Как сделать свое облако 1с

Обновлено: 03.07.2024

Чтобы подключиться к облаку 1С и начать работать с данными, нужно пройти несколько простых шагов.

Содержание:

1. Подключиться к 1С облаку

Первое, что необходимо сделать – зарегистрироваться на любом облачном сервисе, который предоставляет возможности для работы с «1С». При выборе такого сервиса нужно обращать внимание на следующие моменты:

  • стоимость аренды облачного хранилища;
  • необходимый пользователю/пользователям максимальный объем хранилища на облаке;
  • наличие сервисного обслуживания и клиентской поддержки;
  • опции по резервному копированию файлов и другое.

Сам процесс регистрации в подлобных сервисах мало чем отличается от стандартных регистраций в любых других онлайн ресурсах.

В зависимости от особенностей и потребностей организации, можно выбрать подходящий вариант подключения: удаленный рабочий стол, локальное подключение (RemoteAPP), тонкий или веб-клиент Windows, macOS, iOS, Android, Linux.

Самый простой способ – это подключение через обычный браузер, для этого достаточно просто перейти по ссылке одной из программ, например:

2. Загрузка базы данных

После выбора и регистрации в облачном сервисе, необходимо выгрузить архивы баз данных с локального (или портативного) компьютера в облако.

Для этого сначала нужно произвести вход в программу «1С» с компьютера, с которого предполагается выгружать базы данных, от имени администратора. То есть нужно подключиться к той базе, которая использовалась до перехода на облачный сервис.

Далее необходимо открыть меню «Конфигуратор» в появившемся окне.

Как подключиться к облаку 1С?

Зайдя в «Конфигуратор», нужно найти вкладку «Администрирование», которая расположена в верхней части окна в главном меню. В появившемся выпадающем списке необходимо кликнуть по пункту «Выгрузить информационную базу».

по пункту «Выгрузить информационную базу».

Слева появится список папок, в которые можно произвести загрузку баз данных.

Как войти в облако 1С?

Рекомендуется сохранять информацию либо да диске D либо на диске С. Для выбора папки и начала загрузки нужно нажать кнопку «Сохранить».

подключиться к облаку 1С?

По завершению процесса выгрузки на экране появится окно, в котором необходимо финализировать передачу данных через нажатие кнопки «ОК».

финализировать передачу данных

Далее необходимо загрузить базы данных в облачное хранилище. Для этого нужно перейти непосредственно в облако «1С». На экране снова появится окно запуска «1С», где нужно выбрать пункт «Конфигуратор».

загрузить базы данных в облачное хранилище

Далее необходимо снова найти вкладку «Администрирование», которая находится в главном меню. Появится выпадающий список, где нужно кликнуть по пункту «Загрузить информационную базу».

Загрузить информационную базу

В появившемся окне необходимо ввести путь к базам данных, которые были выгружены на предыдущем этапе и находятся на жестком диске компьютера. В правой части окна нужно выбрать местоположение баз (например, D:\База\1cv8.dt, где расположен архивный файл с расширением .dt – это и есть база данных). Для подтверждение действия необходимо кликнуть курсором по кнопке «Открыть».

После завершения установки, можно передать права доступа к облачному сервису другим сотрудникам организации. В результате будет запущена сильная корпоративная инфраструктура, в которой будут стабильно выполняться различные бизнес-процессы. Использование таких технологий позволит внедрить качественно новый подход к вопросам управления предприятием.

3. Преимущества использования облачных сервисов

На территории СНГ уже в течении долгого времени программы серии «1С» не только не теряют своей актуальности, но и активно развиваются. И на сегодняшний день цифровые данные удобнее всего хранить в так называемых облачных хранилищах. Это позволяет существенно сократить ресурсы, необходимые для размещения терабайтов информации, а также это облегчает процессы совместного использования информационных баз.

Основными преимуществами переноса данных из ПО «1С» в облачные хранилища являются:

  1. Отсутствие необходимости в покупке более дорогих пакетов ПО, которые бы позволили совместно работать большому количеству пользователей и обмениваться информацией.
  2. Не нужно хранить больших объемов данных на локальном устройстве.
  3. Простота в использовании: для начала работы с облаком необходимо всего лишь зарегистрироваться и указать количество пользователей, у которых есть права доступа к данным.
  4. Автоматическое обновление и актуализация информации в режиме реального времени.
  5. Простой алгоритм переноса баз данных из локальных «1С» в облачные сервисы.
  6. Отпадает необходимость в содержании и обслуживании большого количества серверов.
  7. Управление облачным пространством в удаленном режиме.
  8. Возможность соединения с облаком через любое устройство: портативный компьютер, ноутбук, планшет, или смартфон.
  9. Возможность для одновременной и синхронной работы нескольких сотрудников.
  10. Автоматическое копирование информации на случай неполадок и сбоев.
  11. Возможность отката действий пользователей в облаке.

