Главная » Разное

Способ защиты бухгалтерской информации

Содержание
  1. Информационная безопасность. Как бухгалтер может потерять данные в один клик
  2. Мотив воровства
  3. Кто отвечает в компании за защиту?
  4. Как происходит взлом?
  5. Как еще обезопасить важную информацию?
  6. Можно ли научиться информационной безопасности?
  7. Защита информации от несанкционированного доступа в «1С:Бухгалтерии государственного учреждения 8»
  8. Актуальность обеспечения защиты информационных ресурсов
  9. Информационная безопасность в «1С:Бухгалтерии государственного учреждения 8»
  10. Аутентификация
  11. Настройки входа в Программу
  12. Контроль сложности пароля
  13. Смена пароля
  14. Контроль повторяемости
  15. Ограничение входа для пользователей
  16. Отчет «Сведения о пользователях»
  17. Обеспечение защиты персональных данных

Информационная безопасность. Как бухгалтер может потерять данные в один клик

Больше материалов по теме «Говорит бухгалтер» вы можете получить в системе КонсультантПлюс .

Информационная безопасность — это создание системы защиты в организации для любых данных, особенно тех, что представляют коммерческую тайну или содержат личные данные (в том числе доступ к счетам, картам и т.п.) физических лиц, поиск и устранение уязвимостей защиты.

Мотив воровства

Иногда воры действуют группой, иногда поодиночке. Если они собираются, то обычно их объединяет какой-то общий стимул:

  1. Быстрые большие деньги. Период подготовки к взлому и краже может проходить долгое время, но само воровство — быстрый процесс, иначе утечку заметят и канал перекроют. Что касается похищения информации, то и здесь мотив — продажа ее на черном рынке. Сколько заплатят конкуренты, чтобы узнать первыми о прогрессивных разработках или перехватить выгодный тендер? А если удалось получить компромат (данные “серой бухгалтерии”), это, по мнению грабителей, отличный повод для шантажа. Мошенники никогда не размениваются на мелочи. Если взломали систему банка, из нее выведут миллионы, причем не рублей. Когда получили доступ к счету компании — его обнулят. Выгоднее, конечно, так поступать с крупными организациями или сразу снимать деньги со счетов сотен или тысяч клиентов банка, но и тогда взломают не сами фирмы (слишком трудоемко), а кредитную организацию.
  2. Базы данных. Они есть фактически у каждой компании. Ведете учет в специальной программе, где собраны сведения о ваших сотрудниках (ФИО, паспортные данные, номера телефонов, реквизиты счетов и т.д.), — вот вам и база. Здесь интерес похожий — получить деньги за возврат сведений или продать в даркнете. Вот откуда про вас узнают настойчиво звонящие спамщики.
  3. Промышленный шпионаж. О нем я уже сказала, но речь скорее о конкретном заказе, грабители идут и взламывают компанию целенаправленно, по предварительному сговору с заказчиком-конкурентом.
  4. Любопытство, желание выделиться. Хакеры могут вообще не иметь цели что-то похитить, просто показывают мастерство и превосходство над службой безопасности.

Кстати! Есть легальные соревнования, которые проводятся ежегодно с 2007 года — Pwn2Own. Участники соревнования тестируют программы и гаджеты, ищут уязвимости. Победители получают денежные призы и подарки.

  • Активистское движение. Выражение протеста оппозиционеров. Атакуемая компания, по их мнению, загрязняет окружающую среду, нарушает права работников или совершает другие незаконные действия.
  • Политика. Видели фильм с Брюсом Уиллисом (“Крепкий орешек 4”), где хакеры взламывают все сети: воду, электричество, сотовую связь и т.д.? Там, конечно, речь о террористах, но суть одна: если захотеть, можно взломать целый город или даже страну, и там воцарится хаос. Кибервойна давно не киносценарий, а реальность.

    • Кто отвечает в компании за защиту?

    Специалист по информационной безопасности имеет много специализаций. Есть те, кто отвечают за защиту облачных технологий, за безопасность сервисов и приложений, сетевую структуру и т.д. В общем, его функция — находить, уничтожать, предотвращать угрозы изнутри и извне, разрабатывать и внедрять систему безопасности.

    Существуют тестеры — они проводят тестовые взломы и пытаются проникнуть в системы так же, как это делают настоящие злоумышленники.

