Защищенное облако для 1С: какой уровень ответственности — за компанией

При переносе «1С:Документооборота» в облачную инфраструктуру компании часто исходят из предположения, что все вопросы, связанные с безопасностью и соответствием законодательству, автоматически решаются провайдером. В реальности картина другая.

Персональные данные в системе 1С присутствуют не только в явном виде — в карточках сотрудников и контрагентов. Они также находятся в файлах-вложениях к документам, в поисковом индексе, обеспечивающем быстрый доступ к информации, и в журнале регистрации действий, где фиксируются все операции пользователей. Обычный облачный сервер решает лишь требование 242-ФЗ о локализации данных на территории РФ.

Законодательство в области персональных данных включает несколько уровней регулирования. Федеральный закон 152-ФЗ определяет общие обязанности оператора. Федеральный закон 242-ФЗ устанавливает требование локализации. Постановление Правительства 1119 вводит четыре уровня защищенности информационных систем (от УЗ-4 до УЗ-1), каждый из которых предполагает определенный набор мер. Приказ ФСТЭК 21 конкретизирует эти меры. Оператор обязан последовательно пройти все этапы: определить обрабатываемые данные, разработать модель угроз, утвердить уровень защищенности и реализовать соответствующие средства защиты.

Распределение ответственности в модели защищенного облака имеет четкие границы. Провайдер отвечает за инфраструктурный слой: физическую защиту ЦОДа, безопасность среды виртуализации, сертифицированные средства защиты на периметре, сегментацию сети. В зависимости от выбранного провайдера объем предоставляемых мер может различаться. Некоторые предлагают только базовую защиту управляющей инфраструктуры, оставляя клиенту развертывание собственных средств защиты. Другие предоставляют готовый защищенный периметр.

Оператор несет ответственность за три оставшихся слоя. Во-первых, настройка гостевой операционной системы виртуальной машины — выбор сертифицированной ОС или установка сертифицированного средства защиты информации (СЗИ), а также антивирусная защита и контроль обновлений. Во-вторых, конфигурация самого приложения 1С:Документооборот — разграничение прав доступа, защита томов хранения файлов, контроль выгрузок и печати. В-третьих, организационный слой: разработка модели угроз, утверждение политики обработки персональных данных, регистрация в реестре операторов Роскомнадзора, подготовка регламентов реагирования не только реагирования на инциденты, но и всех ключевых процессов эксплуатации системы — резервного копирования и восстановления, управления доступом, аварийного восстановления, обеспечения бесперебойной работы и других, а также заключение с провайдером договора-поручения в соответствии со статьей 6 152-ФЗ.

Таким образом, выбор защищенного облака закрывает наиболее сложный с точки зрения реализации инфраструктурный уровень и оформляет поручение на обработку. Однако настройка ОС, самого приложения и организационное сопровождение остаются в зоне ответственности компании. Начинать работу с персональными данными в 1С следует с аудита: определить состав данных, их локализацию в системе (база, файлы, логи), затем разработать модель угроз и утвердить уровень защищенности. Это базовая последовательность действий, позволяющая избежать нарушений и связанных с ними рисков.