Использование облачного сервиса для работы с программными комплексами «1С» – это возможность существенно урезать расходы на техническое обеспечение, а также на обслуживающий персонал (IT-инженеров, операторов и т.д.). Также такой подход обеспечивает синхронизацию и актуализацию информации в реальном времени.

Существуют разные программы для ведения бухгалтерского учета, однако самой популярной и широко известной является 1С: Предприятие. Само понятие «бухгалтерия» волей-неволей ассоциируется с данной программой.

Среди многообразия прикладных решений 1С можно выделить несколько самых распространенных на сегодняшний день конфигураций:

  • Бухгалтерия 8
  • Управление торговлей
  • Зарплата и Управление Персоналом 8
  • Комплексная автоматизация

Большинство российских компаний от малого до крупного бизнеса используют именно 1С: Предприятие, разница заключается в том, как это происходит. Благодаря облачным технологиям (cloud computing), у классической коробочной версии 1С появился аналог. Главная суть облачного подхода заключается в удобстве использования, которое основано на идеи аутсорсинга ПО.

Чем «облачная» версия отличается от коробочного издания?

1. Нет необходимости приобретать дорогостоящий программный пакет на определенное количество пользователей, которое может измениться. Вместо этого ежемесячные арендные отчисления и легкое изменение количества пользователей.

2. Не нужно производить долгое внедрение продукта, приглашать технических специалистов. Вы называете необходимое количество пользователей, выбираете тип доступа к программе, получаете файл и начинаете работу.

3. Придется забыть про ИТС. Никакой траты денег и времени на обновления, которые происходят в удаленном режиме.

4. Если база стала большой – не нужно покупать сервер или улучшать свой рабочий ПК. В несколько кликов можно заказать дополнительные ресурсы на диске, что обойдется в разы дешевле. Дополнительный Гигабайт памяти = 20 рублей/месяц.

5. Если компании требуется вести несколько баз, то при аренде 1С – количество баз неограниченно.

6. Работа в программе может вестись не только в офисе с рабочего ПК. Сотрудник может получить доступ к 1С из любого места и с любого устройства, при подключении к сети Интернет. Болезнь или командировка перестали быть преградой для работы.

7. Информация не потеряется в случае непредвиденных обстоятельств. Регулярно осуществляется автоматическое резервное копирование и хранение архивных копий баз в облаке.

8. Данные доступны только тому, кто должен их видеть. Сотрудник открывает программу у себя на компьютере, пройдя двухуровневую защиту (шифрование канала и аутентификацию), получая доступ к нужным данным. Вся видимая информация содержится не на компьютере, а находится на охраняемой технической площадке в дата-центре.

9. При наличии в организации нескольких отделений или иных точек присутствия, можно вести работу в общей базе.

10. Данные доступны не только повсеместно, но и круглосуточно. Нужная информация всегда под рукой.

Что нужно для работы программы:

Коробочная 1С:

Облачная 1С:

Кому это удобно?

  • Бизнесу, экономически не готовому к большим единовременным затратам на лицензионное ПО. Стартапы, малый бизнес, владельцы нелицензионных версий продукта, решивших перейти на легальное ПО.
  • Сотрудникам, которые работают удаленно. Декрет, командировки, работа на дому, работа из другого города или страны.
  • Организациям с сетевыми филиалами. Собрать все данные воедино – давняя мечта руководителя отделений, ставшая явью.
  • Среднему бизнесу для удобного ведения бухгалтерии без потребности в ручном резервировании, траты лишних денег на ИТС, времени на обновления, покупки оборудования и найма технических специалистов.
  • Крупному бизнесу для стабильной и удобной работы.

Варианты доступа к 1С в облаке:

Выглядит как программа 1С (ярлык), установленная локально на ПК пользователя. Работает через Интернет, для подключения используется зашифрованное SSL-соединение. Может использоваться на любых устройствах с возможностью интернет-подключения: ноутбук, планшет, ПК. Дополнительно возможна аренда офисных пакетов Microsoft Office Standart и Microsoft Office Professional Plus, которые работают по тому же принципу (приложение RemoteApp).

Работает через Интернет, на базе виртуального рабочего стола. Для подключения используется зашифрованное SSL-соединение. На устройство помещается ярлык для подключения к виртуальному рабочему столу (попробовать данный вид доступа можно здесь). Применяется с операционной системой Windows и Mac OS. Для работы с операционной системой Mac OS, необходимо предварительно установить клиент. Дополнительно возможна аренда офисных пакетов Microsoft Office Standart и Microsoft Office Professional Plus, которые находятся на виртуальном рабочем столе.

Рабочий стол имеет больший потенциал для действий: пользователь может самостоятельно управлять базами данных 1С:Предприятие, создавать и хранить на своем виртуальном рабочем столе файлы. Если у компании нет компьютера на рабочем месте сотрудника то это не является проблемой - возможна аренда монитора, клавиатуры, мыши и неттопа.

