДн, созданных/ существующих в организации;
  • формирование перечня подразделений и сотрудников, участвующих в обработке ПДн в рамках служебной деятельности (определить лиц, имеющих доступ к данным;
  • проведение категорирования ПДн и классификации ИСПДн;
  • формирование актуальной модели угроз в отношении каждой ИСПДн и разработке на основе модели угроз системы защиты ПДн;
  • анализ возможности по выработке мер, направленных на снижение категорий обрабатываемых ПДн и в необходимых случаях проведение уточнения классов ИСПДн, составление и утверждение акта классификации ИСПДн;
  • подготовка технического задания по созданию требуемой системы защиты с учетом присвоенного класса защиты;
  • проектировка и внедрение системы защиты ПДн, в т.ч. выполнение требований по инженерно-технической защите помещений, пожарной безопасности, охране, электропитанию и заземлению, санитарные и экологические требования;
  • разработка пакета внутренних организационно-распорядительных документов, регламентирующих обработку ПДн, в том числе установление сроков хранения данных, а также условий прекращения обработки ПДн;
  • аттестация (сертификация) или декларирование соответствия информационной системы персональных данных требованиям безопасности информации;
  • назначение сотрудников (специальной комиссии), ответственных за защиту ПДн, в том числе для рассмотрения всех вопросов, связанных с исполнением законодательства о защите персональных данных;
  • обучение/повышение квалификации сотрудников в области защиты персональных данных;
  • эксплуатация ИС - мониторинг, выявление и реагирование на инциденты ИБ, техническая поддержка и сопровождение подсистем безопасности, контроль;
  • контроль.

2. Мероприятия фирмы «1С» по организации защиты персональных данных.

Нормы Федерального закона «О персональных данных» предъявляют дополнительные требования и к разработчикам программных продуктов, в первую очередь к организациям, являющимися производителями средств защиты информации. Напомним, что с учетом требований, предъявляемых ФСТЭК России, обязательное использование сертифицированных средств защиты информации обязательно для ИСПДн 1 и 2 классов.

Ряд дополнительных требований предъявляется и к программному обеспечению, не признаваемому средством защиты информации. Именно к данной категории относятся программные продукты, разрабатываемые фирмой «1С».

Например, пунктом 4.2 «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн», утвержденных ФСТЭК России  от 15.02.2008 г. предусмотрено, что в ИСПДн должен проводиться контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения.

В связи с этим, фирмой «1С» проводятся работы по добровольной сертификации  в системе ФСТЭК России:

  • защищенного программно-аппаратного комплекса «1С:Предприятие, версии 8.2z» на соответствие требованиям руководящих документов по защите от НСД -5 класс. Классификация по уровню контроля отсутствия НДВ по 4 уровню контроля, использованию в АС до класса 1Г включительно, а также на соответствие требованиям, предъявляемым к СЗИ, входящим в состав ИСПДн, по обработке персональных данных до класса К2 включительно (ожидаемое время получения сертификата - январь-февраль 2010);
  • защищенного программно-аппаратного комплекса «1С:Предприятие, версии 7.7z» по обработке персональных данных до К3 включительно (ожидаемое время получения сертификата - февраль 2010).

Во исполнение требований законодательства специалистами фирмы «1С» проведена доработка технологической платформы «1С:Предприятие 8», а также осуществляется доработка ряда прикладных программных продуктов.

Наиболее серьезные доработки в связи с реализацией требований закона осуществлены в программе в «1С:ХроноГраф Школа 2.5 ПРОФ», в том числе:

  • выделение отдельного вида пользователя - ответственного за персональные данные;
  • создание локальной законодательной базы - издание соответствующих приказов по работе с персональными данными;
  • ведение листов согласия сотрудников и учащихся, соответствующих журналов;
  • возможность введения различных типов пользователя с определением объема предоставляемых функций;
  • ввод пароля для доступа в базу (не менее 6 символов);
  • ввод пароля на выгрузку базы данных в xml-формате и последующую его загрузку в другие программы;
  • формирование списка физических лиц и организаций, имеющих доступ к базе данных школы.

Кроме того, специалистами фирмы «1С» разработаны методическое пособие по защите персональных данных и типовые формы организационно-распорядительной документации, что позволит упростить организацию и проведение мероприятий по защите персональных данных.

Литература

  1. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  2. Постановление Правительства № 781 от 17 ноября 2007 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
  3. Постановление Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  4. Приказ ФСТЭК, ФСБ, Мининформсвязи от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
  5. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
  6. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
  7. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн»;
  8. «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».



© ООО "1С"
Все права защищены. Все торговые марки являются собственностью их правообладателей.

Адрес: Москва, ул. Селезнёвская, д.21.
Режим работы: 9:30 - 18:00 (по рабочим дням)
Телефон: (495) 737-92-57
Факс: (495) 681-44-07