Σπίτι Αλλα Αδιαπέραστη προστασία από 1C.

Αδιαπέραστη προστασία από 1C.

Ο ομοσπονδιακός νόμος αριθ. 152 «Σχετικά με τα προσωπικά δεδομένα» τέθηκε σε ισχύ, ο οποίος απαιτεί από όλους τους φορείς εκμετάλλευσης προσωπικών δεδομένων να πληρούν ορισμένες απαιτήσεις για την προστασία και την αποθήκευση προσωπικών δεδομένων.

Παρέχουμε υπηρεσίες φιλοξενίας πληροφοριακών συστημάτων στο 1C για την επεξεργασία προσωπικών δεδομένων, σύμφωνα με το 152-FZ. Τι λύσεις έχετε; 1C για την προστασία προσωπικών δεδομένων (ISPDn)?

Η εταιρεία 1C έλαβε πιστοποιητικό συμμόρφωσης αρ. 2137, που εκδόθηκε από την FSTEC της Ρωσίας, το οποίο επιβεβαιώνει ότι το πακέτο ασφαλούς λογισμικού (ZPK) "1C:Enterprise, έκδοση 8.2z" αναγνωρίζεται ως λογισμικό γενικής χρήσης με ενσωματωμένο μέσα προστασίας πληροφοριών από μη εξουσιοδοτημένη πρόσβαση (NSD) σε πληροφορίες που δεν περιέχουν πληροφορίες που αποτελούν κρατικό μυστικό.

Με βάση τα αποτελέσματα της πιστοποίησης, επιβεβαιώθηκε η συμμόρφωση με τις απαιτήσεις των κυβερνητικών εγγράφων για προστασία από δραστηριότητες χωρίς αντίκτυπο της κλάσης 5, σύμφωνα με το επίπεδο παρακολούθησης της απουσίας αδήλωτων δυνατοτήτων (NDC) στο επίπεδο 4 ελέγχου, τη δυνατότητα επιβεβαιώθηκε η χρήση για τη δημιουργία αυτοματοποιημένων συστημάτων (AS) έως κλάσης ασφαλείας 1G (δηλαδή AC), διασφαλίζοντας την προστασία των εμπιστευτικών πληροφοριών σε ένα LAN), καθώς και για την προστασία των πληροφοριών σε συστήματα πληροφοριών προσωπικών δεδομένων (PDIS) έως την κλάση K1 περιεκτικός.

Τα επικυρωμένα αντίγραφα της πλατφόρμας 1C φέρουν ενδείξεις συμμόρφωσης από τον αριθμό G 420000 έως τον αριθμό G 429999.

Η 1CAir προσφέρει αυτά τα προγράμματα προς ενοικίαση. Πώς να αρχίσετε να το χρησιμοποιείτε;

Πώς να δημιουργήσετε ένα σύστημα για την επεξεργασία προσωπικών δεδομένων στο 1C, σύμφωνα με το 152-FZ;

Όλες οι διαμορφώσεις που αναπτύχθηκαν στην πλατφόρμα «1C:Enterprise 8.2» μπορούν να χρησιμοποιηθούν για τη δημιουργία ενός συστήματος πληροφοριών προσωπικών δεδομένων οποιασδήποτε κατηγορίας και δεν απαιτείται πρόσθετη πιστοποίηση λύσεων εφαρμογών.

Λήφθηκαν πρόσθετες διευκρινίσεις από το 1C:

1. Ο ομοσπονδιακός νόμος αριθ. 152-FZ «Περί Προσωπικών Δεδομένων» από μόνος του δεν επιβάλλει απαιτήσεις για λογισμικό (όπως τροποποιήθηκε σε ισχύ σήμερα).

2. Η απαίτηση για την ανάγκη αξιολόγησης της συμμόρφωσης των μέσων ασφάλειας πληροφοριών περιέχεται στην παράγραφο 5 των Κανονισμών που θεσπίστηκαν με Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 N 781 «Σχετικά με την έγκριση των κανονισμών για τη διασφάλιση της ασφάλειας προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα προσωπικών δεδομένων.»

