Старый форум по программам «Инфокрафт» для ЖКХ

Здравствуйте, Сергей.

Спасибо за вопрос - сложная тема, которая многих интересует.

Некоторые комментарии
По 152-ФЗ не разработчики должны обеспечивать безопасность ПДн, а операторы. То есть пользователи.

Сертификация ПО для ЖКХ в ФСТЭК - на мой взгляд это фикция, уловка разработчиков. ФСТЭК сертифицирует системы защиты данных и системное ПО. Расчетноеучетное ПО - это системы обработки данных.

Кроме того - сертифицируются конкретные сборки ПО. Любое обновление - это уже другой продукт, который надо заново сертифицировать.

Единственно что разработчики ПО могут предпринять - это изменение структуры БД для уменьшения требуемого класса защиты, что влечет за собой менее затратные мероприятия по защите ПДн.

На сегодня пока что немного внятных комментариев экспертов и руководств к действию. Ниже я приведу несколько ссылок, но они, по большому счету, не дают большего понимания "что делать?".

Защита ПДн в 1С
Разработчики конфигураций 1С мало что могут сделать для шифрования данных. Ведь конфигурации - суть командные файлы, обрабатываемые платформой. Решение должно быть на уровне платформы 1С.

Скорее всего (это мое личное мнение, оно не является мнением фирмы 1С) - на версии 7.7 никаких шифрований делаться не будет. На версии 8 (а скорее на платформе 8.2) - возможно и будет. Пока что никаких официальных комментариев от фирмы 1С по вопросу 152-ФЗ не было. Они обязательно появятся - так что подождем. Появление какой-то защиты в 1С 8 будет еще одним аргументом для перехода с 7.7 на 1С 8.

Классификация угрозы
Я буду перестраховываться и дам максимальную оценку требуемого уровня защиты. Возможно все не так страшно и можно обойтись меньшими действиями.

По категории обрабатываемых в информационной системе ЖКХ персональных данных на сегодняшний день наши продукты можно отнести ко 2й категории.

Требуемый уровень защиты:
Обработка до 1000 лицевых - необходимо обеспечить уровень защиты КС3.
Обработка до 100 000 лицевых - необходимо обеспечить уровень защиты КС2. Думаю что это как раз Ваш случай.

Что будем делать мы - разработчики
Думать, как уменьшить требуемый уровень защиты для крупных УК до уровня КС3 на большинстве рабочих мест. Хотя нам пока не понятны различия в методах обеспечения защиты уровня КС2 от КС3.

Изучать законодательство, мониторить новости от 1С, других разработчиков, доносить до пользователей какие-то новости, рекомендации, планы.

Что делать пользователям
1. Пользователям локальных версий, количество лицевых меньше 1000:
1.1. Установите лицензионные Firewall и антивирус. И не волнуйтесь - ваша компания вряд ли когда-нибудь заинтересует ФСТЭК, ФСБ, Роскомнадзор - у них работы хватит и без вас.

1.2. Если хотите 100% выполнить требования и если на вашем на компьтере установлена WindowsXP - приобретайте Secure Pack Rus 2.0, стоимость примерно 3150 р. http://www.cryptopro.ru/CryptoPro/products/secure-pack-rus/default.htm

2. Пользователям сетевых версий, количество лицевых меньше 1000:
2.1. Установите лицензионные Firewall и антивирус.
2.2. Отключите локальную сеть с базой данных от интернет.
2.3. На сервер желательно установить сертифицированную ФСТЭК операционную систему или дополнение к операционной системе. Это или все тот же Secure Pack Rus 2.0 для Windows 2003 Server (дополнение к операционной системе, стоимость примерно 9300 р.), или переходите на Linux - есть несколько сертифицированных ФСТЭК систем. Например Mandriva Enterprise Server 4 (MES4), стоимость около 9000 р. MES4 можно использовать или с 1С 7.7 в файловом варианте, или с 1С 8 как в файловом варианте, там и в клиент-серверном (при наличии серверной лицензии на 1С).

3. Пользователям сетевых версий, количество лицевых больше 1000:
То же, что и в п.2, только п.2.3. обязателен. Плюс подумать о Secure Pack Rus на рабочих местах.

Во всех случаях у организации должны быть подготовлены и подписаны необходимые документы - инструкции по обеспечению безопасности, положение о конфиденциальности, положение о работе с ПДн и т.п.

Интересные ссылки
Портал Роскомнадзора о защите ПДн
http://pd.rsoc.ru/

Планы проверок Роскомнадзора
http://www.rsoc.ru/plan-and-reports/contolplan/

Проработка вопросов безопасности ПДн Рособразованием. Документы интересены как пример рекомендованных образовательным учреждениям необходимых действий для обеспечений выполнения требований 152-ФЗ
http://www.ed.gov.ru/news/newdocs/11620/

Нормативные документы ФСТЭК. С некорых гриф "для служебного пользования" снят только в ноябре - свеженькое
http://www.fstec.ru/_spravs/_spec.htm


Все вышеописанное является моим личным мнением. Желания и возможностей много дискутировать по этому вопросу нет в виду ограниченности доступной информации. Как будут новости - буду сообщать.

Комментарий 1С - это ответ тех.поддержки 1С непосредственно Вам?

Понятно. Читать журналы 1С сил не хватает. А в информацинных письмах и на форуме 1С это не проходило.

Будем ждать. Получение сертификата по ЗИ ПДн до 2го класса - это то что нам надо.
Останется усилить (если надо) защиту от НСД и наладить резервное копирование.

И перейти на 8ку