- •Понятие буис и ее место в системе управления экономическим объектом. Актуальность буис. Основные принципы построения и функционирования бухгалтерских ис. Информационные связи буис.
- •1С:совместимые решения для 1с:предприятие 8
- •Виды итс итс проф
- •29. Виды услуги итс (профессиональная, технологическая, интернет-подписка). Организационные мероприятия, проводимые фирмами-франчайзи для подписчиков итс.
- •31. Понятие Информационной системы персональных данных. Конфиденциальность, целостность и доступность информации. Определение класса типовой информационной системы персональных данных.
- •32. Обеспечение требований 152-фз в конфигурации «1с: Зарплата и Управление Персоналом».
31. Понятие Информационной системы персональных данных. Конфиденциальность, целостность и доступность информации. Определение класса типовой информационной системы персональных данных.
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
конфиденциальность (англ. confidentiality)[6] — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
целостность (англ. integrity)[7] — избежание несанкционированной модификации информации;
доступность (англ. availability)[8] — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
|
В зависимости от параметров типовой ИСПДн присваивается следующий класс | |
|
1 класс (К1): обязательная аттестация по требованиям безопасности информации должны быть реализованы мероприятия по защите ПДн от ПЭМИН получение лицензии ФСТЭК России на деятельность по ТЗКИ |
ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн |
|
2 класс (К2): обязательная аттестация по требованиям безопасности информации должны быть реализованы мероприятия по защите ПДн от ПЭМИН, получение лицензии ФСТЭК России на деятельность по ТЗКИ для распределенных систем |
ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн |
|
3 класс (К3): декларирование соответствия или обязательная аттестация по требованиям безопасности информации получение лицензии ФСТЭК России на деятельность по ТЗКИ (для распределенных ИСПДн) |
ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн |
|
4 класс (К4): Перечень мероприятий по защите ПДн определяется оператором (в зависимости от возможного ущерба) |
ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн |
ПЭМИН (Побочные ЭлектроМагнитные Излучения и Наводки) ТЗКИ – техническая защита конфиденциальной информации
32. Обеспечение требований 152-фз в конфигурации «1с: Зарплата и Управление Персоналом».
Инструментарий "1С: Зарплата и управление персоналом 8" способен обеспечить защиту персональных данных в соответствии с требованиями Федерального закона от 27.06.2006 № 152-ФЗ (далее - Федеральный закон № 152-ФЗ) к информационным системам классов 3 и 2
Для защиты персональных данных в информационных системах класса 3 необходимо фиксировать события аутентификации (входа в систему) и отказа от аутентификации, которые по умолчанию включены. Для соответствия требованиям Федерального закона № 152-ФЗ к информационным системам класса 2 необходимо в числе прочего регистрировать события доступа и отказа в доступе к конкретным персональным данным. Иначе говоря, нужно "уметь" ответить на вопрос "Кто, когда, получил доступ к зарплате Иванова?", и "Кто и когда его получить пытался, но не смог" (из-за ограничения прав)?". В новой версии 8.2.10 платформы "1С:Предприятие 8" добавлены возможности, которые решают эту задачу. А именно: регистрация событий доступа и отказа в доступе к данным и, соответственно, просмотр сведений о зарегистрированных событиях с точностью до полей данных. Нужно понимать, что регистрация события "Доступ" довольно ресурсоемкая. И хотя предварительные замеры производительности позволяют утверждать, что не будет заметного пользователю увеличения времени выполняемых операций, однако поскольку результат запроса к защищаемым данным будет фиксироваться вместе с записью о событии, размер журнала регистрации существенно увеличится. Исходя из этого:
с одной стороны, требуется обеспечить соответствие требованиям закону - защитить все области персональных данных;
с другой стороны, необходимо минимизировать потери производительности.
Перед разработчиками прикладного решения встает задача - обеспечить гибкую настройку режима соответствия требованиям Федерального закона № 152-ФЗ. В типовых решениях гибкость настройки достигается за счет:
выделения областей персональных данных;
управления "детальностью" регистрации событий.
Что сделано в программах «1С»? Итак, данные, подпадающие под определение "персональные", разбиваются на четыре области:
личные сведения;
сведения об образовании и компетенциях;
сведения об имуществе;
сведения о доходах.
Пользователю (администратору информационной системы) предлагается установить области данных, для которых будет выполняться регистрация событий доступа и отказа в доступе
Это вовсе не означает, что частично "включив" регистрацию событий, мы "частично" выполняем требования закона. Просто наиболее вероятным кажется сценарий, при котором доступ к таким областям данных, как сведения о доходах, например, находится в руках у очень ограниченного круга лиц и детально регистрировать каждое отдельное событие нет необходимости. В этом случае область данных можно "отключить" и снизить нагрузку на систему. Регистрация списка лиц при доступе к данным определяет "детальность" сведений о событии. От этой настройки зависит, будет ли в журнале расшифровано "чья именно зарплата была прочитана" или будет указано: "была прочитана зарплата" без расшифровки по записям.
Еще одна настройка связана с обеспечением конфиденциальности сведений о доходах. Необходимо исключить возможность сотрудников видеть сумму зарплаты коллег. Это может произойти при выплате зарплаты по кассовым ведомостям. Настройка "Ограничивать количество сотрудников при печати платежных ведомостей" запрещает формирование печатной формы для платежных ведомостей, содержащих больше одного сотрудника. Выплату зарплаты в таком случае следует оформлять при помощи расходного кассового ордера. В законе упоминается обязанность оператора в ряде случаев уничтожить персональные данные по запросу субъекта. Таким образом, по заявлению физического лица работодатель обязан удалить: данные о его доходах, ИНН, страховой номер ПФР и другие сведения, хранить которые работодателя обязывает законодательство. Учитывая специфику зарплатных конфигураций, принято решение выполнять уничтожение только тех персональных данных, которые не подлежат обязательному хранению. Предполагается, что уничтожение данных может быть выполнено, например, по требованию кандидата, который предоставлял свои сведения на этапе подбора персонала, но в последствии так и не стал сотрудником. Уничтожение сведений выполняется только пользователем с полными правами в новой форме Управление персональными данными (той же, где и производится просмотр событий) - см. рис. 2. При уничтожении выполняется замена значений защищаемых полей пустыми значениями, иначе говоря, очистка полей, а ссылочная целостность базы данных сохраняется.