3. Απευθείας, οι απαιτήσεις για το λογισμικό προβλέπονται από την εντολή αριθ. Αυτά τα υποσυστήματα σχετίζονται αποκλειστικά με την τεχνολογική πλατφόρμα και όχι με διαμορφώσεις.

4. Κατά τη διενέργεια της πιστοποίησης, αρχικά σχεδιάστηκε να προβλεφθούν απαιτήσεις για διαμορφώσεις (τεχνικοί όροι). Ωστόσο, μετά την ολοκλήρωση της πιστοποίησης, το εργαστήριο δοκιμών αρνήθηκε να παρουσιάσει οποιεσδήποτε απαιτήσεις για διαμορφώσεις.

Έτσι, η ισχύουσα νομοθεσία δεν προβλέπει πιστοποίηση (ή άλλη αξιολόγηση συμμόρφωσης) προϊόντων λογισμικού που δεν αποτελούν εργαλεία ασφάλειας πληροφοριών, τα οποία περιλαμβάνουν τυπικές διαμορφώσεις και δεν υπάρχουν τεχνικές προϋποθέσεις για τις διαμορφώσεις. Αντίστοιχα, οποιαδήποτε διαμόρφωση για αυτήν την πλατφόρμα μπορεί να χρησιμοποιηθεί με ένα ασφαλές πακέτο λογισμικού.

Επιπλέον, κατά την πιστοποίηση, το αντικείμενο δεν είναι μόνο τα προγράμματα, αλλά ολόκληρο το σύμπλεγμα διοικητικών κανονισμών και μέτρων (απαιτήσεις ασφαλείας, μοντέλο απειλών, πράξεις ταξινόμησης, σχέδιο προστασίας προσωπικών δεδομένων κ.λπ.) και ολόκληρο το πληροφοριακό σύστημα που χρησιμοποιείται στον οργανισμό.
Ο υπεύθυνος επεξεργασίας προσωπικών δεδομένων πρέπει να αποφασίσει να εκχωρήσει την κατάλληλη κλάση στο σύστημα προσωπικών δεδομένων.

Παρά το γεγονός ότι τα δεδομένα αποθηκεύονται εκτός της Ρωσικής Ομοσπονδίας, ο ομοσπονδιακός νόμος αριθ. 152-FZ προβλέπει άμεσα τη δυνατότητα διασυνοριακής μεταφοράς δεδομένων, δηλαδή το άρθρο 12. που είναι συμβαλλόμενα μέρη της Σύμβασης του Συμβουλίου της Ευρώπης για την Προστασία των Ατόμων στο πλαίσιο της Αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και άλλων ξένων χωρών που παρέχουν επαρκή προστασία των δικαιωμάτων των υποκειμένων των προσωπικών δεδομένων, πραγματοποιείται σύμφωνα με τον παρόντα Ομοσπονδιακό Νόμο. ..”. Τα προσωπικά δεδομένα αποθηκεύονται σε κέντρα δεδομένων μόνο σε εκείνες τις ευρωπαϊκές χώρες που έχουν υπογράψει αυτή τη Σύμβαση, σύμφωνα με την επιστολή Υπουργείο Επικοινωνιών και Μέσων Μαζικής Επικοινωνίας της Ρωσικής Ομοσπονδίας «Σχετικά με την εφαρμογή της διασυνοριακής μεταφοράς δεδομένων προσωπικού χαρακτήρα».
Σύμφωνα με το άρθρο 12, παράγραφος 3 του νόμου αριθ. Αυτό καταγράφεται στη συμφωνία μας με τα κέντρα δεδομένων και αντικατοπτρίζεται στη Συμφωνία Πελάτη.