    Чтобы правильно организовать работу, специалист должен:

    • Мониторить информацию о тех, кто потенциально заинтересован во взломе (конкуренты, группировки, недовольные действия организации, бывшие сотрудники, уволенные за противоправные действия и т.п.).
    • Изучать имеющуюся систему безопасности и искать в ней бреши.
    • Разрабатывать новый алгоритм защиты или дорабатывать старый.
    • Проводить тестирование.
    • Отслеживать функционирование системы постоянно.
    • Действовать по принципу “никому не доверяй”, т.е. подозревать в потенциальной угрозе всех — от сотрудников до разработчиков ПО.

    Как происходит взлом?

    Способов очень много, но мы рассмотрим те, что касаются непосредственно работы бухгалтерии, кадров и иных аналогичных служб:

    1. “Вам письмо” — сообщает почтовый сервер и вы захотите проверить свой ящик. А там “Срочно! От ФНС города N, по возмещению НДС”. Разволновавшись, открываете письмо, где сказано, что вы отправили декларацию по НДС за второй квартал 2020 года с ошибками и список их прилагается в файле к письму. Открыв файл, вы запускаете вирус, попадающий на компьютер, его даже не заметит антивирусная программа (давно не обновляли, этот вид еще не попал в базу или маскируется очень хорошо). И пока вы разбираетесь, с жесткого диска скачивается информация и передается мошенникам по сети. Подобный способ использовали взломщики в 2016 году и позднее, рассылая письма крупным российским банкам, им удалось похитить немало денег со счетов. Как уберечься: проверяйте отправителя, не смотрите на надпись типа “ФНС” (т.е. имя отправителя), а именно на указанный почтовый ящик. Оригинальный, например, fns@nalog.ru, а поддельным окажется fns@nalog.com или fnc@nalog.ru. или вообще будет указан совершенно другой. Не открывайте спам-письма, а тем более приложения к ним из любопытства, надеясь на антивирус.
    2. Запаролено — защищено? Не совсем. С помощью писем пересылается программа-шпион, она станет считывать все нажатия клавиш, среди которых пароль. Вот вы садитесь за свой рабочий компьютер, включаете и вводите пароль к бухгалтерской программе и кто-то на другом конце страны узнает, как попасть в ваши базы. Удаленный доступ — дело техники. Как уберечься: сложно предотвратить целенаправленную атаку. Регулярно меняйте пароли к самым уязвимым базам, обновляйте антивирус ежедневно (лучше настроить автоматическое обновление). Вводите пароли с виртуальной клавиатуры. Сохраняйте информацию на недоступном из сети носителе — на флешке, внешнем жестком диске, чтобы осталась копия, если взломщики решат уничтожить изъятые сведения.
    3. Камеры мобильных или ноутбуков тоже могут быть опасны. Немало известно случаев, когда к ним подключались, записывали видео, выкладывали в сеть, получали компромат или узнавали ценные сведения. Чаще, правда, информация нужна для хулиганства. Как уберечься: самый простой способ — заклеить камеру кусочком непрозрачного скотча или стикером с картинкой, на телефоне носить чехол и держать его закрытым и камерой (если есть фронталка) вниз, пока не используете по назначению.
    4. Звонок. Звучит, как название фильма ужасов. На самом деле последствия действительно катастрофичны. Вам дозванивается “оператор колл-центра банка” или “представитель корпоративного мобильного оператора”, или даже “инспектор ПФР Иванов”. Дальше сценарии разные: сообщают о несхождении каких-то сведений, например, СНИЛС в СЗВ-М по сотруднику, подозрительных операциях по корпоративной карте, всем, что связано с персональными сведениями — данными карты, паспорта. Вас грамотно введут в заблуждение, предложат решить вопрос здесь и сейчас (“зачем вам слать уточненку по СЗВ-М, штраф получите, сейчас сверим СНИЛСы, я сама внесу правки”). Все полученные сведения используются для мошеннических целей. Как такового взлома здесь не происходит, но последствия настигнут именно в цифровом виде — в интернете пройдет оплата через корпкарту, сотрудники внезапно обнаружат — их накопления “переехали” из одного НПФ в другой, кто-то окажется обладателем микро-займа, полученного через сайт. Как уберечься: уточните, кто вам позвонил: должность, ФИО и конкретную организацию, откуда идет звонок, попросите оставить номер для связи (“я не могу сразу найти информацию, перезвоню через несколько минут”). В нормальном учреждении вам не откажут. Предупредите руководителя — данные корпоративной карты такие же секретные, как и личной.

