Влезе в сила Федерален закон № 152 „За личните данни“, който изисква всички оператори на лични данни да изпълняват редица изисквания за защита и съхранение на лични данни.
Ние предоставяме услуги за хостване на информационни системи на 1C за обработка на лични данни, в съответствие с 152-FZ. Какви решения имате? 1C за защита на личните данни (ISPDn)?
Компанията 1C получи сертификат за съответствие № 2137, издаден от FSTEC на Русия, който потвърждава, че защитеният софтуерен пакет (ZPK) „1C:Enterprise, версия 8.2z“ е признат за софтуер с общо предназначение с вграден средства за защита на информацията от неоторизиран достъп (NSD) до информация, която не съдържа информация, представляваща държавна тайна.
Въз основа на резултатите от сертифицирането беше потвърдено съответствие с изискванията на ръководните документи за защита срещу дейности без въздействие от клас 5, според нивото на мониторинг липсата на недекларирани способности (NDC) на ниво 4 на контрол, възможността за беше потвърдено използването за създаване на автоматизирани системи (AS) до клас на сигурност 1G (т.е. AC), осигуряващи защита на поверителна информация в LAN) включително, както и за защита на информация в информационни системи за лични данни (PDIS) до клас K1 включително.
Сертифицираните копия на платформата 1C са маркирани със знаци за съответствие от № G 420000 до № G 429999.
1CAir предлага тези програми под наем. Как да започнете да го използвате?
Как да създадете система за обработка на лични данни в 1C, в съответствие с 152-FZ?
Всички конфигурации, разработени на платформата „1C:Enterprise 8.2“, могат да се използват за създаване на информационна система за лични данни от всякакъв клас и не се изисква допълнително сертифициране на приложни решения.
От 1C бяха получени допълнителни разяснения:
1. Федерален закон № 152-FZ „За личните данни“ сам по себе си не налага никакви изисквания към софтуера (с измененията, които са в сила днес).
2. Изискването за необходимостта от оценка на съответствието на средствата за информационна сигурност се съдържа в параграф 5 от Правилника, въведен с Указ на правителството на Руската федерация от 17 ноември 2007 г. N 781 „За одобряване на Правилника за гарантиране на сигурността лични данни при обработването им в информационни системи за лични данни.“
3. Директно изискванията към софтуера са предвидени в Заповед № 58 на FSTEC на Русия, по-специално, изискванията са предвидени за подсистемите за контрол на достъпа, регистрацията и контрола на целостта. Тези подсистеми се отнасят изключително до технологичната платформа, а не до конфигурации.
4. При извършване на сертифициране първоначално се предвиждаше да се предоставят изисквания за конфигурации (технически условия). Въпреки това, след приключване на сертифицирането, лабораторията за изпитване отказа да представи каквито и да било изисквания за конфигурации.
По този начин действащото законодателство не предвижда сертифициране (или друга оценка на съответствието) на софтуерни продукти, които не са инструменти за информационна сигурност, които включват стандартни конфигурации, и няма технически условия за конфигурации. Съответно всяка конфигурация за тази платформа може да се използва със защитен софтуерен пакет.
Освен това по време на сертифицирането обектът не е само програми, а целият комплекс от административни разпоредби и мерки (изисквания за сигурност, модел на заплаха, актове за класификация, план за защита на личните данни и др.) И цялата информационна система, използвана в организацията.
Операторът по обработка на лични данни трябва да реши да присвои съответния клас на системата за лични данни.
Въпреки факта, че данните се съхраняват извън Руската федерация, Федерален закон № 152-FZ пряко предвижда възможността за трансгранично предаване на данни, а именно член 12. „Трансгранично предаване на лични данни на територията на чужди държави които са страни по Конвенцията на Съвета на Европа за защита на лицата при автоматизирана обработка на лични данни, както и други чужди държави, които осигуряват адекватна защита на правата на субектите на лични данни, се извършва в съответствие с този федерален закон. ..”. Личните данни се съхраняват в центрове за данни само в онези европейски страни, които са подписали тази конвенция, се посочва в писмото Министерството на комуникациите и масовите комуникации на Руската федерация „За осъществяването на трансгранично предаване на лични данни“.
Съгласно член 12, параграф 3 от Закон № 152-FZ, ние сме убедени, че е осигурена адекватна защита на правата на субектите на лични данни, преди да започне трансграничното предаване на лични данни. Това е записано в нашето споразумение с центровете за данни и е отразено в Споразумението с клиента.