Επί του παρόντος, χρησιμοποιείται η τυπική πλατφόρμα «1C:Enterprise, έκδοση 8.2», με απαιτήσεις προστασίας δεδομένων όπως υποδεικνύεται παραπάνω. Επομένως, με τη βοήθεια του 1CAir, είναι δυνατή η κατασκευή συστημάτων ασφάλειας πληροφοριών σε συστήματα πληροφοριών προσωπικών δεδομένων (PDIS) έως και κλάσης K2.

Παρά τη χρήση του 1CAir, ο οργανισμός σας παραμένει ο χειριστής της επεξεργασίας των προσωπικών σας δεδομένων και όχι εμείς. Δημιουργείτε το δικό σας μοντέλο ασφαλείας και, σύμφωνα με αυτό το μοντέλο, προσδιορίζετε τις παραμέτρους προστασίας. Χρησιμοποιώντας αυτές τις τεχνικές παραμέτρους, μπορείτε να μάθετε από εμάς εάν παρέχουμε μια τέτοια υπηρεσία (για παράδειγμα, κρυπτογράφηση) και να δημιουργήσετε το επιθυμητό σύστημα χρησιμοποιώντας προγράμματα στο 1CAir.

Ασφάλεια Πληροφοριών, όπως και η προστασία πληροφοριών, είναι ένα σύνθετο έργο που αποσκοπεί στην εξασφάλιση της ασφάλειας, που υλοποιείται με την εφαρμογή ενός συστήματος ασφαλείας. Το πρόβλημα της ασφάλειας των πληροφοριών είναι πολύπλευρο και πολύπλοκο και καλύπτει μια σειρά από σημαντικά καθήκοντα.

Τα προβλήματα ασφάλειας των πληροφοριών επιδεινώνονται συνεχώς από τη διείσδυση τεχνικών μέσων επεξεργασίας και μετάδοσης δεδομένων σε όλους τους τομείς της κοινωνίας. Το πιο δημοφιλές σύστημα διαδικασιών λογιστικής, πωλήσεων και CRM στη Ρωσία είναι το σύστημα 1C Enterprise.

Ας εξετάσουμε πιθανές απειλές ασφαλείας κατά τη χρήση του προγράμματος 1C.

Χρήση 1C με βάσεις δεδομένων σε μορφή αρχείου.Οι βάσεις δεδομένων αρχείων 1C είναι οι πιο ευάλωτες σε φυσικές επιπτώσεις. Αυτό οφείλεται στα αρχιτεκτονικά χαρακτηριστικά αυτού του τύπου βάσης δεδομένων - την ανάγκη να διατηρούνται ανοιχτά (με πλήρη πρόσβαση) όλα τα αρχεία διαμόρφωσης και οι ίδιες οι βάσεις δεδομένων αρχείων για όλους τους χρήστες του λειτουργικού συστήματος. Ως αποτέλεσμα, κάθε χρήστης που έχει το δικαίωμα να εργαστεί σε μια βάση δεδομένων αρχείων 1C μπορεί θεωρητικά να αντιγράψει ή ακόμα και να διαγράψει μια βάση δεδομένων πληροφοριών 1C με δύο κλικ του ποντικιού.