    Важно! Если сидите за компьютером, а говорите по мобильному — наберите в поисковой строке браузера входящий номер (“кто звонит 81234567890”) и посмотрите на результат поиска. Существует много сайтов, где люди делятся информацией о мошеннических звонках, если там успел “засветиться” этот номер телефона, вы его найдете.

  • Отключенная защита. Удивительно, но иногда приходится отключать антивирус, чтобы настроить доступ к вполне обычным сайтам или сервисам: электронной торговой площадке, личному кабинету ЕИС или даже ФНС. Меня брандмауэр не хотел пускать на страницу поликлиники, самой настоящей. Потом проблему исправили (что-то с сертификатом сайта), но на время антивирус пришлось отключать. Как уберечься: за работой легко забыть о приостановке защиты — ставьте таймер на подключение антивируса, он восстановит обслуживание автоматически. Не отключайте его, если не уверены в подлинности сайта — проверьте еще раз адрес в браузерной строке.
    • Читайте также:  Как уничтожить врага способы

    Аналогично с электронной почтой — адрес для рассылки может быть чуть-чуть измененным и вести на завирусованную страницу. Вас должно насторожить, если вы сохраняли пароли и логины в браузере, но у вас вдруг снова просят их ввести, возможно, вы попали на фальшивый сайт.

    Недавно я пыталась попасть в личный кабинет на сайте, где веду работу с заказчиками, и обнаружила, что страница просит логин и пароль. Меня одолели сомнения, оказалось — умудрилась попасть на клон-сайт с почти таким же названием и оформленным один в один с оригиналом. Злоумышленники клонируют государственные сайты и страницы банков.

    Это не все возможности, используемые хакерами и просто мошенниками. Оставайтесь бдительными, не забывайте регулярно сохранять данные на внешних носителях. Восстановление бухгалтерии за последние годы или кадровых документов — дорогое и хлопотное удовольствие.

    Жертвами взломщиков становятся как крупные компании (вспомните хотя бы кражу данных клиентов Сбербанка в 2019 году), так и небольшие.

    Вот еще один вариант обмана — подмена счетов. Вам приходит письмо, вроде бы от постоянного поставщика с информацией, что изменились реквизиты и новый счет на поставку. Тут обычно не трудно проверить подделку — изменятся не только банковские реквизиты (наименование подстановочной фирмы может быть совершенно таким же), но и ИНН. Созвонитесь с контрагентом по обычным каналам связи и уточните реальность изменений.

    Как еще обезопасить важную информацию?

    Про сохранение на внешних носителях уже сказано, как еще обезопасить и сохранить данные:

    • Облачные сервисы или приложения. Оттуда добыть вашу информацию намного сложнее, чем просто скачать с компьютера, к тому же операторы заботятся об обеспечении многоступенчатой обороны, а данные архивируются. В случае чего восстановление пройдет намного проще.
    • Шифрование. Если хотите отправить кому-то важные сведения (например, передать новому удаленному бухгалтеру архив кадров), зашифруйте их. Для этого есть специальные программы, ставьте пароль на сам архив, назвав его коллеге по телефону (отсылать пароль и документы одним письмом, как понимаете, небезопасно).
    • Электронные архивы. Тоже технология облака, но в данном случае вы не ведете в программе учет, а просто сохраняете сканы оригинальных документов. Высокая степень защиты и ограничение доступа (в зависимости от функционала настройка прав пользователя — загрузку/выгрузку, редактирование, удаление и т.д.).
    • Использование максимально сложных комбинаций паролей. Если боитесь забыть — записывайте в небольшой блокнотик и носите всегда с собой. Да, везде не рекомендуют этого делать, но нереально запомнить большое количество данных, если у вас не одна компания, счет, программа и т.д.

    Важно! Не храните подобную информацию рядом с объектом доступа (листочки — напоминалки в топку!) и не сообщайте всем и каждому, что там у вас записано. Говорите, что это любимые стихи, вы их регулярно перечитываете (для конспирации, кстати, запишите парочку).

    • Не выбрасывайте и не храните без защиты старые карты, ключи с сертификатами, карты внутреннего доступа, SIMки. При утере сразу сообщайте в соответствующее ведомство: банк, мобильному или ЭДО оператору и блокируйте. Даже устаревшие, они могут послужить для целей взломщиков и уничтожаются физически либо хранятся в сейфе.

