Формирование новой информационной среды образовательного учреждения с использованием технологий

Двенадцатая международная научно-практическая конференция
НОВЫЕ ИНФОРМАЦИОННЫЕ
ТЕХНОЛОГИИ В ОБРАЗОВАНИИ
Формирование новой
информационной среды
образовательного учреждения с
использованием технологий
"1С"
Обеспечение защиты персональных данных
в условиях изменения
действующего законодательства
Баймакова Ирина Александровна, эксперт
31 января - 1 февраля 2012 г.
История вопроса





1981 год - Конвенция «О защите физических лиц
при автоматизированной обработке персональных
данных»;
2006 год – Федеральный закон «О персональных данных»
№ 152-ФЗ;
2007 год – создание Управления по защите прав субъектов
персональных данных;
2008 год – издание подзаконных и нормативных правовых
актов
2011 год – существенное изменение Федерального закона «О
персональных данных»
2
Изменения законодательства
Федеральным законом от 25.07.2011 № 261-ФЗ
были внесены изменения в Федеральный закон
«О персональных данных»

Изменения затронули:
 Применяемую терминологию;
 Порядок получения согласия субъектов ПДн и
случаи обработки ПДн без согласия;
 Требования к уведомлению;
 Требования к оператору персональных данных при передаче
информации для обработки третьим лицам;
 Введение уровней защищенностей.
3
Терминология
(ст. 3 Федерального закона 152-ФЗ)