В момента се използва стандартната платформа „1C:Enterprise, версия 8.2“ с изисквания за защита на данните, както е посочено по-горе. Следователно с помощта на 1CAir е възможно изграждането на системи за сигурност на информацията в информационните системи за лични данни (PDIS) до клас K2 включително.
Въпреки използването на 1CAir, вашата организация остава оператор на обработката на вашите лични данни, а не ние. Вие създавате свой собствен модел на сигурност и в съответствие с този модел определяте параметрите на защита. Използвайки тези технически параметри, можете да разберете от нас дали предоставяме такава услуга (например криптиране) и да създадете желаната система с помощта на програми в 1CAir.
Информационна сигурност, подобно на защитата на информацията, е сложна задача, насочена към осигуряване на сигурност, реализирана чрез внедряване на система за сигурност. Проблемът за информационната сигурност е многостранен и сложен и обхваща редица важни задачи.
Проблемите със сигурността на информацията непрекъснато се задълбочават от навлизането на технически средства за обработка и предаване на данни във всички сфери на обществото; този проблем е особено остър в областта на финансово-счетоводните системи. Най-популярната система за счетоводство, продажби и CRM процеси в Русия е системата 1C Enterprise.
Нека разгледаме потенциалните заплахи за сигурността при използване на програмата 1C.
|
Използване на 1C с бази данни във файлов формат.Файловите бази данни 1C са най-уязвими към физическо въздействие. Това се дължи на особеностите на архитектурата на този тип база данни - необходимостта да се поддържат отворени (с пълен достъп) всички конфигурационни файлове и самите файлови бази данни за всички потребители на операционната система. В резултат на това всеки потребител, който има право да работи в 1C файлова база данни, може теоретично да копира или дори да изтрие информационна база данни 1C с две щраквания на мишката. |
|
 |
Използване на 1C с бази данни във формат СУБД.Този тип проблем възниква, ако СУБД (PosgreSQL, MS SQL) се използва като хранилище за 1C бази данни, а корпоративен 1C сървър се използва като междинна комуникационна услуга между 1C и СУБД. Това е пример - много компании практикуват модифициране на 1C конфигурации, за да отговарят на техните нужди. В процеса на усъвършенстване, в условията на „суета“ на проекта, постоянно тестване на нова, подобрена функционалност, отговорните специалисти често пренебрегват правилата за мрежова сигурност. |
 |
Отвореност и достъпност на сървърното оборудване.Ако има неоторизиран достъп до сървърно оборудване, служители на компанията или трети страни могат да използват този достъп, за да откраднат или повредят информация. Просто казано, ако атакуващият получи директен достъп до тялото и конзолата на 1c сървър, обхватът на неговите възможности се разширява десетократно. |
 |
Рискове от кражба и изтичане на лични данни.Тук текущите заплахи за сигурността на личните данни се разбират като съвкупност от условия и фактори, които създават текущата опасност от неразрешен, включително случаен достъп до лични данни по време на обработката им в информационна система, например от отговорни служители, компютър оператори, счетоводни отдели и др. |
 |
Мрежова сигурност.Корпоративна информационна система, изградена в нарушение на GOST, изискванията за сигурност, препоръките или липсва подходяща ИТ поддръжка, е пълна с дупки, вируси и шпионски софтуер и много задни вратички (неоторизиран достъп до вътрешната мрежа), което пряко засяга безопасността на корпоративните данни в 1C. Това води до лесен достъп за нападателя до чувствителна търговска информация. Например, нападателят може да използва безплатния достъп до резервни копия и липсата на парола за архиви с резервни копия за лична изгода. Да не говорим за елементарното увреждане на базата данни 1C от вирусна активност. |
 |
Връзка между 1C и външни обекти.Друга потенциална заплаха е необходимостта (и понякога специална маркетингова функция) на счетоводната база данни 1C да комуникира с „външния свят“. Качване/изтегляне на клиентски банки, обмен на информация с клонове, регулярна синхронизация с корпоративни уебсайтове, портали, други програми за отчетност, управление на клиенти и продажби и много други. Тъй като в тази област на 1C спазването на стандартите за сигурност и еднаквостта на обмена на мрежова информация не се насърчава, изтичането е съвсем реално във всяка точка по маршрута му. |
Какво може да се предложи за решаване на подобни проблеми?