    Можно ли научиться информационной безопасности?

    Да, бухгалтер может освоить при желании эту специальность. Придется пройти обучение (существуют даже онлайн-курсы), но оно достаточно дорогое и требует некоторых базовых навыков:

    • Знание английского, хотя бы на начальном уровне с последующим совершенствованием.
    • Преимущество — ориентированность в сфере IT, современных технологий, активное пользование различными системами, базами, сервисами и приложениями.
    • Умение настроить локальную сеть, операционную систему для безопасной работы (в зависимости от уровня курса — новичок, специалист, профессионал — это могут преподавать прямо на занятиях).
    • Знание законодательства в области защиты информации (Закон о персональных данных, О защите в области информационных технологий), требований государственных органов: ФНС, Ростехнадзора, Центробанка и т.д.
    Читайте также:  Технология портвейна способы портвейнизации

    Не выбирайте исключительно теоретические курсы, без практики от них нет толка, разве что они бесплатные. Иногда на учебе преподают поиск уязвимостей при помощи тестирования (это фактически тот же хакинг, но легальный), но не рассказывают о защите. Важно уметь не только искать баги в системе, но и защищать ее.

    Источник

    Защита информации от несанкционированного доступа в «1С:Бухгалтерии государственного учреждения 8»

    Актуальность обеспечения защиты информационных ресурсов

    Для обеспечения информационной безопасности организации, учреждения, предприятия должны быть созданы такие условия, при которых использование, потеря или искажение любой информации о состоянии организации, в том числе бухгалтерской и финансовой, работниками организации или внешними лицами (пользователями) с высокой степенью вероятности не приведут в обозримом будущем к возникновению угроз прерывания деятельности организации.

    Актуальность проблем информационной безопасности на государственном уровне подтверждается принятием Доктрины информационной безопасности в Российской Федерации (утв. Президентом РФ 09.09.2000 № Пр-1895). Одной из составляющих национальных интересов Российской Федерации в информационной сфере является защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

    Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены:

    • система государственной статистики;
    • кредитно — финансовая система;
    • информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
    • системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;
    • системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.

    Угрозами информационной безопасности предприятия, учреждения, организации, связанными с бухгалтерским учетом и отчетностью, являются угрозы:

    • целостности бухгалтерской информации и отчетности;
    • нарушения конфиденциальности бухгалтерской информации и отчетности;
    • нарушения доступности (блокирование) бухгалтерской информации и отчетности;
    • достоверности бухгалтерской информации и отчетности;
    • содержанию бухгалтерской информации и отчетности, вызванные действием персонала и других лиц;
    • вызванные использованием некачественной бухгалтерской информации и отчетности.

    Информационная безопасность в «1С:Бухгалтерии государственного учреждения 8»

    Программа «1С:Бухгалтерия государственного учреждения 8» редакция 2 (далее — Программа) соответствует современным требованиям информационной безопасности. Для повышения степени защиты от несанкционированного доступа информации, хранящейся в Программе, предусмотрены следующие возможности:

    • аутентификация;
    • настройка и контроль сложности пароля;
    • требование смены пароля по расписанию или вручную. Смена пароля — периодически или по требованию;
    • настройка и контроль повторяемости пароля;
    • ограничение срока действия учетных записей.

    Рассмотрим подробнее данные возможности Программы.

    Аутентификация

    Механизм аутентификации — это один из инструментов администрирования. Он позволяет определить, кто именно из пользователей, перечисленных в списке пользователей системы, подключается к Программе в данный момент, и предотвратить несанкционированный доступ в Программу.

    В «1С:Бухгалтерии государственного учреждения 8» редакции 2 поддерживается три вида аутентификации, которые могут использоваться в зависимости от конкретных задач, стоящих перед администратором информационной базы:

    • аутентификация 1С:Предприятия — аутентификация по созданному в Программе пользователю и паролю;
    • аутентификация операционной системы — в Программе для пользователя выбирается один из пользователей операционной системы. Программа анализирует, от имени какого пользователя операционной системы выполняется подключение к Программе, и на основании этого определяет соответствующего пользователя Программы;
    • OpenID-аутентификация — аутентификацию пользователя выполняет внешний OpenID-провайдер, хранящий список пользователей.

    Если для пользователя не указан ни один из видов аутентификации, такому пользователю доступ к Программе закрыт.