Χρήση 1C με βάσεις δεδομένων σε μορφή DBMS.Αυτός ο τύπος προβλήματος προκύπτει εάν ένα DBMS (PosgreSQL, MS SQL) χρησιμοποιείται ως χώρος αποθήκευσης για βάσεις δεδομένων 1C και ένας εταιρικός διακομιστής 1C χρησιμοποιείται ως ενδιάμεση υπηρεσία επικοινωνίας μεταξύ του 1C και του DBMS. Αυτό είναι ένα παράδειγμα - πολλές εταιρείες εξασκούνται στην τροποποίηση των διαμορφώσεων 1C για να ταιριάζουν στις ανάγκες τους. Στη διαδικασία βελτίωσης, υπό συνθήκες «φασαρίας» του έργου, συνεχούς δοκιμής νέας, βελτιωμένης λειτουργικότητας, οι υπεύθυνοι ειδικοί συχνά παραμελούν τους κανόνες ασφάλειας δικτύου.
Ως αποτέλεσμα, ορισμένα άτομα που έχουν άμεση πρόσβαση στη βάση δεδομένων DBMS ή έχουν δικαιώματα διαχειριστή στον διακομιστή 1C Enterprise, ακόμη και για μια προσωρινή δοκιμαστική περίοδο, μπορούν είτε να δημιουργήσουν αντίγραφο ασφαλείας σε εξωτερικούς πόρους είτε να διαγράψουν εντελώς τη βάση δεδομένων στο DBMS.

Ανοιχτότητα και προσβασιμότητα του εξοπλισμού διακομιστή.Εάν υπάρχει μη εξουσιοδοτημένη πρόσβαση στον εξοπλισμό διακομιστή, οι υπάλληλοι της εταιρείας ή τρίτα μέρη μπορούν να χρησιμοποιήσουν αυτήν την πρόσβαση για να κλέψουν ή να καταστρέψουν πληροφορίες. Με απλά λόγια, εάν ένας εισβολέας αποκτήσει άμεση πρόσβαση στο σώμα και την κονσόλα ενός διακομιστή 1c, το εύρος των δυνατοτήτων του διευρύνεται δεκαπλασιάζεται.

Κίνδυνοι κλοπής και διαρροής προσωπικών δεδομένων.Εδώ, οι τρέχουσες απειλές για την ασφάλεια των προσωπικών δεδομένων νοούνται ως ένα σύνολο συνθηκών και παραγόντων που δημιουργούν τον τρέχοντα κίνδυνο μη εξουσιοδοτημένης, συμπεριλαμβανομένης τυχαίας, πρόσβασης σε προσωπικά δεδομένα κατά την επεξεργασία τους σε ένα σύστημα πληροφοριών, για παράδειγμα, από υπεύθυνους υπαλλήλους, Η/Υ. χειριστές, λογιστικά τμήματα κ.λπ.
Αυτό μπορεί να έχει ως αποτέλεσμα την καταστροφή, τροποποίηση, αποκλεισμό, αντιγραφή, παροχή, διανομή προσωπικών δεδομένων, καθώς και άλλες παράνομες ενέργειες υπεύθυνων προσώπων.

Ασφάλεια δικτύου.Ένα εταιρικό σύστημα πληροφοριών που έχει δημιουργηθεί κατά παράβαση του GOST, των απαιτήσεων ασφαλείας, των συστάσεων ή της έλλειψης κατάλληλης υποστήριξης πληροφορικής είναι γεμάτο με τρύπες, ιούς και λογισμικό υποκλοπής spyware και πολλά backdoors (μη εξουσιοδοτημένη πρόσβαση στο εσωτερικό δίκτυο), τα οποία επηρεάζουν άμεσα την ασφάλεια των εταιρικών δεδομένων στο 1C. Αυτό οδηγεί σε εύκολη πρόσβαση για έναν εισβολέα σε εμπορικά ευαίσθητες πληροφορίες. Για παράδειγμα, ένας εισβολέας μπορεί να χρησιμοποιήσει δωρεάν πρόσβαση σε αντίγραφα ασφαλείας και την απουσία κωδικού πρόσβασης για αρχεία με αντίγραφα ασφαλείας για προσωπικό όφελος. Για να μην αναφέρουμε τη στοιχειώδη βλάβη στη βάση δεδομένων 1C από ιογενή δραστηριότητα.

Σχέση μεταξύ 1C και εξωτερικών αντικειμένων.Μια άλλη πιθανή απειλή είναι η ανάγκη (και μερικές φορές ένα ειδικό χαρακτηριστικό μάρκετινγκ) της λογιστικής βάσης δεδομένων 1C για επικοινωνία με τον «έξω κόσμο». Μεταφορτώσεις/λήψεις τραπεζών πελατών, ανταλλαγή πληροφοριών με υποκαταστήματα, τακτικός συγχρονισμός με εταιρικούς ιστότοπους, πύλες, άλλα προγράμματα αναφοράς, διαχείριση πελατών και πωλήσεων και πολλά άλλα. Δεδομένου ότι σε αυτόν τον τομέα του 1C δεν ενθαρρύνεται η συμμόρφωση με τα πρότυπα ασφαλείας και η ομοιομορφία της ανταλλαγής πληροφοριών δικτύου, μια διαρροή είναι αρκετά πραγματική σε οποιοδήποτε σημείο της διαδρομής της.
Ως αποτέλεσμα της ανάγκης για μη τυπικές βελτιώσεις στην αυτοματοποίηση ή περικοπές προϋπολογισμού για τα απαραίτητα μέτρα για την προστασία της κυκλοφορίας, ο αριθμός των τρωτών σημείων, οι τρύπες, οι μη ασφαλείς συνδέσεις, οι ανοιχτές θύρες, τα εύκολα προσβάσιμα αρχεία ανταλλαγής σε μη κρυπτογραφημένη μορφή κ.λπ. αυξάνεται άμεσα. στο λογιστικό σύστημα. Μπορείτε να φανταστείτε με ασφάλεια σε τι μπορεί να οδηγήσει αυτό - από τη στοιχειώδη απενεργοποίηση της βάσης δεδομένων 1C για ορισμένο χρονικό διάστημα, έως την πλαστογραφία μιας εντολής πληρωμής πολλών εκατομμυρίων.

Τι μπορεί να προταθεί για την επίλυση τέτοιων προβλημάτων;

1. Όταν εργάζεστε με βάσεις δεδομένων αρχείων 1CΕίναι επιτακτική η εφαρμογή μιας σειράς μέτρων για τη διασφάλιση της ασφάλειας των βάσεων:

  • Χρησιμοποιώντας περιορισμούς πρόσβασης NTFS, δώστε τα απαραίτητα δικαιώματα μόνο σε εκείνους τους χρήστες που εργάζονται με αυτήν τη βάση δεδομένων, προστατεύοντας έτσι τη βάση δεδομένων από κλοπή ή ζημιά από αδίστακτους υπαλλήλους ή εισβολείς.
  • Να χρησιμοποιείτε πάντα την εξουσιοδότηση των Windows για να συνδεθείτε σε σταθμούς εργασίας χρήστη και να αποκτήσετε πρόσβαση σε πόρους δικτύου.
  • Χρησιμοποιήστε κρυπτογραφημένους δίσκους ή κρυπτογραφημένους φακέλους που θα σας επιτρέψουν να αποθηκεύσετε εμπιστευτικές πληροφορίες ακόμα και αν καταργήσετε τη βάση δεδομένων 1C.
  • Καθιερώστε μια πολιτική αυτόματου κλειδώματος οθόνης, καθώς και παροχή εκπαίδευσης στους χρήστες για να εξηγήσετε την ανάγκη για κλείδωμα προφίλ.
  • Η διαφοροποίηση των δικαιωμάτων πρόσβασης σε επίπεδο 1C θα επιτρέπει στους χρήστες να έχουν πρόσβαση μόνο στις πληροφορίες στις οποίες έχουν τα κατάλληλα δικαιώματα.
  • Είναι απαραίτητο να επιτρέπεται η εκκίνηση του διαμορφωτή 1C μόνο σε εκείνους τους υπαλλήλους που το χρειάζονται.