1. Когато работите с 1C файлови бази данниНаложително е прилагането на редица мерки за гарантиране сигурността на базите:
- Използвайки ограничения за достъп до NTFS, дайте необходимите права само на тези потребители, които работят с тази база данни, като по този начин защитите базата данни от кражба или повреда от безскрупулни служители или нападател;
- Винаги използвайте Windows оторизация за влизане в работни станции на потребители и достъп до мрежови ресурси;
- Използвайте криптирани дискове или криптирани папки, които ще ви позволят да запазите поверителна информация, дори ако премахнете базата данни 1C;
- Създайте политика за автоматично заключване на екрана, както и осигурете обучение на потребителите, за да обясните необходимостта от заключване на профили;
- Разграничаването на правата за достъп на ниво 1C ще позволи на потребителите да имат достъп само до информацията, за която имат съответните права;
- Необходимо е да се разреши стартирането на конфигуратора 1C само на тези служители, които се нуждаят от него.
2. При работа с бази данни СУБД 1СМоля, обърнете внимание на следните препоръки:
- Идентификационните данни за свързване към СУБД не трябва да имат администраторски права;
- Необходимо е да се разграничат правата за достъп до базите данни на СУБД, например да създадете свой собствен акаунт за всяка информационна база, което ще сведе до минимум загубата на данни, ако един от акаунтите бъде хакнат;
- Препоръчително е да се ограничи физическият и отдалечен достъп до корпоративната база данни и 1C сървърите;
- Препоръчително е да се използва криптиране за бази данни, това ще запази поверителни данни, дори ако атакуващият получи физически достъп до СУБД файловете;
- Освен това, едно от важните решения е да шифровате или зададете парола за архивиране на данни;
- Задължително е да се създадат администратори за клъстера 1C, както и за сървъра 1C, тъй като по подразбиране, ако не са създадени потребители, абсолютно всички потребители на системата имат пълен достъп до информационните бази.
3. Изисквания за осигуряване на физическата сигурност на сървърното оборудване:
(съгласно GOST R ISO/IEC TO – 13335)
- Достъпът до зони, където се обработва или съхранява чувствителна информация, трябва да бъде контролиран и ограничен само до упълномощени лица;
- Контроли за удостоверяване, като карта за контрол на достъп плюс персонален идентификационен номер , трябва да се използва за разрешаване и потвърждаване на всеки достъп;
- Одитна пътека за целия достъп трябва да се съхранява на сигурно място;
- Поддържащият персонал на трети страни трябва да получи ограничен достъп до зоните за сигурност или съоръженията за обработка на чувствителна информация само когато е необходимо;
- този достъп трябва да бъде разрешен и наблюдаван по всяко време;
- Правата за достъп до зоните за сигурност трябва редовно да се преглеждат и актуализират и да се отнемат, ако е необходимо;
- Трябва да се вземат под внимание съответните разпоредби и стандарти за безопасност и здраве;
- Ключовите съоръжения трябва да бъдат разположени така, че да се предотврати достъпът до тях от широката общественост;
- Където е приложимо, сградите и помещенията трябва да са невзрачни и трябва да дават минимална индикация за тяхното предназначение, без видими знаци, извън или вътре в сградата, показващи наличието на дейности по обработка на информация;
- Табели и вътрешни телефонни указатели, указващи местоположенията на съоръжения за обработка на чувствителна информация, не трябва да бъдат лесно достъпни за широката общественост.
4. Поверителност на личните данни.Основна цел при организиране на защитата на личните данни е неутрализиране на актуални заплахи в информационната система, дефинирани Федерален закон от 27 юли 2006 г. № 152-FZ „За личните данни“
, списък на държавните стандарти и изискванията на международните сертификати за ИТ сигурност (GOST R ISO/IEC 13335 2-5, ISO 27001)
. Това се постига чрез ограничаване на достъпа до информация по нейните видове, разграничаване на достъпа до информация по потребителски роли, структуриране на процеса на обработка и съхранение на информация.
Ето някои ключови точки:
- Обработването на лични данни трябва да бъде ограничено до постигането на конкретни, предварително определени и законни цели;
- Съгласието за обработване на лични данни трябва да бъде конкретно, информирано и съзнателно;
- Не се разрешава обработване на лични данни, което е несъвместимо с целите за събиране на лични данни;
- На обработка подлежат само лични данни, които отговарят на целите на обработването им;
- Операторите и другите лица, които имат достъп до лични данни, са длъжни да не разкриват на трети страни и да не разпространяват лични данни без съгласието на субекта на личните данни, освен ако федералният закон не предвижда друго;
- Фотографско, видео, аудио или друго записващо оборудване като камери на мобилни устройства не трябва да се допуска, освен ако не е разрешено;
- Дискове със сменяеми носители трябва да бъдат разрешени само ако има бизнес нужда от това;
- За да се гарантира, че поверителната информация не е манипулирана, хартиените и електронните носители трябва да се съхраняват в подходящо заключени шкафове и/или други сигурни мебели, когато не се използват, особено в извънработно време;
- Носителите, съдържащи важна или чувствителна частна информация, трябва да бъдат прибрани и заключени, когато не са необходими (например в огнеупорен сейф или шкаф), особено когато зоната не е заета.