    Если необходимо, чтобы пользователь входил в Программу с паролем, который будет проверяться, следует включить флаг Аутентификация 1С:Предприятия (см. рис. 1). Он включается по умолчанию вместе с флагом Вход в программу разрешен.

    Состояние аутентификации «1С:Предприятия» выводится под флагом.

    При создании нового пользователя ему Программой автоматически назначается пустой пароль. Чтобы его изменить, следует воспользоваться командой Установить пароль в карточке пользователя (см. рис. 1).

    В форме Установка пароля необходимо ввести Новый пароль для входа в Программу, написать его повторно в поле Подтверждение.

    В целях информационной безопасности рекомендуется задавать пароли для пользователей, не оставлять это поле пустым.

    Хороший пароль должен состоять не менее чем из восьми символов, включать в себя заглавные и прописные латинские буквы, цифры, символы (подчеркивание, скобки и т. д.) и быть малопонятным выражением. Нежелательно, чтобы пароль совпадал с именем пользователя, полностью состоял из цифр, содержал понятные слова, чередующиеся группы символов. Примеры хороших паролей: «nj7

    В Программе предусмотрена возможность автоматической проверки сложности пароля.

    По умолчанию в целях безопасности пароль при вводе не показывается. Для того чтобы видеть, какие символы вводятся, следует включить флаг Показывать новый пароль.

    Для автоматической генерации пароля можно воспользоваться кнопкой Создать пароль. Пароль будет создан Программой.

    Для сохранения пароля необходимо нажать на кнопку Установить пароль.

    После этого состояние аутентификации 1С:Предприятие меняется на Пароль установлен. В карточке пользователя кнопка меняет значение на Сменить пароль.

    Для удобства администрирования и обеспечения безопасности у всех пользователей предусмотрен флаг Потребовать смену пароля при входе, который нужен, чтобы пользователь сменил пароль, заданный администратором, на свой. При включенном флаге пользователь будет обязан самостоятельно ввести свой пароль, который больше никто не будет знать.

    Если флаг Потребовать смену пароля при входе не включен, и установленный ранее пароль не устраивает по каким-то причинам, то можно поменять его в любой момент в карточке пользователя.

    Включенный флаг Пользователю запрещено изменять пароль запрещает пользователю, не имеющему полные права, самостоятельно задавать и изменять пароль.

    Реквизиты Потребовать смену пароля при входе и Срок действия можно увидеть в карточке пользователя и в отчете Сведения о пользователях (Сведения о внешних пользователях).

    Настройки входа в Программу

    В форме Настройки входа (раздел Администрирование, команда панели навигации Настройки пользователей и прав) раздельно для внутренних и внешних пользователей Программы можно настроить такие параметры как:

    • настройка и контроль сложности пароля;
    • требование смены пароля по расписанию или вручную. Смена пароля — периодически или по требованию;
    • настройка и контроль повторяемости пароля;
    • ограничение срока действия учетных записей.
    Читайте также:  Как разморозить канализационную трубу химическим способом

    На рисунке 2 представлена настройка для внутренних пользователей.

    Аналогичная настройка предусмотрена для внешних пользователей.

    Контроль сложности пароля

    При установленном флаге Пароль должен отвечать требованиям сложности программа проверяет, чтобы новый пароль:

    • имел не менее 7 символов,
    • содержал любые 3 из 4-х типов символов: заглавные буквы, строчные буквы, цифры, специальные символы,
    • не совпадал с именем (для входа).

    Минимальную длину пароля можно изменить, поставив флаг напротив одноименного поля и указав необходимую длину пароля (рис. 3).

    Смена пароля

    Предусмотрено две настройки смены пароля: периодическая или по требованию администратора.

    Для периодической смены пароля необходимо ограничить срок действия пароля настройками Минимальный срок действия пароля и Максимальный срок действия пароля. По истечении установленного срока Программа предложит пользователю поменять пароль.

    Максимальный срок действия пароля — срок после первого входа с новым паролем, после которого пользователю потребуется сменить пароль, по умолчанию 30 дней.

    Минимальный срок действия пароля — срок после первого входа с новым паролем, в течение которого пользователь не может сменить пароль, по умолчанию 1 день.

    Для смены пароля по требованию администратору необходимо установить флаг Потребовать установку пароля при входе в карточке пользователя. При первом входе в Программу она потребует сменить пароль, заданный администратором, на свой.