Так же существуют разные сторонние бесплатные RDP-программы для мобильной работы на Android на iOS. Вы можете использовать наиболее подходящие именно Вам. Обращаем внимание, что мы не можем гарантировать работу сторонних приложений.

Все вычислительные процессы происходят на сервере провайдера услуги 1С, где в действительности находятся все данные пользователей. Удаленные серверы расположены в охраняемом дата-центре с многоуровневой системой защиты. Таким образом, вся информация находится в безопасности и доступна только пользователю.

Как перейти на 1С в облаке?

1. Согласно базе данных (файловая или клиент-серверная), выбираете подходящий тип доступа в программу: Приложение (RemoteApp) или Удаленный рабочий стол (RDP).

2. Регистрируетесь в системе, производите заказ и оплату услуги, указывая количество пользователей.

3. Получаете на электронную почту свои учетные данные. Следуете простой инструкции по подключению к терминальному серверу 1С. Переносите базы самостоятельно или обращаетесь в техническую поддержку. Начинаем работу.

Вы получаете:

  • Экономию времени и денег на внедрении ПО.
  • Удаленную работу с круглосуточным доступом.
  • Изменение количества пользователей без переплат.
  • Автоматическое резервное копирование данных.
  • Коллективное подключение к одним базам из разных филиалов, городов, стран.
  • Всегда актуальную лицензионную версию платформы, согласно действующему законодательству со всеми официальными обновлениями.

Что делать если у компании уже есть лицензия 1С?

Всегда есть запасной вариант! Если у компании уже есть лицензия 1С, как и потребность работать удаленно, то есть еще один путь в облако. Можно перейти с коробочной версии 1С на облачную вместе со своей базой путем переноса бухгалтерии на виртуальный 1С сервер. В этом случае допускаются редакции 1С, начиная с версии 8. Для переноса программы понадобится программный ключ. Если у компании его нет (или есть аппаратный ключ), то его можно бесплатно получить (или заменить), обратившись в фирму 1С.

Порядок действий:

1. Регистрируетесь в системе, производите заказ и оплату услуги. Исходя от количества пользователей, настраивается конфигурация сервера.

2. Передаете программный ключ поставщику услуги 1С сервер.

3. Получаете на электронную почту свои учетные данные. Следуете инструкции по подключению к терминальному серверу 1С. Переносите базы данных. Начинаете работу.

Наткнулся на Банер, Первая мысль, опять 25-ть, но по ссылке перешел. На платформе VMware много предложений, но все они реализованы по разному. В общем решил попробовать, зарегистрировался, создал виртуальные ресурсы с названием 1с.dds.kz на сумму 964 рублика по тарифу номер 2, только процессор один убрал, оставил запас деньжат, можно было как я понял по SPLA сразу купить лицензии на ОС Windows, но для теста этого не требовалось.

13

Что то там погрузилось, по создавалось и в итоге появился пул виртуальных ресурсов.

res

DNS

Ткнул на них, и воля, попал прямо в интерфейс vCloud. Тут меня сразу зацепило, во первых ребята явно поработали с vCloud API, во вторых сеть, она как мне показалось создалась для меня, то есть отдельный VFR или VLAN. А это уже попахивало интеграцией с железом. Это вам не банальный доступ по логину Demo Пароль 1234456, тут ты сразу создаешь организационную единицу для себя. Стало интересней, сразу же захотелось что то создать на Windows и с распространенной потребностью, например сервер 1с в облаке, так как на похожей площадке уже поднимали (тестовый) Linux сервер. Как устроен vCloud я знал, но пользоваться им не умел, потому сразу полез в FAQ на сайте сервиса. Зная что все начинается с сети, я полез читать эту статью. Она состояла из последовательных не сложных действий, любой кто хоть раз настраивал NAT, PAT, Firewall и понимает что такое IP, с легкостью проделает эти действия. первым делом я нашел выделенный моей организации внешний IP адрес и в DNS хостинге моего провайдера прописал IP к домену 1c.dds.kz. Этого можно было не делать и заходить по IP, но по мне это не кашерно, да и в будущих IPv6 это будет не очень удобно делать.

Дальше все сделал в vCloud, подробно описывать не буду так как все есть в FAQ, просто выложу ленту принскринов и в двух словах, На сервер выделили сеть 192.168.1.0/24, условно дал ему IP 192.168.1.100, выпустил его в интернет и дал доступ снаружи по RDP.