5. Мрежова сигурност- това е набор от изисквания към инфраструктурата на компютърната мрежа на предприятието и политиките за работа в нея, чието изпълнение гарантира защитата на мрежовите ресурси от неоторизиран достъп. Като част от препоръчителните действия за организиране и осигуряване на мрежова сигурност, в допълнение към основните, можете да разгледате следните функции:
- На първо място, компанията трябва да въведе единен регламент за информационна сигурност със съответните инструкции;
- На потребителите трябва да бъде отказан достъп до нежелани сайтове, включително услуги за хостване на файлове, доколкото е възможно;
- Само онези портове, които са необходими за правилната работа на потребителите, трябва да бъдат отворени от външната мрежа;
- Трябва да има система за цялостен мониторинг на действията на потребителите и своевременно уведомяване за нарушения на нормалното състояние на всички публично достъпни ресурси, чиято работа е важна за Компанията;
- Наличие на централизирана антивирусна система и политики за почистване и премахване на зловреден софтуер;
- Наличие на централизирана система за управление и обновяване на антивирусен софтуер, както и политики за редовно обновяване на ОС;
- Възможността за стартиране на сменяеми флаш носители трябва да бъде ограничена възможно най-много;
- Паролата трябва да е с дължина най-малко 8 символа, да съдържа цифри, главни и малки букви;
- Трябва да има защита и криптиране на папките за обмен на ключова информация, по-специално файловете за обмен на 1c и системата клиент-банка;
- Електрическите и междуселищните комуникационни линии, включени в съоръженията за обработка на информация, трябва да бъдат подземни, когато е възможно, или да бъдат обект на подходяща алтернативна защита;
- Мрежовите кабели трябва да бъдат защитени от неоторизирано прихващане или повреда, например чрез използване на тръбопровод или избягване на маршрути през обществено достъпни зони.
Обобщавайки всичко по-горе, бих искал да отбележа, че основните правила за защита на информацията са ограничаване на правата и възможностите на потребителите, както и контрол върху тях при използване на информационни системи. Колкото по-малко права има потребителят, когато работи с информационна система, толкова по-малък е шансът за изтичане на информация или повреда поради злонамерено намерение или небрежност.
Цялостно решение за защита на корпоративни данни, включително бази данни 1C, е решението „Сървър в Израел“, което съдържа актуални инструменти за осигуряване на високо ниво на поверителност на информацията.
Системна интеграция. Консултиране
От 1 юли 2017 г. значително се затяга отговорността за нарушения при взаимодействие с лични данни на физически лица. Това следва от разпоредбите на Федералния закон от 07.02.2017 г. № 13-FZ). Промените ще засегнат всички работодатели без изключение, които участват в обработката на лични данни на служители и индивидуални контрагенти. Освен това можем да кажем, че измененията се отнасят за почти цялата бизнес общност, която взаимодейства с личните данни на физически лица (например собственици на уебсайтове, които събират лични данни на посетители). Как да се подготвим за промени? Ще се увеличат ли глобите? Кой ще установи нарушения при обработката на лични данни? Нека да го разберем.
Лични данни: специална информация
Личните данни на служителите са всяка информация, необходима на работодателя във връзка с трудовите отношения и свързана с конкретен служител (клауза 1, член 3 от Федералния закон от 27 юли 2006 г. № 152-FZ „За личните данни“).
За работодател (организация или индивидуален предприемач) личните данни на служителите най-често се обобщават в техните лични карти и лични досиета. В същото време почти всеки мениджър по човешки ресурси или HR специалист знае, че личните данни могат да бъдат получени само лично от служителите. Ако личната информация може да бъде получена само от трети страни, тогава руското законодателство задължава да уведоми служителя за това и да получи писмено съгласие от него (клауза 3 от част 1 на член 86 от Кодекса на труда на Руската федерация).
Работодателите нямат право да получават и обработват лични данни, които не са пряко свързани с трудовата дейност на лицето. Тоест невъзможно е да се събере информация, например за религията на служителите. В крайна сметка такава информация представлява лична или семейна тайна и по никакъв начин не може да бъде свързана с изпълнението на трудовите задължения (клауза 4 от част 1 на член 86 от Кодекса на труда на Руската федерация).
