Защита персональных данных по закону

В любой организации ведется учет персональных данных. Сложно представить себе организацию, которая бы вела учет сотрудников, клиентов или поставщиков и при этом могли бы избежать необходимости сохранять и учитывать информацию, лично касающуюся всех этих людей. Следовательно, любая организация несет ответственность за сохранность и конфиденциальность этих данных.

Рамки этой ответственности нормативно закреплены Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных". Как гласит данный закон, "лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность". С 1 января 2011 года вступили в силу несколько поправок и положений этого закона. И что особенно важно для всех пользователей программ "1С", начало действовать положение, которое гласит, что информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года. Также с начала года на порядок увеличились взыскания с операторов в случае нарушения требований к обработке персональных данных. Таким образом, любая проверка информационной системы компании соответствующим контролирующим органом власти может стать причиной больших неприятностей, если окажется, что сохранность персональных данных в системе под угрозой.

Как усилить безопасность по закону?


Итак, снова очередная головная боль. Давайте разберемся, с какими проблемами придется столкнуться "хранителям" персональных данных.
  1. В соответствии с нормами законодательства, нужно выполнить ряд организационно-распорядительных и технических мероприятий, направленных на обеспечение защиты персональных данных. То есть, построить собственный комплекс безопасности в соответствии с уровнем развития информационной системы и защищенности доступа к ней пользователей и третьих лиц.
  2. Возможно, вам придется сертифицировать ваше программное обеспечение (ПО), являющееся средством защиты информации (если оно еще не сертифицировано). Такая сертификация проводится уполномоченными операторами (например, ФСТЭК) и предполагает проверку уровня контроля отсутствия недекларированных возможностей вашего ПО (проводится глубокое исследование ПО с анализом как исполняемого кода, так и исходных текстов программ).
Звучит страшновато, не правда ли? И тем более страшно, чем менее понятно. Правда, обязаны вы сертифицировать свое ПО или нет, зависит еще от класса вашей информационной системы по обработке персональных данных. Так, для систем 1-го класса сертификация обязательна, для 2-го и 3-го – определяется оператором (уполномоченным лицом), для 4-го класса сертификация не требуется.

Ключевое отличие 1-го класса – это или наличие сведений, касающихся состояния здоровья, расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимой жизни; или наличие персональных сведений более чем о 100 тысячах сотрудников и клиентов. То есть, если вы храните данные анкет своих сотрудников, либо данные о больничных листах, то вашу систему уже можно отнести к 1-му классу!

Как решить проблему?

Сертифицировать нужно то программное обеспечение, которое используется у вас на предприятии для хранения персональных данных ваших сотрудников и клиентов. Если для этого используется программы типа Word и Excel – обязаны сертифицировать их. Используете специализированное программное обеспечение (например, программу для кадрового учета) – сертифицируйте его.

Но тем, кто пользуется программами "1С", отчаиваться не придется! Если вы ведете учет и храните персональные данные в программе на платформе "1С:Предприятие", вам, как всегда, крупно повезло.

Защита от "1С"!

Как всегда, фирма "1С" не оставила своих клиентов наедине с проблемами, которые часто возникают перед пользователями из-за нововведений в законодательстве. Фирма "1С" выпустила новый продукт – защищенный программный комплекс "1С:Предприятие, версия 8.2z" для защиты информации от несанкционированного доступа к информации. Этот продукт прошел сертификацию ФСТЭК России, которая подтверждает, что защищенный программный комплекс (ЗПК) "1С:Предприятие, версия 8.2z" признан программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведения, составляющие государственную тайну.

Каждый экземпляр ЗПК имеет собственный сертификат (а это значит, что количество ЗПК, имеющихся в продаже, ограничено – сертификацию прошло определенное количество комплексов).

В поставку ЗПК входят:
  • непосредственно дистрибутив сертифицированной платформы;
  • формуляр с контрольной суммой;
  • регистрационная карточка защищенного продукта;
  • спецификация;
  • описание применения;
  • тестовая документация;
  • описание программы;
  • копия сертификата ФСТЭК России (плюс – наклейка ФСТЭК).
Таким образом, после установки защищенного программного комплекса на предприятии все конфигурации, работающие на платформе "1С:Предприятие 8.2" (например, "1С:Бухгалтерия 8", "1С:Управление торговлей" и др.), могут быть использованы при создании информационной системы персональных данных любого класса. Дополнительная сертификация прикладных решений не потребуется, так как, сертифицирована сама платформа. Также не требуется приобретение отдельных пользовательских лицензий.

Кроме того, ЗПК "1С:Предприятие, версия 8.2z" поддерживает специальный режим совместимости с версиями 8.0 и 8.1, что позволяет использовать ее с конфигурациями, разработанными для версий 8.0 и 8.1, без изменения самих конфигураций. В этом режиме прикладные решения, разработанные на платформе "1С:Предприятие" версий 8.0 и 8.1, можно использовать с платформой версии 8.2 без дополнительной переработки.

Стоимость ЗПК "1С:Предприятие, версия 8.2z"


Наименование

Цена, руб.

Защищенный программный комплекс "1С:Предприятие 8.2z" (x86-32)

10 000

Защищенный программный комплекс "1С:Предприятие 8.2z" (x86-64)

30 000


Порядок обновления защищенного программного комплекса

Фирмой "1С" на систематической основе будет проводиться сертификация вновь выпускаемых релизов ЗПК "1С:Предприятие, версия 8.2z". С целью получения обновлений сертифицированной платформы фирма "1С" вводит плату за ежегодное обслуживание.

Предусмотрен следующий способ получения обновления:
  • Cамостоятельная подписка на 6 или 12 месяцев на сайте http://www.online.1c.ru/ для получения обновлений в электронном виде (размещение информации на сайте по мере выхода обновлений);
  • Плата за обслуживание в течение одного года (первого года) с момента отгрузки со склада "1С" сертифицированной платформы не взимается.
В комплект материалов обновлений будут входить методическое пособие и разъяснения, содержащие актуальную информацию по организации защиты персональных данных.

Если для продукта, к которому приобретается ЗПК, введено обязательное обслуживание по линии информационно-технологического сопровождения (ИТС), то у зарегистрированного пользователя на момент приобретения обновления ЗПК "1С:Предприятие, версия 8.2z" обязательно должна быть оформлена подписка на ИТС.