ГрамотаИБ ГрамотаИБ

Требования РКН и ФСТЭК для малого бизнеса на 1С: пошаговый алгоритм

Пошаговый план выполнения требований по защите персональных данных для небольшой компании, которая ведёт в 1С кадры и бухгалтерию своих сотрудников и учёт клиентов и контрагентов, сдаёт отчётность через УКЭП руководителя и МЧД бухгалтера, а с банком работает по ЭЦП. Организационные обязанности перед Роскомнадзором, отдельный блок технических мер по приказу ФСТЭК №21 (антивирус, межсетевой экран, идентификация и аутентификация и т. д.) и порядок учёта СКЗИ. Что именно нужно сделать и как.

Типичная небольшая компания ведёт в 1С зарплату и кадры своих сотрудников, бухгалтерию, базу клиентов и контрагентов; отчётность сдаёт с усиленной квалифицированной электронной подписью (УКЭПУсиленная квалифицированная электронная подпись — Наиболее защищённый вид электронной подписи; равнозначна собственноручной без дополнительных условий.) руководителя и по машиночитаемой доверенности (МЧДМашиночитаемая доверенность — Электронная доверенность в формате XML, подтверждающая полномочия сотрудника при подписании документов своей ЭП.) бухгалтера, а с банком работает через ЭЦПЭлектронная цифровая подпись — Устаревшее название электронной подписи (термин 1-ФЗ); сейчас используется «электронная подпись» по 63-ФЗ.. В этой связке возникают обязанности сразу по трём направлениям: перед Роскомнадзором (152-ФЗ), по технической защите (ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ., приказ №21) и по учёту криптосредств (ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА., Инструкция ФАПСИ №152). Ниже — пошаговый алгоритм: что нужно сделать и как закрыть каждый пункт без лишних затрат.

Если коротко: вы обрабатываете персональные данные сотрудников, клиентов и контактных лиц контрагентов, значит, вы оператор персональных данных по 152-ФЗ, а 1С с этими данными — это информационная система персональных данных (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.). Поэтому к организационным мерам добавляются технические.

Часть 1. Организационные обязанности (Роскомнадзор, 152-ФЗ)

Это бумажный и процедурный блок — то, что в первую очередь проверяет Роскомнадзор.

  1. Назначьте ответственного за организацию обработки ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). (статья 22.1 152-ФЗ). В маленькой компании эту роль может взять на себя директор. Оформляется приказом — образец приказа.
  2. Разработайте политику обработки ПДн и обеспечьте к ней доступ; если вы собираете данные через сайт — опубликуйте её там (часть 2 статьи 18.1). См. образец политики и статью «Как разработать политику обработки ПДн».
  3. Подготовьте внутренние документы: положение об обработке и защите ПДн, перечень обрабатываемых данных и целей, приказ об определении мест хранения и перечень лиц, допущенных к обработке, обязательства о неразглашении, формы согласий. Ориентир по комплекту — статья «Какие документы нужны по защите информации».
  4. Определите правовые основания по каждой категории:
    • Сотрудники — обработка ведётся на основании трудового договора и Трудового кодекса; отдельное согласие на основные кадровые цели по общему правилу не требуется, но нужно для необязательного (передача третьим лицам, публикация фото и т. п.). Подробнее — «Согласие на обработку ПДн работников», а по кандидатам — «Обработка ПДн соискателей».
    • Клиенты — для исполнения договора согласие не требуется (пункт 5 части 1 статьи 6); отдельное согласие нужно для рассылок и иных необязательных целей.
    • Контрагенты (контактные лица в договорах) — обработка обычно нужна для исполнения договора; согласие, как правило, не требуется. Если данные получены не от самого контактного лица, проверьте обязанность его уведомить (часть 3 статьи 18) и исключения (часть 4 статьи 18, в том числе обработка в связи с исполнением договора).
  5. Подайте уведомление об обработке ПДн в Роскомнадзор (статья 22). После реформы 2022 года это обязаны делать почти все операторы, включая работодателей; подаётся бесплатно. См. образец уведомления.
  6. Соблюдайте локализацию (часть 5 статьи 18): база 1С с данными граждан РФ должна храниться на серверах в России. Если 1С в облаке — провайдер должен быть российским с размещением в РФ; см. «Персональные данные в 1С: облако или локально».
  7. Оформите поручения на обработку (часть 3 статьи 6) со всеми, кто обрабатывает ваши данные: облачная 1С, аутсорс-бухгалтерия, оператор ЭДО для отчётности. Банк, как правило, выступает самостоятельным оператором (определяет цели и состав обработки сам), поэтому поручение с ним не оформляется. См. образец поручения.
  8. Настройте работу с правами субъектов: порядок приёма и ответа на запросы (предоставление сведений, уточнение, удаление) в установленные законом сроки.
  9. Задайте сроки хранения и порядок уничтожения: кадровые документы хранятся по архивным срокам, данные клиентов — до достижения цели; уничтожение подтверждается актом (с выгрузкой из журнала), как требует Роскомнадзор.