Теперь добрались до создания самой виртуальной машины, свой образ мне тащить не охота было, потому взял из готовых шаблонов. Опять в виде ленты принскринов, и в двух словах, создал vApp дал ему Имя, дал имя компьютера, назначил сеть и IP,все.

mypassword

Дальше опять с помощью FAQ узнал как посмотреть пароль на Администратора системы, но тут все пошло не так, изначально (на принскрине выше видно) я выбирал WinRU но фишка Guest OS Customization не сработала (support провайдера сказал что все должно работать, воспроизвести такое поведение им не удалось это уже после выясняли), потыкав так да сяк, решил сменить шаблон на WinENG, после чего фишка заработала, и я смог попасть в OS установив на Administrator свой пароль.

newusergroup

Зашел по RDP на свой сервер (правда используя внешний IP, так как записи на DNS серверах еще не успели обновится) создал свою учетку, сделал ее Админом вышел из системы, поставил на пинг внешнй IP с нескольких регионов и ушел домой (была пятница вечер, и более мне этим заниматься не хотелось).

rdp1C

В понедельник посмотрел статистику по ICMP запросам, за субботу воскресенье потерь пакетов не было, сервис был онлайн.Так же за это время обновились DNS записи и я зашел на сервер уже по имени 1c.dds.kz, правда еле вспомнил пароль что поставил )) при этом не забыл поставить галочку подключения локального диска (мне же нужно было закинуть дистрибутив 1с учебная версия).



Ставим 1с учебная версия. там как обычно, далее, далее, далее, ОК.

Ну в общем то и все, создаем или закидываем свою базу и можно пользоваться сервером 1с в облаке.!

Внимание! Если вы все еще верите что поставив системный блок под ноги бухгалтера вы сможете сделать дешевле и надежней, то помочь вам не чем не смогу, недальновидность человеческая лечится только опытом, особенно хорошо плохим.
Для тех кто не в танке, и уже управляет ИТ активами, просто в виде статей расходов и доходов а не бегает и что то там чинит, предлагаю присмотреться к данному сервису, ребята поработали на славу, еще очень понравилась их страница мониторинга ЦОД. Тем кому лень разбираться самому, но хочет использовать все преимущества облачных вычислений, можете обращаться к нам, поможем развернуть любое количество серверов и возьмем их на поддержку.

Тема защиты информации всегда рвала шаблоны в голове обывателей, далеких от информационной безопасности. По крайней мере этим я объясняю большое количество слухов вокруг этой темы и частую подмену понятий в спорах об информационной безопасности. И если в организации есть выделенный специалист - то именно он ставит точку в споре, накладывает вето на некоторые решения админов и программистов и воспитывает дисциплину в не-ИТ-сотрудниках. Увы, многие предприятия в целях экономии свешивают эти вопросы на кого угодно - кадровика, сисадмина, программиста, завхоза или охранников и надеются на репутацию неуловимого Джо, который никому не нужен. При получении письма счастья о грядущей проверке эти безопасники поневоле как слепые котята пытаются утрясти вопросы, которые им кажутся важными, упуская из виду “мелочи”, которые несут большее значение для успешного прохождения проверки.

В этой статье я хочу поделиться с вами своими мыслями по “безопасному” переносу базы 1С в облако. Во всех организациях, где я работала, вопрос о переносе баз 1С в облако не стоял - и я, и админы, и программисты предпочитали располагать 1С в одной из стоек, надежно запертой за несколькими дверями в нашей серверной. Однако, недавно я наткнулась на горячий спор по теме безопасности решения о переносе данных в облако и не смогла промолчать.

Здесь и далее - речь идет не о том, как отгородиться от кулхацкера, а о том, как прикрыть бумажками мягкое место от регуляторов при использовании 1С в облаке как сервиса, а не инфраструктуры как сервиса - там другие заморочки.

ПДн - персональные данные
РКН - Роскомнадзор
ФСТЭК - федеральная служба по техническому и экспортному контролю
ФСБ - федеральная служба безопасности
Минкомсвязи - Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
СТР - Специальные требования и рекомендации по технической защите информации
ИСПДн - информационная система персональных данных
СЗИ - Средство защиты информации
Модель угроз (безопасности информации) – физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации. Оформляется отдельным документом для каждой ИСПДн.
17 приказ - ФСТЭК от 11 февраля 2013 г. “Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах”
21 приказ - ФСТЭК от 18 февраля 2013 г. “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”
Постановление Правительства 1119 (читаем как “одиннадцать-девятнадцать” =) - Постановление Правительства РФ от 1 ноября 2012 г. № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”

Это сокращения, повсеместно используемые безопасниками в общении между собой. Мне было удобнее писать статью как я привыкла и раскрыть эти понятия тут.

Прежде, чем мы приступим, позвольте маленький тест на понимание Вами понятия ПДн:

Нет. Субъектом права является автомобиль, которому и принадлежит номер.

Нет. Номер сотового телефона привязан к id СИМ-карты, который выдает оператор связи.

Да. Согласно текущему определению ПДн в законе ЛЮБАЯ информация, которая как либо касается субъекта является ПДн. В предыдущей редакции закона (до 2011 г.) имя не относилась к ПДн.

Да. Несмотря ни на что они так же классифицируются и защищаются, поскольку использоваться могут только в целях, которые указал владелец ПДн в согласии.

Первое, что нужно понимать - каждая гос.структура имеет свою область действия, которые не пересекаются. Минкомсвязи является законодательным органом - они пишут законы и дают им комментарии. Если какой-то регулятор (ФСТЭК или РКН) дал свой комментарий, а Минкомсвязи - свой, то лучше слушать министерство.