След като получи лични данни, работодателят, по силата на законови изисквания, е длъжен да не ги разпространява или разкрива на трети страни без съгласието на служителя (член 7 от Федералния закон от 27 юли 2006 г. № 152-FZ).
Личните данни могат да се разбират като всяка информация, пряко или непряко свързана с конкретно физическо лице (субект на лични данни) - параграф 1 от член 3 от Федералния закон от 27 юли 2006 г. № 152-FZ. Примери за такава информация могат да бъдат фамилия, собствено име, бащино име, дата и място на раждане, място на пребиваване и др.
Как работодателят е длъжен да защитава личните данни
За да защити и ограничи достъпа до личните данни, работодателят трябва да осигури качествена и модерна система за тяхната защита. Как точно да стане това? Всеки работодател решава този въпрос самостоятелно. В същото време процедурата за получаване, обработка, прехвърляне и съхраняване на лични данни трябва да бъде закрепена в местен акт на организацията, например в Правилника за обработка на лични данни на служителите (чл. 8, 87 от Кодекса на труда). на Руската федерация, клауза 2, част 1, член 18.1 от Федералния закон от 27 юли 2006 г. № 152-FZ).
Също така работодателят трябва официално да назначи служител, който да отговаря за работата с лични данни (част 5 от член 88 от Кодекса на труда на Руската федерация). Това може да бъде например служител на отдел „Човешки ресурси“, който взаимодейства с личните файлове, получава съгласието на служителите за обработка, поддържа карти на служители и др.
Проверките на работодателя по отношение на обработката на лични данни се извършват от отдели на Roskomnadzor. Заповед № 312 на Министерството на телекомуникациите и масовите комуникации на Русия от 14 ноември 2011 г. одобри Административните правила за изпълнение от Роскомнадзор на функциите за осъществяване на държавен контрол (надзор).
Какви отговорности носят работодателите
За нарушаване на процедурата за получаване, обработка, съхраняване и защита на личните данни на служителите е предвидена дисциплинарна, материална, административна и наказателна отговорност (член 90 от Кодекса на труда на Руската федерация, част 1, член 24 от Федералния закон за 27 юли 2006 г. № 152-FZ). Нека разгледаме всеки от тези видове отговорност.
Дисциплинарна отговорност
Служители, които поради трудови правоотношения са длъжни да спазват правилата за работа с лични данни, но са ги нарушили (член 192 от Кодекса на труда на Руската федерация), могат да бъдат подведени под отговорност за нарушения при работа с лични данни. Тоест можете да търсите отговорност например от HR мениджъра, на когото е поверена съответната работа. За дисциплинарно нарушение на събирането, обработването и съхраняването на лични данни работодателят може да накаже своя служител, като му наложи едно от следните наказания (част 1 от член 192 от Кодекса на труда на Руската федерация):
- коментар;
- порицание;
- уволнение.
Материална отговорност
Финансовата отговорност на служителя може да възникне, ако във връзка с нарушение на правилата за работа с лични данни на организацията е причинена пряка действителна вреда (член 238 от Кодекса на труда на Руската федерация). Да приемем, че отговорният служител на отдел „Човешки ресурси“ е извършил грубо нарушение – той е разпространил личните данни на служителите в интернет. Работниците, след като научиха за това, заведоха дело срещу работодателя, който постанови: „да изплати парично обезщетение на пострадалите работници - по 50 000 рубли всеки“. В такава ситуация работодателят има възможност да наложи ограничена финансова отговорност на виновния служител на отдела за човешки ресурси в рамките на средната му месечна заплата (член 241 от Кодекса на труда на Руската федерация). Възстановяването на причинени щети може да се извърши със заповед на ръководителя не по-късно от един месец от датата на окончателното определяне на размера на щетите, причинени от служителя. Ако месечният срок е изтекъл, тогава щетите ще трябва да бъдат възстановени по съдебен път. Тази процедура е предвидена в член 248 от Кодекса на труда на Руската федерация.
Прочетете също Време за почивка за извънреден труд
С пълна финансова отговорност служителят ще трябва да компенсира напълно организацията за целия размер на щетите, понесени във връзка с нарушения в областта на личните данни (членове 242 и 243 от Кодекса на труда на Руската федерация). Въпреки това, като правило, служителите, отговорни за обработката на лични данни, не носят пълна финансова отговорност.
Работодател (например търговска организация) прилага дисциплинарна и финансова отговорност единствено по свое усмотрение. Държавните регулаторни органи (включително Roskomnadzor) не участват в този процес.