    Контроль повторяемости

    Чтобы исключить создание пользователями повторяющихся паролей, необходимо включить настройку Запретить повторение пароля среди последних и установить количество последних паролей, с которыми будет сравниваться новый пароль.

    Ограничение входа для пользователей

    Для защиты от несанкционированного доступа в Программу можно установить ограничение для пользователей, не работающих в программе определенный период времени, например, 45 дней.

    По истечении указанного срока программа не позволит пользователю войти в Программу. Открытые сеансы пользователей автоматически завершаются не более чем через 25 минут после того, как вход в Программу был запрещен.

    В карточке пользователя, которая доступна в персональных настройках Программы, по гиперссылке Установить ограничения можно указать дополнительные ограничения на вход в Программу (рис. 4).

    С помощью переключателя можно установить ограничение на вход в Программу:

    • Согласно общим настройкам входа — установлено по умолчанию;
    • Без ограничения срока;
    • Вход разрешен до (следует установить срок — ввести дату вручную или выбрать из календаря с помощью кнопки). Для защиты от несанкционированного доступа к Программе у всех пользователей предусмотрен срок действия, который позволяет автоматически отключить пользователя по достижению указанной даты;
    • Запретить вход, если не работает более (следует указать количество дней) — если пользователь не войдет в Программу больше указанного количества дней, то вход в Программу будет невозможен. В этом случае пользователь должен будет обратиться к администратору для возобновления работы в Программе.

    Отчет «Сведения о пользователях»

    Отчет Сведения о пользователях (рис. 5) предназначен для просмотра сведений о пользователях Программы, включая настройки для входа (свойства пользователя информационной базы). Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других).

    Отчет открывается из списка Пользователи (Внешние пользователи) по команде Все действия — Сведения о пользователях (Все действияО внешних пользователях). В зависимости от вида списка Программа автоматически выбирает нужный вариант отчета.

    Сведения о внутренних и внешних пользователях в одном отчете можно открыть через панель действий раздела Администрирование по команде Сведения о пользователях.

    Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других).

    С помощью кнопки Настройки. можно открыть список полей и при необходимости добавить нужные поля в отчет. Например, можно добавить в отчет поля Потребовать смену пароля при входе и Срок действия.

    Обеспечение защиты персональных данных

    В заключение следует отметить, что управление доступом в Программу — это только один из элементов защиты данных, предоставляемых Программой.

    Постановлением Правительства РФ от 01.11.12 № 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных, где определены уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных. В соответствии с этими требованиями приказом ФСТЭК России от 18.02.13г. № 21 детализированы состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

    Нормы действующего законодательства о персональных данных предъявляют дополнительные требования и к программным продуктам, в частности, к программному обеспечению, являющемуся средствами защиты информации.

    Для обеспечения защиты персональных данных предназначен защищенный программный комплекс (ЗПК) «1С:Предприятие, версия 8.3z», который является сертифицированным ФСТЭК России программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведений, составляющих гостайну.

    ЗПК «1С:Предприятие 8.3z» позволяет блокировать:

    • запуск COM-объектов, внешних обработок и отчетов, приложений, установленных на сервере 1С:Предприятие;
    • использование внешних компонентов 1С:Предприятие;
    • обращение к ресурсам Интернет.

    Совместное использование типовой «1С:Бухгалтерии государственного учреждения» редакции 2 и ЗПК «1С:Предприятие 8.3z» позволяет создать информационную систему персональных данных всех уровней защищенности, и дополнительная сертификация этого прикладного решения не требуется.

    Использование ЗПК«1С:Предприятие 8.3z» совместно с сертифицированными ФСТЭК операционными системами, СУБД и другими сертифицированными средствами позволяет полностью выполнить требования вышеуказанных нормативных документов.

    Поскольку «1С:Бухгалтерия государственного учреждения» обеспечивает обмен данными с органами Федерального Казначейства, Налоговыми органами, с информационными системами о государственных и муниципальных платежах (ГИС ГМП), учета федерального имущества (АСУФИ), регистрации и начисления платежей (ИС РНИП) и др. через Интернет, для выполнения требований безопасности объект должен быть обеспечен сертифицированными средствами межсетевого экранирования.

    Разумеется, необходимо ежедневно проверять компьютеры, на которых установлена Программа, на наличие вредоносных компьютерных программ с использованием сертифицированных в системе сертификации ФСТЭК России средств антивирусной защиты.

    Источник

    Оцените статью
    Разные способы
    © 2024 Разные способы.
    Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.