РКН проверяет бумажки и осматривает помещения, ФСТЭК - смотрит на фактическую защиту инфраструктуры с помощью ПО и железок. Оба эти регулятора пишут приказы согласно их компетенции. В случае с РКН проверка является намного более быстрым и рутинным занятием; штат специалистов у РКН побольше, чем у ФСТЭК (на весь сибирский федеральный округ в 2015 г. проверками по линии ФСТЭК занимались 5 человек), поэтому чаще всего проверки проводятся сотрудниками РКН.

Что проверяют ФСТЭК и РКН?

Регуляторы проверяют законность ваших действий. Иначе говоря, соблюдаете ли вы закон и подзаконные акты (постановления и приказы). Но тут, как и во всем, есть нюанс, и даже не один.

1. Вы должны соблюдать только те законы, которые к вам относятся. Многие админы, работавшие в своё время на закрытых объектах по привычке городят баррикады там, где они не к месту. Например: аттестуют рабочие места в коммерческих структурах, выполняют требования 17 приказа работая в частной конторе и смешивают “коктейль Молотова” из требований СТР и защите криптографии там, где сидят обычные менеджеры.

В данном случае:

  • 17 приказ обязателен к выполнению в госструктурах, но для защиты ПДн в коммерческих организациях есть “свой” приказ (21-й).
  • Требования СТР нужны только для защиты государственной тайны.
  • Требования к помещениям с криптографией относятся к любому виду тайны, которой у вас может и не быть. Кроме того, выполнение требований по защите помещений с криптографией очень дороги в исполнении, поэтому лучше сделать 1-2 защищаемых помещения на всю организацию, а не защищать всё здание.

Регулятор вас за это не накажет, но вот руководитель явно не будет в восторге от разбазаривания казенных средств.

2. Вы сами определяете, как сильно вам нужно защищаться. Поскольку обязанность составлять модель угроз лежит на вас - то вы можете сказать: “Я не буду выполнять это требование приказа, поскольку угрозы, которую перекрывает данное требование у меня нет". И регулятор в зависимости от ваших обоснований с вами может внезапно и согласиться. Увы, так можно сделать не со всеми требованиями 21 приказа.

Рассмотрим типовую для многих организаций ситуацию:

Вы - коммерческая организация с количеством сотрудников до 100 человек. У вас есть база 1С:Бухгалтерии / 1С:ЗУП / 1С:УТ. Там, как правило, содержится информация о текущих сотрудниках и персональные данные других субъектов (соискатели, уволившиеся сотрудники, клиенты-физ.лица и прочее). В 99% случаев вы обрабатываете иные ПДн - не являющиеся биометрией, общедоступными или специальными (раса, религия, политические убеждения, интимная жизнь и состояние здоровья), вам соответствуют угрозы 3-го типа (за вами не следит иностранная разведка =), и у вас менее 100 000 уникальных записей ПДн в базе. У вас есть согласия на обработку ПДн или договоры с физ.лицами, вы включены в реестр операторов персональных данных и имеете необходимый минимум документов (политика обработки ПДн, разделение систем на ИСПДн и их классификация, модель угроз, матрица доступа и куча приказов: о назначении ответственного за контроль за обработкой ПДн; помещений, где обрабатываются ПДн; список лиц имеющих к ним доступ и т.д. - всё это перечислено в законах и приказах). В таких условиях уровень защищенности вашей ИСПДн с 1С будет 4. По типам угроз, классификации ПДн и уровням защищенности свериться можно с постановлением Правительства 1119.

О том, как построить систему защиты с нуля под ваши условия или провести аудит выполнения требований приказов я писать не буду. В данной статье примем за данность, что вы уже соблюдаете необходимые для вашей организации требования по 152-ФЗ.

Если ранее вы попадали под условия обработки без уведомления РКН (152-ФЗ ст.22 ч.2), например, вы обрабатываете ПДн только ваших сотрудников, то с переездом в облако вам придется написать уведомление в РКН о включении в реестр операторов ПДн и обзавестись формальным ответственным и необходимой документацией.

А какова вероятность, что меня поймают за хвост, если я не подам уведомление об обработке ПДн?

Тут все зависит от вашего везения. Даже если кто-нибудь напишет жалобу на вас в РКН, то не факт, что они инициируют проверку по этому факту - им нужны доказательства неправомерной обработки данных именно вашей организацией. Если такие доказательства у (предположим!) обиженного физ.лица будут, то скорее всего вам выпишут предписание о постановке на учет. Вы в течении 30 дней (с момента получения предписания) встаете на учет и пишете ответ, что предписание выполнено. Если РКН найдет доказательства того, что вы незаконно обрабатываете ПДн не первый год, то, за несвоевременное уведомление РКН, вам грозит еще и штраф по ст. 13.12 ч.6 КоАП (для юр.лиц штраф от 10-15 т.р.), который вы обязаны выплатить в течении 60 дней со дня его наложения . После устранения всех замечаний и выплаты штрафа спим спокойно до следующей жалобы или ближайшие 3 года - это период каникул от плановых проверок.

