Наша работа - Ваша уверенность
ИСПДн на базе 1С – относится ли к КИИ?

Мы столкнулись с интересным запросом относительно информационной системы персональных данных, построенной на базе продуктов «1С:Предприятие». Конфигурации «1С:Бухгалтерия» и «1С:Зарплата и кадры» вообще встречаются почти во всех организациях
 
Является ли ИСПДн объектом КИИ? Как с ней поступить субъекту КИИ? Разложим все «по полочкам» в статье.
 

Основные понятия

Что такое объект КИИ? Согласно 187-ФЗ, объектом КИИ являются:

    • информационные системы;
    • информационно-телекоммуникационные сети;
    • автоматизированные системы управления субъектов критической информационной инфраструктуры.

 
К субъектам критической информационной инфраструктуры относятся государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на законном основании принадлежат объекты КИИ, функционирующие в одной из 13, определенных нормативным актом, сфер деятельности, а также бизнес-сегмент, где обеспечивается взаимодействие указанных систем или сетей.

Сферы, в которых организации относятся к субъектам КИИ:

    1. здравоохранение;
    2. наука;
    3. транспорт;
    4. связь;
    5. энергетика;
    6. банковская и иные сферы финансового рынка;
    7. топливно-энергетический комплекс;
    8. атомная энергетика;
    9. оборонная;
    10. ракетно-космическая;
    11. горнодобывающая;
    12. металлургическая;
    13. химическая промышленность.

«1С:Бухгалтерия» и «1С:Зарплата и кадры» являются типовыми конфигурациями программного продукта «1С:Предприятие», автоматизирующими ведение бухгалтерского и кадрового учета. В них обрабатываются персональные данные сотрудников организации и контрагентов. Соответственно являются основой информационной системы персональных данных.
 

Когда ИСПДн – КИИ

Для того, чтобы понять, относится ли ваша ИСПДн к КИИ, для начала определите, является ли организация субъектом критической информационной инфраструктуры.
 
Если ваше предприятие относится к одной из вышеуказанных сфер деятельности, то информационные системы организации необходимо считать объектами КИИ. ИСПДн, соответственно, тоже. Можете познакомиться подробнее с КИИ в нашей статье.

Как защищать объект КИИ с персональными данными

Для начала необходимо разобраться с категорированием этого объекта — ИСПДн.

Если у объекта КИИ отсутствует категория значимости, то организация сама определяет меры защиты. Для ИСПДн следует руководствоваться на 152-ФЗ «О персональных данных» и приказом ФСТЭК России № 21.

На базе продуктов 1С могут быть построены критические процессы организации, соответственно может быть присвоена категория значимости. Тогда в дополнение к указанным выше нормативно- правовым актам следует применить :

    • нормы приказа ФСТЭК России № 235, предписывающий субъекту КИИ создание системы безопасности значимого объекта КИИ;
    • нормы приказа ФСТЭК России № 239, содержащий требования к обеспечению безопасности на всех стадиях жизненного цикла ЗОКИИ.

 

Подытожим

Информационные системы персональных данных могут относится к объектам информационной критической инфраструктуры. Важно правильно определить действительно ли владелец субъект КИИ, а объект имеет категорию значимости. Это и поможет понять как правильно защитить вашу систему, построенную на базе продуктов «1С:Предприятие».
  

Поиск
Мы в соцсетях
Рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ: Telegram-канал компании «Рубикон»
Дзен-канал компании «Рубикон»
Услуги

Подпишитесь на получение новостей

Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

Принять