Часть 2. Технические требования ФСТЭК (приказ №21)

1С с персональными данными — это ИСПДн, поэтому к ней применяется приказ ФСТЭК №21. Сначала два подготовительных шага, затем сами меры.

Шаг 1. Определите уровень защищённости и модель угроз

  • Уровень защищённости (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.). Для типового малого бизнеса без специальных категорий и биометрии, с числом субъектов менее 100 000 и при угрозах 3-го типа это, как правило, УЗ-4 (низший). Рассчитать за минуту — в калькуляторе УЗ ИСПДн; подробнее — «Уровни защищённости ПДн».
  • Модель угроз по банку данных угроз ФСТЭК — см. «Модель угроз по методике ФСТЭК 2021». От неё зависит, какие меры и средства защиты актуальны.

Шаг 2. Реализуйте меры приказа №21 (базовый набор для УЗ-4)

Меры в приказе сгруппированы; для небольшой ИСПДн практический минимум выглядит так:

  • Идентификация и аутентификация (ИАФИдентификация и аутентификация — Группа мер защиты: распознавание и подтверждение подлинности пользователей и устройств.). У каждого работника — своя учётная запись в 1С и в операционной системе; никаких общих логинов. Парольная политика (длина, сложность, смена) — см. требования к паролям.
  • Управление доступом (УПДУправление доступом — Группа мер защиты: разграничение и контроль доступа субъектов к объектам доступа.). Права в 1С по принципу минимально необходимых: бухгалтер не видит лишнего, менеджер не лезет в зарплату. Учётные записи уволенных — сразу блокировать.
  • Антивирусная защита (АВЗАнтивирусная защита — Меры и средства защиты от вредоносного программного обеспечения.). Антивирус на всех рабочих местах и серверах с регулярным обновлением баз.
  • Межсетевой экран, фаервол (группа ЗИСЗащита информационной системы, её средств и систем связи — Группа мер защиты по приказам ФСТЭК: межсетевое экранирование, сегментирование сети, защита каналов передачи данных. — защита системы и сетей). Сетевой экран на границе сети (на роутере/шлюзе) и включённый штатный firewall на компьютерах; закрыть лишние порты и доступ к 1С извне без защиты.
  • Регистрация событий безопасности (РСБРегистрация событий безопасности — Группа мер защиты: журналирование и анализ событий информационной безопасности.). Ведение журналов входов и действий, в том числе встроенного журнала регистрации 1С.
  • Защита машинных носителей (ЗНИЗащита машинных носителей информации — Группа мер защиты: учёт, хранение и гарантированное затирание носителей с информацией.). Учёт флешек и дисков с данными, гарантированное затирание перед списанием.
  • Контроль защищённости (АНЗАнализ защищённости — Группа мер защиты: выявление уязвимостей и контроль конфигураций.). Поиск и устранение уязвимостей, проверка работоспособности средств защиты.
  • Управление конфигурацией и обновлениями (УКФУправление конфигурацией — Группа мер защиты: контроль состава и настроек системы и средств защиты, управление обновлениями.). Своевременная установка обновлений ОС, 1С и средств защиты, контроль изменений.
  • Целостность и доступность (ОЦЛОбеспечение целостности — Группа мер защиты: контроль целостности ПО и информации, защита от несанкционированных изменений., ОДТОбеспечение доступности — Группа мер защиты: резервное копирование и отказоустойчивость для доступности информации.). Резервное копирование базы 1С и проверка восстановления.
  • Физическая защита. Ограничение доступа в помещение с сервером, хранение токенов в запираемом сейфе.

Важный нюанс про затраты. Для ИСПДн, в отличие от государственных систем, аттестация не обязательна — оператор сам оценивает эффективность принятых мер не реже одного раза в 3 года. Средства защиты применяются тогда, когда необходимы для нейтрализации актуальных угроз, и должны пройти оценку соответствия; если берут сертифицированные СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК. (на практике — антивирус и межсетевой экран), их класс выбирается по приказу №21. Разбор требований — в статье «Приказ ФСТЭК №21: разбор мер».

Часть 3. Учёт СКЗИ: УКЭП руководителя, МЧД бухгалтера, ЭЦП для банка

УКЭП руководителя, подпись для банка и ключи на токенах — это применение средств криптографической защиты (СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.). Появляются требования ФСБ и поэкземплярный учёт по Инструкции ФАПСИ №152.

  • Назначьте ответственного за СКЗИ приказом (это может быть тот же бухгалтер-пользователь) и ознакомьте пользователей с правилами под подпись.
  • Заведите журнал поэкземплярного учёта СКЗИ и внесите все токены и ключевые носители по серийным номерам, фиксируйте выдачу, возврат и уничтожение. Готовая форма — образец журнала учёта СКЗИ (скачивается в .docx); подробности — «Учёт и хранение СКЗИ».
  • Храните токены в сейфе, ведите перечень допущенных лиц, не оставляйте носители без присмотра.
  • Используйте МЧД, а не чужой токен. Бухгалтер сдаёт отчётность своей электронной подписью по машиночитаемой доверенности — отдавать ему токен руководителя не нужно и нельзя. Это и есть минимизация УКЭП руководителя: см. «МЧД: бухгалтер подписывает своей подписью» и «Минимизация УКЭП руководителя».
  • Не передавайте ключ ЭЦП другим людям. Передача токена руководителя бухгалтеру — частая и опасная ошибка; правильный путь — МЧД (почему нельзя передавать ЭЦП).

Итоговый чек-лист

  • Назначен ответственный за обработку ПДн, есть политика и комплект внутренних документов.
  • Определены основания по сотрудникам, клиентам и контрагентам; согласия — там, где нужно.
  • Подано уведомление в Роскомнадзор; соблюдается локализация; оформлены поручения обработчикам.
  • Определены УЗ и модель угроз; реализованы меры приказа №21 (учётки и пароли, разграничение доступа, антивирус, межсетевой экран, журналы, бэкапы); запланирована оценка эффективности.
  • Назначен ответственный за СКЗИ, ведётся журнал учёта, токены в сейфе, отчётность — по МЧД бухгалтера, чужими ключами не подписывают.

Главное

Для малого бизнеса на 1С набор требований конечен и выполним без больших бюджетов: организационные документы и уведомление в РКНРоскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; надзор за обработкой ПДн., понятный технический минимум по приказу №21 (чаще всего уровень защищённости УЗ-4) и аккуратный учёт криптосредств с использованием МЧД вместо передачи токена руководителя.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Читайте также

Все по теме «Организация и комплаенс» →

Триада CIA: конфиденциальность, целостность, доступность

Триада CIA (по-русски КЦД) — три базовых свойства безопасности информации: конфиденциальность, целостность и доступность. Объясняем, что означает каждое свойство, почему важен баланс между ними и как использовать триаду при построении системы защиты информации: от оценки ущерба по каждому свойству до подбора мер. С практическим примером для малого бизнеса.

Как распределить обязанности по информационной безопасности в небольшой организации

Кто и за что отвечает за информационную безопасность в маленькой компании: должен ли директор делать всё сам, какие роли обязательно назначить приказом (ответственный за организацию обработки ПДн, ответственный за безопасность в ИСПДн, ответственный за СКЗИ), можно ли совмещать роли, допустимо ли поручить ведение журнала учёта СКЗИ бухгалтеру и что делать, если системный администратор не в штате, а приходящий или на аутсорсе. Разбираем поручение на обработку, лицензию подрядчика и типичные ошибки.

Документы по защите информации: ПДн, ИСПДн, ГИС, КИИ и СКЗИ — какой комплект нужен

Обзор документов по защите информации в разрезе режимов: персональные данные (152-ФЗ), ИСПДн (ПП-1119 и приказ ФСТЭК №21), государственные информационные системы (приказ ФСТЭК №117, ранее №17), критическая информационная инфраструктура (187-ФЗ, ПП-127, приказы №235 и №239) и СКЗИ (ПКЗ-2005, Инструкция ФАПСИ №152, приказ ФСБ №378). Что обязательно у любого оператора, что добавляется при автоматизированной обработке, в ГИС, у субъекта КИИ и при использовании криптографии. Перечни базовые и уточняются по конкретной системе, классу и уровню защищённости.

Как не допустить утечку персональных данных и коммерческой тайны

Профилактика утечек персональных данных и коммерческой тайны: почему большинство утечек идёт от своих сотрудников и небрежности, а не от хакеров, и какие организационные и технические меры реально снижают риск. Разграничение доступа, режим коммерческой тайны, NDA, контроль носителей и подрядчиков, обучение людей и порядок при увольнении.