Мы столкнулись с интересным запросом относительно информационной системы персональных данных, построенной на базе продуктов «1С:Предприятие». Конфигурации «1С:Бухгалтерия» и «1С:Зарплата и кадры» вообще встречаются почти во всех организациях
Является ли ИСПДн объектом КИИ? Как с ней поступить субъекту КИИ? Разложим все «по полочкам» в статье.
Основные понятия
Что такое объект КИИ? Согласно , объектом КИИ являются:
- информационные системы;
- информационно-телекоммуникационные сети;
- автоматизированные системы управления субъектов критической информационной инфраструктуры.
К субъектам критической информационной инфраструктуры относятся государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на законном основании принадлежат объекты КИИ, функционирующие в одной из 13, определенных нормативным актом, сфер деятельности, а также бизнес-сегмент, где обеспечивается взаимодействие указанных систем или сетей.
Сферы, в которых организации относятся к субъектам КИИ:
здравоохранение;
наука;
транспорт;
связь;
энергетика;
банковская и иные сферы финансового рынка;
топливно-энергетический комплекс;
атомная энергетика;
оборонная;
ракетно-космическая;
горнодобывающая;
металлургическая;
химическая промышленность.
«1С:Бухгалтерия» и «1С:Зарплата и кадры» являются типовыми конфигурациями программного продукта «1С:Предприятие», автоматизирующими ведение бухгалтерского и кадрового учета. В них обрабатываются персональные данные сотрудников организации и контрагентов. Соответственно являются основой информационной системы персональных данных.
Когда ИСПДн – КИИ
Для того, чтобы понять, относится ли ваша ИСПДн к КИИ, для начала определите, является ли организация субъектом критической информационной инфраструктуры.
Если ваше предприятие относится к одной из вышеуказанных сфер деятельности, то информационные системы организации необходимо считать объектами КИИ. ИСПДн, соответственно, тоже. Можете познакомиться подробнее с КИИ в нашей статье.
Как защищать объект КИИ с персональными данными
Для начала необходимо разобраться с - ИСПДн.
Если у объекта КИИ отсутствует категория значимости, то организация сама определяет меры защиты. Для ИСПДн следует руководствоваться на 152-ФЗ «О персональных данных» и приказом ФСТЭК России № 21.
На базе продуктов 1С могут быть построены критические процессы организации, соответственно может быть присвоена категория значимости. Тогда в дополнение к указанным выше нормативно- правовым актам следует применить :
нормы приказа ФСТЭК России № 235, предписывающий субъекту КИИ создание системы безопасности значимого объекта КИИ;
нормы приказа ФСТЭК России № 239, содержащий требования к обеспечению безопасности на всех стадиях жизненного цикла ЗОКИИ.
Подытожим
Информационные системы персональных данных могут относится к объектам информационной критической инфраструктуры. Важно правильно определить действительно ли владелец субъект КИИ, а объект имеет категорию значимости. Это и поможет понять как правильно защитить вашу систему, построенную на базе продуктов «1С:Предприятие».