Что нужно сделать при переходе в облако?

Принимая решение о размещении ИСПДн в облаке Вам в первую очередь нужно будет пересмотреть модель угроз. Теперь на первый план выйдут угрозы каналам связи, доступ сотрудников “облачного” провайдера и возможный доступ “соседей по провайдеру” к вашей базе. Каналы связи проще шифровать, чем пробовать обойтись “бумажными” мерами. А вот с провайдером и соседями можно попробовать “прикрыться бумажкой”.

По закону любое действие с ПДн - это обработка. В переводе с русского канцелярского, на русский обывательский: хранение - тоже обработка. Поэтому любой облачный провайдер автоматом становится соучастником оператором по поручению (субоператором).

Вы, как основной оператор, должны заморочится тем, как именно субоператор защищает ваши данные (он обязан это делать в любом случае - 152-ФЗ ст. 6 ч.3). Потому что проверка у субоператора ударит по вам обоим, а у субоператора больше прав показать пальцем в вашу сторону и сказать “Это он не проконтролировал!”, поскольку ответственность за невыполнение требований понесет оператор (152-ФЗ ст. 6 ч.5). Так что, если “облачный” провайдер не защищает ПДн вообще, то он не должен быть в списке возможных кандидатов на размещение ваших баз 1С.

На какие аспекты безопасности обратить внимание при выборе провайдера?




Если провайдера-кандидата там нет, возникают вопросы - как они защищают персональные данные и защищают ли их вообще? Скорее всего никак.

Политика в отношении обработки ПДн должна быть на сайте в свободном доступе - мелочь, которая показывает исполнительность оператора.

Очень желательно, чтобы ЦОД располагался на территории РФ и данные из него не утекали за рубеж.

Многие недопонимают 152-ФЗ 12 ст. - трансграничную передачу данных. На самом деле с рядом оговорок передавать ПДн субъектов заграницу можно.

Австрия, Азербайджан, Албания, Андорра, Армения, Бельгия, Болгария, Босния и Герцеговина, Бывшая Югославская Республика Македония, Великобритания, Венгрия, Германия, Греция, Грузия, Дания, Ирландия, Исландия, Испания, Италия, Кипр, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Молдова, Монако, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сан-Марино, Сербия, Словакия, Словения, Турция, Украина, Финляндия, Франция, Хорватия, Черногория, Чешская республика, Швейцария, Швеция, Эстония, Австралия, Аргентинская Республика, Государство Израиль, Канада, Королевство Марокко, Малайзия, Мексиканские Соединенные Штаты, Монголия, Новая Зеландия, Республика Ангола, Республика Бенин, Республика Кабо-Верде, Республика Корея, Республика Перу, Республика Сенегал, Тунисская Республика, Республика Чили.

*данные взяты из раздела “часто задаваемые вопросы” с сайта РКН

Однако, это приводит к составлению огромного количества документов, проверке реестров и прочее и для небольшой организации нет в этом необходимости в такой волоките.

Что касается хранения ПДн, то это описано в 152-ФЗ ст. 18 ч. 5: храним ПДн в России , если вы не дип.сотрудник, журналист или писатель, например. Но вам ничто не мешает безнаказанно скопировать какой-то объем вашей базы за рубеж, при условии хранения всей базы с ПДн в России, поскольку в явном виде законом это не запрещено.

После того, как мы получили список провайдеров, которым можно доверить ПДн не нарушая закон, следует протестировать ваших кандидатов по другим параметрам: производительность, дружелюбность, цена и прочее.

А как же мне оценить всех провайдеров-кандидатов?

В тестовом периоде на 3-5-14 дней не заключается никаких договоров с провайдером облачных услуг. Но на сайте каждого облачного хостинга есть хоть какая-то публичная оферта, в которой слегонца затрагивается тема неразглашения полученных данных и берется обязанность с потенциального клиента “не пакостить”. Достаточно ли этого с точки зрения РКН? Нет. Они всегда просят больше конкретики. Отсюда у вас три варианта развития тестирования:

  1. Неправильный. Делать вид, что вы никого не тестировали, но протестировать по полной с боевой базой.
  2. Приемлемый. Тестировать с тестовой базой или базой не содержащей конфиденциальной информации. В этом случае тестирование может быть не показательным.
  3. Идеальный. Заключить отдельное соглашение о сотрудничестве/взаимодействии/ неразглашении и тестировать боевую базу открыто.

Я определился с конкретным провайдером - что дальше?

До заключения договора нужно будет обсудить с провайдером, как он защищает данные в конкретике (изучить все меры защиты - от организационных до технических) и сравнить это с вашей моделью угроз. Убедиться, что все актуальные угрозы для вашей ИСПДн закрыты. Если не закрыты, то в зависимости от места уязвимости системы, либо предусмотреть закупку дополнительных СЗИ или перестроить текущую так, чтобы они закрылись, либо обговорить с провайдером, как, кем и за чей счет будут закрываться уязвимости.

