Информационная безопасность в компании "1С-КПД"

Одной из важнейших задач при внедрении проектов автоматизации бизнеса является обеспечение информационной безопасности и защита данных Заказчика.

В нашей компании она обеспечивается за счет 3-х основных блоков:

1 блок. Защищенность программного обеспечения «1С:Документооборот»

При разработке своих программных продуктов фирма "1С" придерживается норм закона, накладывающих требования и ограничения в целях информационной безопасности российского ПО. Информационная безопасность продуктов "1С" предусмотрена в:
  • мерах идентификации и аутентификации 
  • управлении правами доступам
  • регистрации событий безопасности
  • регистрации событий в информационной базе
  • регистрации управляющих воздействий администратора кластера серверов
  • обеспечении целостности информационной системы и персональных данных
  • уничтожении персональных данных (по истечению срока согласия) и их обезличивание
  • средствах ограничения программной среды и многом другом.
Программные продукты 1С имеют сертификаты безопасности.

Подробная информация о реализации мер обеспечения безопасности информации средствами "1С:Предприятие 8" (на базе которого работает 1С:Документооборот) находится здесь.

2 блок. Меры безопасности при внедрении проекта

Безопасность разработки и защищенность данных на этапе внедрения проекта обеспечивается как силами Заказчика (в первую очередь), так и силами исполнителя (нашей компании). Зачастую контуры разработки и тестирования разворачиваются на серверах Заказчика, по тем каналам и доступам, которые предоставляет Заказчик. В этом случае на стороне Заказчика лежит ответственность — насколько эти каналы и доступы защищены.
В то же время, и на стороне нашей компании также принимаются определенные меры информационной безопасности:
  • Используется защищенное подключение к серверам (через VPN)
  • Запрещено удаленное подключение (при необходимости)
  • Используется антивирусная защита
  • Используется запрет на копирование данных 
  • Сервера компании «1С-КПД» недоступны для подключения из внешних сетей
  • Используется установка пароля для администратора кластера 1С
  • Используется периодическая смена паролей на серверах
Что касается доступа к клиентским базам Заказчиков, то зачастую при внедрении проекта наши специалисты имеют доступ только к тестовым базам и базам для разработки. К продуктивным/основным/рабочим базам мы, как исполнитель, либо не имеем доступ, либо  такой доступ имеет очень ограниченный круг лиц, заранее согласованный  с клиентом.

3 блок. Юридически-правовая форма защиты

Все сотрудники на проекте подписывают NDA (non-disclosure agreement) — это соглашение о неразглашении конфиденциальной информации. Такое соглашение у сотрудника подписано как с компанией "1С-КПД", так и с клиентом.