Административна отговорност
За нарушаване на процедурата за събиране, съхраняване, използване или разпространение на лични данни на работодателя и длъжностните лица, регулаторните органи могат да наложат административна отговорност под формата на глоби, които могат да възлизат на:
- за длъжностни лица (например генерален директор, главен счетоводител, служител по персонала или индивидуален предприемач): от 500 до 1000 рубли;
- за организация: от 5 000 до 10 000 рубли.
Отделна (независима) глоба за длъжностни лица за разкриване на лични данни във връзка с изпълнение на служебни или професионални задължения варира от 4000 до 5000 рубли. Такива наказания са описани в членове 13.11 и 13.14 от Кодекса за административните нарушения на Руската федерация.
Наказателна отговорност
За неправомерни действия може да възникне наказателна отговорност за директора, главния счетоводител или ръководителя на отдел човешки ресурси на дружеството или друго лице, отговорно за работа с лични данни:
- събиране или разпространяване на информация за личния живот на служител, представляваща негова лична или семейна тайна, без негово съгласие;
- разпространение на информация за служителя в публично изказване, публично показвано произведение или медии.
За такива нарушения по отношение на обработката на лични данни са разрешени следните наказателни санкции:
- глоба до 200 000 рубли (или в размер на дохода на осъденото лице за период до 18 месеца);
- задължителен труд до 360 часа;
- поправителен труд до една година;
- принудителен труд за срок до две години със или без лишаване от право да заемат определени длъжности или да извършват определени дейности за срок до три години;
- арест до четири месеца;
- лишаване от свобода за срок до две години с лишаване от право да заема определени длъжности или да извършва определени дейности за срок до три години.
Същите деяния, извършени от лице, използващо служебното си положение, се наказват по-тежко:
- глоба от 100 000 до 300 000 рубли. (или в размер на доходите на осъденото лице за период от една до две години);
- лишаване от право да заема определени длъжности или да извършва определени дейности за срок от две до пет години;
- принудителен труд за срок до четири години със или без лишаване от право да заемат определени длъжности или да извършват определени дейности за срок до пет години;
- арест за срок от четири до шест месеца;
- лишаване от свобода за срок до четири години с лишаване от право да заема определени длъжности или да извършва определени дейности за срок до пет години (член 137 от Наказателния кодекс на Руската федерация).
Какво ще се промени от 1 юли 2017 г
Федерален закон от 07.02. 2017 № 13-FZ разшири списъка с основания за привличане на работодател към административна отговорност в областта на защитата на личните данни, а също така увеличи размера на административните глоби. Този закон влиза в сила от 1 юли 2017 г. Веднага да кажем, че административната отговорност в областта на личните данни е значително затегната. В същото време е важно следното: вместо единствения вид административна отговорност, описан в член 13.11 от Кодекса за административните нарушения на Руската федерация, ще се появят седем. Така могат да се прилагат различни глоби за различни нарушения от страна на работодателите в областта на личните данни. Ако се установят няколко нарушения за различни нарушения, тогава броят на глобите може да се увеличи съответно. Нека обясним по-подробно новите престъпления.
Нарушение 1: обработка на лични данни за „други“ цели
От 1 юли 2017 г. обработването на лични данни в случаите, които не са предвидени от закона, или обработването на лични данни, несъвместимо с целите за събиране на лични данни, са самостоятелни видове административно нарушение (част 1 на член 13.11 от Административния кодекс Престъпления на Руската федерация). Да дадем пример: работодателска организация събира лични данни на служители и прехвърля тези данни на трети страни за рекламни цели (прехвърлят се пълното име, телефонните номера, регионите на пребиваване, нивото на доходите). Тогава рекламните фирми започват да изпращат различни спам и рекламни оферти на служителите по телефон, имейл и домашни адреси. Ако такива действия на работодателя не разкриват криминално престъпление, тогава може да се приложи административна отговорност. От 1 юли 2017 г. административните наказания могат да бъдат както следва:
- или предупреждение;
- или глоби.
Нарушение 2: обработване на лични данни без съгласие
Обработването на лични данни от работодателя по правило е възможно само с писменото съгласие на служителите. Това съгласие трябва да включва следната информация (част 4 от член 9 от Закона от 27 юли 2006 г. № 152-FZ):
- Пълно име, адрес на служителя, паспортни данни (друг документ, удостоверяващ самоличността му), включително информация за датата на издаване на документа и органа, който го издава;
- име или пълно име и адрес на работодателя (оператора), който получава съгласието на служителя;
- цел на обработване на лични данни;
- списък с лични данни, за чиято обработка е дадено съгласие;
- име или трите имена и адрес на лицето, обработващо лични данни от името на работодателя, ако обработването ще бъде поверено на такова лице;
- списък на действията с лични данни, за които е дадено съгласие, общо описание на методите, използвани от работодателя за обработка на лични данни;
- периодът, през който е валидно съгласието на служителя, както и начина на неговото оттегляне, освен ако федералният закон не предвижда друго;
- подпис на служителя.
От 1 юли 2017 г. обработването на лични данни без писменото съгласие на служителя или ако писменото съгласие не съдържа посочената по-горе информация е самостоятелно административно нарушение, предвидено в част 2 на член 13.11 от Кодекса за административните нарушения на руската федерация. За това са възможни санкции:
Нарушение 3: достъп до политиката за обработка на лични данни
Операторът на лични данни (например работодател или уебсайт) е длъжен да публикува или по друг начин да предостави неограничен достъп до документа, определящ политиката му по отношение на обработката на лични данни, до информация за въведените изисквания за защита на личните данни. Операторът, събиращ лични данни в Интернет (например чрез уебсайт), е длъжен да публикува в Интернет документ, определящ неговата политика по отношение на обработката на лични данни и информация за въведените изисквания за защита на личните данни, както и осигуряват възможност за достъп до посочения документ. Това е предвидено в параграф 2 на член 18.1 от Закона от 27 юли 2006 г. № 152-FZ.
Много потребители на интернет се сблъскват с изпълнението на това задължение на практика. Така например, когато оставяте заявление на уебсайтовете и посочвате пълното си име и имейл, можете да обърнете внимание на връзката към подобни документи: „Политика за обработка на лични данни“, „Правила за обработка на лични данни“ и т.н. Въпреки това си струва да се признае, че някои сайтове пренебрегват това и не предоставят никакви връзки. И се оказва, че човек оставя заявка на сайта, не знае за какви цели сайтът събира лични данни.
Някои работодатели също показват налични свободни работни места на своите уебсайтове и канят кандидатите да попълнят формуляр „За мен“. В такива случаи уебсайтът трябва също така да предостави достъп до „Политика за обработка на лични данни“.
От 1 юли 2017 г. в част 3 на член 13.11 от Кодекса за административните нарушения на Руската федерация е идентифицирано самостоятелно нарушение - неизпълнение от страна на оператора на задължението за публикуване или предоставяне на неограничен достъп до документ с политика за обработка лични данни или информация за тяхната защита. Отговорността по този член може да изглежда като предупреждение или административни глоби:
Нарушение 4: укриване на информация
Субектът на личните данни (т.е. физическото лице, на което принадлежат тези данни) има право да получава информация относно обработката на личните му данни, включително информация, съдържаща (член 14, част 7 от Закона от 27 юли 2006 г. 152-FZ):
- потвърждение на факта на обработка на лични данни от оператора;
- правни основания и цели за обработване на лични данни;
- целите и методите за обработка на лични данни, използвани от оператора;
- име и местоположение на оператора, информация за лицата (с изключение на служителите на оператора), които имат достъп до лични данни или на които личните данни могат да бъдат разкрити въз основа на споразумение с оператора или въз основа на федералния закон;
- обработвани лични данни, свързани със съответния субект на лични данни, източника на тяхното получаване, освен ако федералният закон не предвижда друга процедура за представяне на такива данни;
- условия за обработка на лични данни, включително периоди на тяхното съхранение;
- процедурата за упражняване от субекта на личните данни на правата, предвидени в този федерален закон;
- информация за завършени или планирани трансгранични трансфери на данни;
- име или фамилия, собствено име, бащино име и адрес на лицето, обработващо лични данни от името на оператора, ако обработването е било или ще бъде поверено на такова лице;
- друга информация, предвидена от федералния закон или други федерални закони.
Днес можем да наблюдаваме проблема със защитата на личните данни: те са обект на проникване от всички видове технически средства за обработка и предаване на информация. Особено засегнати са частни и публични организации, които използват системи за финансово и кадрово счетоводство. Федерален закон № 152-FZ защитава правата и регулира отношенията, свързани с обработката на лични данни, извършвана от оператори на лични данни, със или без автоматизация. Според този закон лични данни може да бъде всяка информация, която се отнася до конкретно физическо лице. Тези данни могат да посочват трите имена на лицето, дата на раждане, адрес на живеене, семейно и имуществено положение, какво образование има, по каква специалност работи и какви доходи има.
Какви проблеми може да срещнете?
Нашата страна предоставя най-популярните системи за счетоводство и кадрови досиета, продажби и CRM процеси. Те включват следните продукти на компанията 1C:
- "1C: Предприятие";
- "1с счетоводство";
- „1C: управление на заплати и персонал“;
- „1C: Заплати и персонал на бюджетна институция“ и много други подобни програми.
Файловите бази данни са достъпни за всеки потребител, така че има възможност информацията да бъде копирана, което от своя страна поставя организацията в нарушение на Федералния закон № 152-FZ. Следователно е необходимо да се защитят личните данни в 1C, за да се предотвратят неприятни глобални последици.
Много компании прибягват до специална база данни, която се съхранява в SQL сървър. Важно е да се разбере, че в този случай съществува опасност: личните данни продължават да се копират на външен носител за съхранение с последващо прехвърляне към мобилни телефони, карти с памет и облачно хранилище. Също така се наблюдава, че открадната информация се изпраща по имейл, Skype и Telegram.
Повечето нападатели правят екранни снимки на екрана на компютъра и прехвърлят данни от 1C към файл на трета страна с помощта на програма за буфериране. Този метод се счита за най-често срещаният и много често компанията е страдала от този вид кражба на лични данни.
Как да защитите фирмата си от кражба на поверителни данни?
Има модерна система, която предпазва от изтичане в 1C. DeviceLock DLP е ефективен начин за предотвратяване на конкретен потребител от копиране на информация. Програмата също така открива функционирането на клипборда. Системните настройки са гъвкави, така че можете индивидуално да избирате програми и да ги заключвате.
DeviceLock DLP е в състояние да идентифицира и избирателно да блокира екранни снимки, които предотвратяват действия от конкретни потребители или различни приложения. Програмата избирателно разрешава и отказва достъп до определени файлове. Отговорното лице на компанията получава известие за опит за копиране на информация на външни устройства или изпращане по мрежата. Възползвайте се от това уникално предложение, за да премахнете неприятните последствия.
Няма намерени подобни новини.
За защита на личните данни от неоторизиран достъп е създаден специален софтуерен пакет 1C: Enterprise 8.3z (ZPK). Защитеният комплекс може да се използва в държавни информационни системи до клас на сигурност 1 включително и в информационни системи до ниво на сигурност на личните данни 1 включително.
Сигурният софтуерен пакет 1C: Enterprise 8.3z може да се използва за организиране на сигурността на личните данни в съответствие със състава и съдържанието на организационни и технически мерки за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни, одобрени със заповед на FSTEC на Русия от 18 февруари 2013 г. N 21 в информационните системи за лични данни на всички нива на сигурност.
Комплексът 1C: Enterprise 8.3z може да се използва:
- в организации, които са оператори на лични данни и обработват лични данни независимо
- в организации, предоставящи услуги за поддържане на ISPD на няколко оператора. ZPK 1C: Enterprise, версия 8.3z
Може да се използва както при обработка на информация за едно юридическо лице или предприемач, така и за група компании (холдинг).
| Код | Име | Препоръчва се цена на дребно, rub. | |
|---|---|---|---|
|
4601546119070 |
Защитен софтуерен пакет "1C: Enterprise 8.3z" (x86-32) |
18 000*
|
Купува |
|
4601546119087 |
Защитен софтуерен пакет “1C: Enterprise 8.3z” (x86-64) |
54 000*
|
Купува |
| Лицензи за допълнителни места | |||
| 4601546080875 | 1C: Enterprise 8. Клиентски лиценз за 1 работна станция | 6 300 | Купува |
| 4601546080882 | 1C: Enterprise 8. Клиентски лиценз за 5 работни станции | 21 600 | Купува |
| 4601546080899 | 1C: Enterprise 8. Клиентски лиценз за 10 работни станции | 41 400 | Купува |
| 4601546080905 | 1C: Enterprise 8. Клиентски лиценз за 20 работни станции | 78 000 | Купува |
| 4601546080912 | 1C: Enterprise 8. Клиентски лиценз за 50 работни станции | 187 200 | Купува |
| 4601546080929 | 1C: Enterprise 8. Клиентски лиценз за 100 работни станции | 360 000 | Купува |
| 4601546080936 | 1C: Enterprise 8. Клиентски лиценз за 300 работни станции | 1 068 000 | Купува |
| 4601546080943 | 1C: Enterprise 8. Клиентски лиценз за 500 работни станции | 1 776 000 | Купува |