Уязвимость - слабое место в системе

Угроза - что-то, что может проделать дыру на месте уязвимости

Затем нужно аккуратно прочитать договор и отметить для себя несколько важных моментов:

  1. Принадлежность ПДн. Они всё ещё должны принадлежать вам. А провайдер - субоператор - обязуется их защищать. Бывает, что субоператор в договоре “переписывает” на себя принадлежность всех ваших данных и пользуется ими на своё усмотрение.
  2. Должен быть предусмотрен момент удаления всех ваших данных при отказе от услуг оператора. По умолчанию, это делается в срок до 30 календарных дней после расторжения договора, но желательно прописать это отдельно с уведомлением вас об удалении (прислать копию акта уничтожения с синей печатью).

Этими действиями вы очерчиваете в более явном виде круг ответственности оператора и субоператора.

А что ж делать с защитой вне бумаги?

Все зависит от вашей модели угроз и желания действительно обезопасить свои данные. В защите ПДн в облаках, как безопасник, я вижу в основном минусы:

  1. Невозможность рулить критическими уязвимостями, поскольку хостовая (иногда и виртуальная) машина вам неподвластна.
  2. Потолок масштабируемости - что делать при переезде, теневой миграции виртуалок между хостами и т.д.
  3. Момент оплаты реализуемых мер защиты на стороне провайдера. Я в своё время запнулась о то, что провайдеры так строят диалог, что готовы выполнить любой каприз за наши деньги. А это неплохая прибавка в цене к ежемесячному платежу.
  4. Возможное низкое качество предоставляемых услуг в отсутствии понимающих в безопасности людей. Ниже - пример такой неприятной ситуации.

У нас в городе есть несколько очень крупных организаций, имеющих лицензию на оказание услуг в сфере ИБ. Вольных безопасников немного - на всех желающих не хватает. Однажды мне на проверку принесли тех.проект системы защиты. После предыдущего клиента исправили только титульный лист, даже адрес помещения не поменяли. Я написала книжку замечаний и отправила приятелю. Ему сказали, что перепутали файлы и обещали дослать через две недели - мол, сотрудник ушел в отпуск и доступа к его файлам ни у кого нет. Когда же позвонила я (неформально), объяснение было другим - они всё равно бы ничего не заметили, ведь своего безопасника у них нет и не будет.

Так ответственность за неисполнение требований по защите ИСПДн есть?

В случае с ПДн вы вряд ли уйдете дальше административной ответственности. Все цены за ваши возможные косяки расписаны в главе 13 КоАП РФ. Больше всего в случае невыполнения каких-либо требований по ПДн штрафуют по статьям 13.11, 13.12, 13.14. Размеры штрафов зависят от очень многих факторов - иногда можно обойтись предупреждением (например, за неопубликованную политику по обработке ПДн), а иногда можно "попасть" на миллионы (например, как Twitter и Facebook за хранение ПДн только за рубежом) .

Надеюсь мои размышления на счет “бумажной” безопасности облаков с 1С хоть немного расставили точки над i в голове читателей. Если нет - спрашивайте, постараюсь ответить.

Приветствуется любая конструктивная критика, поскольку это мой первый опыт написания статьи не научным и не канцелярским языком.

Как разместить 1С в облаке

Облачные сервисы для 1С выглядят так: перенос сервера 1С из локальной сети организации в облако провайдера.

Пользователи продолжают использовать привычные программы, запуская тонкий или тонкий клиенты 1С или работая через веб-браузер. Для работы им не нужно находиться в локальной сети предприятия (напрямую или через VPN).

Можно выделить четыре основных сценария использования облачных технологий 1С: облако для организации, облако для холдинга, облако для клиентов, технология 1сFresh. Рассмотрим подробнее эти сценарии.

Облако для организации

Облако для организации используются для того, чтобы сотрудники могли подключаться к информационным базам даже с тех компьютеров, где не установлен клиент 1С.

Этот сценарий разворачивается, когда нужно обеспечить сотрудников, перемещающимися между отделами и офисами, актуальной информацией о своих подразделениях. Также этот сценарий используется, когда сотрудникам необходимо получать необходимые отчет в любом месте -в любой торговой точке или у поставщиков.

Облако для холдинга

Внутри холдинга, объединяющего несколько компаний, облачные технологии позволяют сократить расходы на обслуживание одинаковых программ 1С. Например, в каждой из компаний, входящих в холдинг, ведется бухгалтерский учет. Можно развернуть один сервер 1С: бухгалтерию в облаке, и использовать в режиме разделения данных. Этот режим позволяет хранить данные нескольких организациях в одной информационной базе.

В этом сценарии каждая компания будет работать в своей собственной области данных, а настраивать обновлять и выполнять резервное копирование нужно для одной информационной базы.

