Мы столкнулись с интересным запросом относительно информационной системы персональных данных, построенной на базе продуктов «1С:Предприятие». Конфигурации «1С:Бухгалтерия» и «1С:Зарплата и кадры» вообще встречаются почти во всех организациях
 
Является ли ИСПДн объектом КИИ? Как с ней поступить субъекту КИИ? Разложим все «по полочкам» в статье.
 

Основные понятия

Что такое объект КИИ? Согласно 187-ФЗ, объектом КИИ являются:

• • информационные системы;
  • информационно-телекоммуникационные сети;
  • автоматизированные системы управления субъектов критической информационной инфраструктуры.

 
К субъектам критической информационной инфраструктуры относятся государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на законном основании принадлежат объекты КИИ, функционирующие в одной из 13, определенных нормативным актом, сфер деятельности, а также бизнес-сегмент, где обеспечивается взаимодействие указанных систем или сетей.

Сферы, в которых организации относятся к субъектам КИИ:

1. здравоохранение;
2. наука;
3. транспорт;
4. связь;
5. энергетика;
6. банковская и иные сферы финансового рынка;
7. топливно-энергетический комплекс;
8. атомная энергетика;
9. оборонная;
10. ракетно-космическая;
11. горнодобывающая;
12. металлургическая;
13. химическая промышленность.

«1С:Бухгалтерия» и «1С:Зарплата и кадры» являются типовыми конфигурациями программного продукта «1С:Предприятие», автоматизирующими ведение бухгалтерского и кадрового учета. В них обрабатываются персональные данные сотрудников организации и контрагентов. Соответственно являются основой информационной системы персональных данных.
 

Когда ИСПДн – КИИ

Для того, чтобы понять, относится ли ваша ИСПДн к КИИ, для начала определите, является ли организация субъектом критической информационной инфраструктуры.
 
Если ваше предприятие относится к одной из вышеуказанных сфер деятельности, то информационные системы организации необходимо считать объектами КИИ. ИСПДн, соответственно, тоже. Можете познакомиться подробнее с КИИ в нашей статье.

Как защищать объект КИИ с персональными данными

Для начала необходимо разобраться с категорированием этого объекта – ИСПДн.

Если у объекта КИИ отсутствует категория значимости, то организация сама определяет меры защиты. Для ИСПДн следует руководствоваться на 152-ФЗ «О персональных данных» и приказом ФСТЭК России № 21.

На базе продуктов 1С могут быть построены критические процессы организации, соответственно может быть присвоена категория значимости. Тогда в дополнение к указанным выше нормативно- правовым актам следует применить :

• • нормы приказа ФСТЭК России № 235, предписывающий субъекту КИИ создание системы безопасности значимого объекта КИИ;
  • нормы приказа ФСТЭК России № 239, содержащий требования к обеспечению безопасности на всех стадиях жизненного цикла ЗОКИИ.

Подытожим

Информационные системы персональных данных могут относится к объектам информационной критической инфраструктуры. Важно правильно определить действительно ли владелец субъект КИИ, а объект имеет категорию значимости. Это и поможет понять как правильно защитить вашу систему, построенную на базе продуктов «1С:Предприятие».