персональные данные - любая информация, относящаяся к
прямо или косвенно определенному или определяемому
физическому лицу (субъекту ПДн);
автоматизированная обработка ПДн - обработка ПДн с
помощью средств вычислительной техники;
распространение ПДн - действия, направленные на
раскрытие ПДн неопределенному кругу лиц;
предоставление ПДн - действия, направленные на раскрытие
Пдн определенному лицу или определенному кругу лиц;
обезличивание ПДн - действия, в результате которых
становится невозможным без использования дополнительной
информации определить принадлежность ПДн конкретному
субъекту ПДн;
4
Принципы и условия обработки ПДн
(ст. 5 и 6 Фед. закона № 152-ФЗ)
Основополагающие принципах и условиях
обработки ПДн, в том числе:
 обработка ПДн должна осуществляться на законной
и справедливой основе;
 обработка ПДн должна быть ограничена достижением
конкретных целей;
 обрабатываемые ПДн не должны быть избыточными
по отношению к целям их обработки;
 оператор должен принимать меры, либо обеспечивать
их принятие по удалению или уточнению неполных или
неточных данных.
5
Нормативно-правовое
регулирование
Федеральный закон № 152-ФЗ
до 261-ФЗ
Пунктом 2 статьи 19 закона предусмотрено, что Правительство РФ
устанавливает требования к обеспечению безопасности Пдн при их
обработке в ИСПДн, требования к материальным носителям
биометрических Пдн и технологиям хранения таких данных вне ИСПДн.
В Постановлении Правительства № 781 от 17.11.2007 года
предусмотрено (п.6), что Порядок проведения классификации
информационных систем устанавливается совместно ФСТЭК России,
ФСБ РФ и Министерством информационных технологий и связи РФ.
Приказ ФСТЭК РФ, ФСБ РФ и Министерства информационных
технологий и связи РФ от 13.02.2008 № 55/86/20
Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении положения о
методах и способах защиты информации в информационных системах
персональных данных» (пришел на смену Основным мероприятиям …)
6
Нормативно-правовое
регулирование
Федеральный закон № 152-ФЗ
с учетом 261-ФЗ
Правительство РФ с учетом возможного вреда субъекту ПДн, объема
и содержания обрабатываемых ПДн, вида деятельности, при
осуществлении которого обрабатываются ПДн, актуальности угроз
безопасности ПДн устанавливает:
- уровни защищенности ПДн при их обработке в ИСПДн в зависимости
от угроз безопасности этих данных;
- требования к защите Пдн при их обработке в ИСПДн, исполнение
которых обеспечивает установленные уровни защищенности ПДн;
- требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИСПДн.
7
Состав и перечень мер по защите ПДн
(ст. 18.1 Фед. закона № 152-ФЗ)
Определен состав и перечень мер, необходимых
и достаточных для обеспечения выполнения
обязанностей, предусмотренных законодательством
о защите ПДн.
К таким мерам могут относиться:
 назначение оператором, являющимся юридическим лицом,
ответственного за организацию обработки ПДн;
 издание документов, определяющих политику оператора
в отношении обработки ПДн;
 применение правовых, организационных и технических мер по
обеспечению безопасности ПДн;
 осуществление внутреннего контроля и (или) аудита соответствия
обработки ПДн установленному порядку;
 оценка вреда, который может быть причинен субъектам ПДн;
 ознакомление работников оператора с организацией работы с ПДн.
8
Обязанности оператора ПДн
(п. 2 ст. 19 Фед. Закона № 152-ФЗ)
Требование
1. Определение угроз безопасности ПДн при
их обработке в ИСПДн
2. Применение организационных и технических мер по обеспечению безопасности
ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите
ПДн, исполнение которых обеспечивает
установленные Правительством РФ уровни
защищенности ПДн
3. Применение прошедших в установленном
порядке процедуру оценки соответствия
средств защиты информации
4. Оценка эффективности принимаемых мер
по обеспечению безопасности ПДн
Реализация
Модель угроз (документ)
?
Уровни защищенности ПДн должны
быть установлены Правительством
РФ
Перечень сертифицированных СЗИ
приведен на сайте ФСТЭК России
(ЗПК «1С:Предприятие 8.2z»)
?
9
Обязанности оператора ПДн
(п. 2 ст. 19 Фед. закона № 152-ФЗ)
Требование
5. Учет машинных носителей ПДн
6. Обнаружение фактов несанкционированного
доступа к ПДн и принятие мер
7. Восстановление ПДн, модифицированных
или уничтоженных вследствие
несанкционированного доступа к ним
Реализация
Организационные меры
(журнал учета)
Технические меры
(ПО фирмы 1С)
Организационно-технические
меры (деятельность системного
администратора и ПО фирмы 1С)
8. Установление правил доступа к ПДн,
обрабатываемым в информационной системе
ПДн, а также обеспечением регистрации и учета
всех действий, совершаемых с ПДн в ИСПДн
Организационно-технические
меры (регламентация правил
доступа внутри компании +
настройка ПО фирмы 1С)
9. Контроль за принимаемыми мерами по
обеспечению безопасности ПДн и уровня
защищенности ИСПДн
Организационные меры
(назначение ответственного и
периодический контроль)
10
Обязанности оператора ПДн
Среди обязательных мероприятий, которые
должны быть проведены всеми операторами
ПДн, необходимо выделить:
 получение согласия физических лиц на обработку
персональных данных;
 направление уведомления в Роскомнадзор для включения
в реестр операторов персональных данных;
 назначение ответственного за организацию обработки
персональных данных;
 разработка положения об обработке и защите
персональных данных.
11
Деятельность «1С» по обеспечению
требований законодательства о ПДн

Сертификация средств защиты информации;

Доработка конфигураций;


Разработка подсистемы «Защита персональных
данных»
Методическая поддержка партнеров и пользователей
12
Сертификация ПО фирмы «1С»
Что учтено в решениях фирмы «1С»
на платформе 8.2 (с учетом требований,
предусмотренных Приказом ФСТЭК России № 58)

Управление доступом – предусмотрена возможность настройки доступа с
паролем состоящим из любого количества символов (возможности платформы
дают возможность вводить запрет на простые пароли, а также возможность
указания пароля на нескольких регистрах)

Регистрация и учет:
 регистрации событий аутентификации и отказа в аутентификации;
 регистрация событий доступа и отказа в доступе к конкретным
персональным данным;
 получение сведений о зарегистрированных событиях;
 регистрация изменений прав пользователя.

Обеспечение целостности – предусмотрена проверка информационной базы
на физическую целостность с использованием ПП ФИКС 2.0
13
Доработки технологической
платформы
Начиная с версии 8.2.10 в платформе
«1С:Предприятие 8.2» дополнительно реализовано:

Регистрация аутентификации и отказа в аутентификации (реализовано в версии
8.2.9);

Регистрация изменений прав пользователей позволяет определить когда какие
роли назначались пользователю;

Регистрация фактов отказа в доступе

Регистрируются все факты отказа в доступе пользователю. Например, для
поиска массовых попыток обращения к недоступным для пользователя
ресурсам

Регистрация доступа к защищаемым ресурсам:
- Разработчик включает регистрацию для доступа к определенным полям
по определенным объектам метаданных;
- Разработчик описывает какую ключевую информацию необходимо
включать в события журнала регистрации для поиска событий;
- Система реализует отражение всех фактов доступа к указанной
информации;
- Система предоставляет возможность отбора зарегистрированных
событий по метаданным и данным.
14
Условия продажи и применения ЗПК

Защищенный программный комплекс
«1С:Предприятие, версия 8.2z»:
 прошел регистрацию в 2010 году;
 сертификат ФСТЭК РФ № 2137;
 может применяться в ИСПДн до класса К1

Порядок продажи ЗПК определен в инфописьме № 12891 от 29.12.2010;

Существует два варианта ЗПК:
 4601546081315 ЗПК «1С:Предприятие 8.2z» (x86-32) – 10 000 руб.;
 4601546081322 ЗПК «1С:Предприятие 8.2z» (x86-64) – 30 000 руб.




ЗПК может применяться с любыми конфигурациями,
разработанными на 8.2;
1 экз. ЗПК может устанавливаться на несколько рабочих мест/серверов;
Осуществляется регулярное ежеквартальное обновление вновь
выходящих релизов (последним сертифицирован релиз – 8.2.14.533);
Бесплатное получение обновлений в течение года после приобретения.
Вопросы по применению ЗПК можно направлять
по адресу – SZI@1c.ru
15
Зарплатные конфигурации

В «1С:Зарплата и управление персоналом» и
«1С:Зарплата и кадры бюджетного учреждения»
реализовано :
 настройка режима защиты персональных данных по областям
(личные данные, данных о доходах, данные о профессии и
образовании, данные об имуществе);
 просмотр сведений о зарегистрированных событиях
аутентификации и отказа в аутентификации, доступа и
отказе в доступе;
 уничтожение персональных данных по запросу субъекта;
 автоматическое уничтожение персональных данных кандидата
по истечении срока предоставления персональных данных.
16
Автоматическое уничтожение ПДн
Данные, предоставленные на определенный срок,
будут уничтожены автоматически по истечении
этого срока
Срок обработки указывается
в анкете кандидата
в месяцах
Автоматическое уничтожение
включается в форме
«Настройки программы»
17
Обработка персональных данных
В типовую анкету (анкета
резюме кандидата)
может быть
дополнительно введено
два вопроса:
•
•
«Разрешить
обработку
персональных данных»
«Срок предоставления
персональных данных,
мес.»
Программа позволяет
осуществить настройку
«обязательности ответа»
на данные вопросы.
18
Обработка персональных данных
При вводе сведений о кандидате следует
в явном виде указать согласие на обработку
персональных данных, в противном случае документ не будет записан
19
Подсистема
«Защита персональных данных»

Обработка «Согласие на обработку персональных
данных»
 Команда и форма ввода данных для печати

Роль «Подготовка согласия на обработку персональных данных»
20
Методическая поддержка

Раздел на сайте Buh.ru

Обучающий курс на базе Учебного центра № 1
21
Методическая поддержка
Вопросы защиты персональных данных
рассматриваются:


в методическом пособии, разработанном специалистами 1С,
"Обеспечение защиты персональных данных" (3-я редакция);
в мультимедийном курсе
«1С:Электронное обучение.
Обеспечение защиты персональных
данных».
Вопросы, предложения – szi@1c.ru
22
Двенадцатая международная научно-практическая конференция
НОВЫЕ ИНФОРМАЦИОННЫЕ
ТЕХНОЛОГИИ В ОБРАЗОВАНИИ
Спасибо за внимание!
Баймакова Ирина Александровна, эксперт
31 января - 1 февраля 2012 г.