Облако для клиентов

Использование облака для клиентов нужно в тех случаях, когда пользователи 1с не объединены в одну сеть и у них разное оборудование в разных офисах, городах и даже странах.

Клиенты работают с 1с через веб-браузер, работающем как на компьютере, так и на мобильном клиенте - смартфоне или планшете.

Технология 1сFresh (работа через Интернет в модели сервиса)

При использовании модели сервиса клиенты не приобретают сами сервер 1С, операционную систему для виртуального сервера или сервер СУБД. Они платят за использование 1С через Интернет. Вся необходимая инфраструктура находится у поставщика сервиса, на его оборудовании, в виде единой системы, с которой работают все пользователи. Обновление, обслуживание и резервное копирование поставщик сервиса выполняет централизовано.

Размещение 1С:Предприятие в виртуальной инфраструктуре

Размещение платформы 1С в виртуальной инфраструктуре облачного провайдера имеет свои особенности.

Следует помнить, что приложения в виртуальных машинах будут работать медленнее, чем на физических. Помимо издержек оборудования на обслуживание сервера виртуальных машин (гипервизора) есть еще один фактор замедления - это организация течения времени. Скорость течения времени в физическом сервере и в виртуальном не одинаковы и во многом зависит от конкретного производителя серверов для создания виртуальной инфраструктуры.

Замедление работы виртуальной машины может достигать 15-30% от скорости работы физического сервера.

Можно минимизировать задержки виртуализации, подобрав настройки, соответствующие характеру нагрузки. Для работы виртуальной инфраструктуры 1С следует использовать убедиться, что используются выделенные серверы виртуальных машин, настроенные определенным образом:

  • Некоторые производители гипервизоров обеспечивают повышение скорости за счет встроенных в слой виртуализации механизмов кэширования. Однако кэш может переполниться, и тогда произойдет резкое падение производительности.
  • Для виртуальных серверов нужно выключать механизм создания снимков системы (snapshots).
  • Для работы 1С:Предприятия необходимо использовать только физические диски, а не виртуальные.
  • Следует помнить, что передача по сети между двумя виртуальными машинами на одной физической машине медленнее протокола Shared Memory.
  • Функции динамического перераспределения ресурсов между несколькими виртуальными машинами вносит замедление в работу виртуальных машины. Рекомендуется выключать такие функции. Динамическое распределение ресурсов также может привести тому, что программная лицензия может выйти из строя.
  • В BIOS сервера виртуальных машин должны быть включены технологии виртуализации (VT-x, EPT, AMD-V и т.д.). Также необходимо настроить CPU power saving в режим OS Controlled mode.
  • Для повышения быстродействия следует отключить опцию NUMA Node Interleaving и включить опцию Enable NUMA.
  • Для гипервизорах ESXi 6.0 и старше не стоит использовать сетевые интерфейсы WMXNET3, использовать только типа E1000e.
  • На хостах ESXi также следует отключить дедуплекацию памяти - Transparent Page Sharing.
  • Следует включить схему питания максимальной производительности (High performance)
  • На всех виртуальных машинах следует устанавливать дополнения Vmware Tools.
  • Для оптимизации дисковой системы увеличить значение Disk.DiskMaxIOSize до 128ю
  • При использовании внешних хранилищ следует:
    • использовать режим Independent Persistent Mode, как наиболее производительного.
    • При использовании iSCSI нужно настроить jumbo frames (или установить значение MTA равным 9000) на всех интерфейсах и сетевом оборудовании.
    • Если виртуальные машины и система хранения (СХД) использует режим MultiPathing, то можно вручную настроить на каждом хосте адреса LUN и использовать режим Fixed - это даст большую производительность, чем режим RoundRobin.

    Перенос 1С из физического сервера в облачную инфраструктуру

    Планирование переноса 1С

    Перед переносом системы 1С в облако следует тщательно спланировать процесс миграции. Для этого необходимо ответить на следующие вопросы:

    Ресурсы виртуальной машины

    Оперативная память

    Компаниям, где от 5 до 25 пользователей работают с базой до 4 Гб необходимо 16 Гб оперативной памяти.

    Пользователи крупных компаний (100-150 пользователей и базы данных от 1 Гб обычно работают в терминальном режиме. При этом на сервере может запускаться одновременной операционная система, сервер 1С:Предприятия и терминальный сервер. Такой виртуальной машине необходимо 32-64 Гб оперативной памяти.

    Хранилище для виртуальной машины

    Основная сложность работы с большими базами данных в 1С - это временная блокировка таблиц при обращении к ним множества пользователей. Решить эту проблему можно только с помощью планирования дисковой системы.

    Для этого важно учитывать показатель IOPS (Input Output Operation per Second) - число возможных операций дисковой системы за одну секунду.

    Во время пиковой нагрузки для базы объемом 300 Мб при одновременном доступе разного количества пользователей IOPS может достигать следующих значений:

    Читайте также: