Согласно 152-ФЗ все ваши разработки относятся к ИСПДн. В связи с этим вопрос: "Какие мероприятия вы собираетесь проводить для соответствия требованиям 152-ФЗ?". (Некоторые разработчики ПО для ЖКХ подают заявки на сертификацию в ФСТЭК, хранят ПДн в БД в зашифрованном виде, применяют технологию "обезличивания" ПД и т.д. и т.п.). Не придется ли пользователям ваших разработок переходить на другое ПО, в которых реализованы требования 152-ФЗ?
Старый форум по программам «Инфокрафт» для ЖКХ
152-ФЗ Персональные данные
[ Закрыто ] 152-ФЗ Персональные данные
18.12.2009 09:21:35
|
|
|
18.12.2009 13:51:11
Здравствуйте, Сергей.
Спасибо за вопрос - сложная тема, которая многих интересует. Некоторые комментарии По 152-ФЗ не разработчики должны обеспечивать безопасность ПДн, а операторы. То есть пользователи. Сертификация ПО для ЖКХ в ФСТЭК - на мой взгляд это фикция, уловка разработчиков. ФСТЭК сертифицирует системы защиты данных и системное ПО. Расчетноеучетное ПО - это системы обработки данных. Кроме того - сертифицируются конкретные сборки ПО. Любое обновление - это уже другой продукт, который надо заново сертифицировать. Единственно что разработчики ПО могут предпринять - это изменение структуры БД для уменьшения требуемого класса защиты, что влечет за собой менее затратные мероприятия по защите ПДн. На сегодня пока что немного внятных комментариев экспертов и руководств к действию. Ниже я приведу несколько ссылок, но они, по большому счету, не дают большего понимания "что делать?". Защита ПДн в 1С Разработчики конфигураций 1С мало что могут сделать для шифрования данных. Ведь конфигурации - суть командные файлы, обрабатываемые платформой. Решение должно быть на уровне платформы 1С. Скорее всего (это мое личное мнение, оно не является мнением фирмы 1С) - на версии 7.7 никаких шифрований делаться не будет. На версии 8 (а скорее на платформе 8.2) - возможно и будет. Пока что никаких официальных комментариев от фирмы 1С по вопросу 152-ФЗ не было. Они обязательно появятся - так что подождем. Появление какой-то защиты в 1С 8 будет еще одним аргументом для перехода с 7.7 на 1С 8. Классификация угрозы Я буду перестраховываться и дам максимальную оценку требуемого уровня защиты. Возможно все не так страшно и можно обойтись меньшими действиями. По категории обрабатываемых в информационной системе ЖКХ персональных данных на сегодняшний день наши продукты можно отнести ко 2й категории. Требуемый уровень защиты: Обработка до 1000 лицевых - необходимо обеспечить уровень защиты КС3. Обработка до 100 000 лицевых - необходимо обеспечить уровень защиты КС2. Думаю что это как раз Ваш случай. Что будем делать мы - разработчики Думать, как уменьшить требуемый уровень защиты для крупных УК до уровня КС3 на большинстве рабочих мест. Хотя нам пока не понятны различия в методах обеспечения защиты уровня КС2 от КС3. Изучать законодательство, мониторить новости от 1С, других разработчиков, доносить до пользователей какие-то новости, рекомендации, планы. Что делать пользователям 1. Пользователям локальных версий, количество лицевых меньше 1000: 1.1. Установите лицензионные Firewall и антивирус. И не волнуйтесь - ваша компания вряд ли когда-нибудь заинтересует ФСТЭК, ФСБ, Роскомнадзор - у них работы хватит и без вас. 1.2. Если хотите 100% выполнить требования и если на вашем на компьтере установлена WindowsXP - приобретайте Secure Pack Rus 2.0, стоимость примерно 3150 р. 2. Пользователям сетевых версий, количество лицевых меньше 1000: 2.1. Установите лицензионные Firewall и антивирус. 2.2. Отключите локальную сеть с базой данных от интернет. 2.3. На сервер желательно установить сертифицированную ФСТЭК операционную систему или дополнение к операционной системе. Это или все тот же Secure Pack Rus 2.0 для Windows 2003 Server (дополнение к операционной системе, стоимость примерно 9300 р.), или переходите на Linux - есть несколько сертифицированных ФСТЭК систем. Например Mandriva Enterprise Server 4 (MES4), стоимость около 9000 р. MES4 можно использовать или с 1С 7.7 в файловом варианте, или с 1С 8 как в файловом варианте, там и в клиент-серверном (при наличии серверной лицензии на 1С). 3. Пользователям сетевых версий, количество лицевых больше 1000: То же, что и в п.2, только п.2.3. обязателен. Плюс подумать о Secure Pack Rus на рабочих местах. Во всех случаях у организации должны быть подготовлены и подписаны необходимые документы - инструкции по обеспечению безопасности, положение о конфиденциальности, положение о работе с ПДн и т.п. Интересные ссылки Портал Роскомнадзора о защите ПДн Планы проверок Роскомнадзора Проработка вопросов безопасности ПДн Рособразованием. Документы интересены как пример рекомендованных образовательным учреждениям необходимых действий для обеспечений выполнения требований 152-ФЗ Нормативные документы ФСТЭК. С некорых гриф "для служебного пользования" снят только в ноябре - свеженькое Все вышеописанное является моим личным мнением. Желания и возможностей много дискутировать по этому вопросу нет в виду ограниченности доступной информации. Как будут новости - буду сообщать. |
|
|
18.12.2009 15:52:50
"Расчетноеучетное ПО - это системы обработки данных.
Пока что никаких официальных комментариев от фирмы 1С по вопросу 152-ФЗ не было." Комментарий самой 1С: "В настоящее время на основании решения ФСТЭК России от 5.10.2009 №2847 проводится сертификация защищенного программно-аппаратного комплекса "1С:предприятие 8" на соответствие требованиям руководящих документов по защищенности от несанкционированного доступа к информации - по 5 классу,по уровню контроля отсутствия недекларируемых возможностей - по 4 уровню контроля, а также в части оценки возможностей использования в автоматизированных системах до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных до 2 класса" |
|
|
18.12.2009 15:58:52
Комментарий 1С - это ответ тех.поддержки 1С непосредственно Вам?
|
|
|
18.12.2009 17:16:49
Журнад Бух.1С за декабрь, статья "Организационные вопросы защиты персональных данных", в конце статьи
|
|
|
18.12.2009 17:30:54
Понятно. Читать журналы 1С сил не хватает. А в информацинных письмах и на форуме 1С это не проходило.
Будем ждать. Получение сертификата по ЗИ ПДн до 2го класса - это то что нам надо. Останется усилить (если надо) защиту от НСД и наладить резервное копирование. И перейти на 8ку |
|
|
16.06.2010 14:11:35
Все таки семерку не забыли. |
|||
|
21.08.2011 14:57:56
ЗАРЕГИСТРИРОВАЛСЯ ВОТ ПОЧИТАЛ СПАСИБО МНОГО ИНТЕРЕСНОГО!
|
||||
|
||||
Вы уже с нами?
18
Посетителей на сайте
выбирают программу.
выбирают программу.
23520
Выбрали решения
Инфокрафт с 2004г.
Инфокрафт с 2004г.