2. Όταν εργάζεστε με βάσεις δεδομένων DBMS 1CΠαρακαλούμε δώστε προσοχή στις ακόλουθες συστάσεις:

  • Τα διαπιστευτήρια για τη σύνδεση στο DBMS δεν θα πρέπει να έχουν δικαιώματα διαχειριστή.
  • Είναι απαραίτητο να διαφοροποιήσετε τα δικαιώματα πρόσβασης στις βάσεις δεδομένων DBMS, για παράδειγμα, να δημιουργήσετε τον δικό σας λογαριασμό για κάθε βάση πληροφοριών, ο οποίος θα ελαχιστοποιήσει την απώλεια δεδομένων εάν ένας από τους λογαριασμούς παραβιαστεί.
  • Συνιστάται ο περιορισμός της φυσικής και απομακρυσμένης πρόσβασης σε εταιρικές βάσεις δεδομένων και διακομιστές 1C.
  • Συνιστάται η χρήση κρυπτογράφησης για βάσεις δεδομένων.
  • Επίσης, μία από τις σημαντικές αποφάσεις είναι να κρυπτογραφήσετε ή να ορίσετε έναν κωδικό πρόσβασης για αντίγραφα ασφαλείας δεδομένων.
  • Είναι υποχρεωτική η δημιουργία διαχειριστών για το σύμπλεγμα 1C, καθώς και για τον διακομιστή 1C, καθώς από προεπιλογή, εάν δεν δημιουργηθούν χρήστες, απολύτως όλοι οι χρήστες του συστήματος έχουν πλήρη πρόσβαση στις βάσεις πληροφοριών.

3. Απαιτήσεις για τη διασφάλιση της φυσικής ασφάλειας του εξοπλισμού διακομιστή:
(σύμφωνα με το GOST R ISO/IEC TO – 13335)

  • Η πρόσβαση σε περιοχές όπου γίνεται επεξεργασία ή αποθήκευση ευαίσθητων πληροφοριών πρέπει να ελέγχεται και να περιορίζεται μόνο σε εξουσιοδοτημένα άτομα.
  • Στοιχεία ελέγχου ταυτότητας, όπως κάρτα ελέγχου πρόσβασης συν έναν προσωπικό αριθμό αναγνώρισης , πρέπει να χρησιμοποιείται για την εξουσιοδότηση και επιβεβαίωση οποιασδήποτε πρόσβασης.
  • Μια διαδρομή ελέγχου όλων των προσβάσεων πρέπει να φυλάσσεται σε ασφαλή τοποθεσία.
  • Το προσωπικό υποστήριξης τρίτων θα πρέπει να έχει περιορισμένη πρόσβαση σε περιοχές ασφαλείας ή ευαίσθητες εγκαταστάσεις επεξεργασίας πληροφοριών μόνο όταν απαιτείται.
  • αυτή η πρόσβαση πρέπει να είναι εξουσιοδοτημένη και να παρακολουθείται ανά πάσα στιγμή·
  • Τα δικαιώματα πρόσβασης σε περιοχές ασφαλείας θα πρέπει να επανεξετάζονται και να ενημερώνονται τακτικά και να ανακαλούνται εάν είναι απαραίτητο.
  • Πρέπει να λαμβάνονται υπόψη οι σχετικοί κανονισμοί και πρότυπα ασφάλειας και υγείας.
  • Οι βασικές εγκαταστάσεις θα πρέπει να τοποθετούνται έτσι ώστε να αποτρέπεται η πρόσβαση σε αυτές από το ευρύ κοινό.
  • Όπου ισχύει, τα κτίρια και τα δωμάτια θα πρέπει να είναι ανεπιτήδευτα και θα πρέπει να παρέχουν ελάχιστη ένδειξη του σκοπού τους, χωρίς εμφανή σήμανση, έξω ή εντός του κτιρίου, που να υποδηλώνει την παρουσία δραστηριοτήτων επεξεργασίας πληροφοριών.
  • Οι πινακίδες και οι εσωτερικοί τηλεφωνικοί κατάλογοι που υποδεικνύουν τις τοποθεσίες των εγκαταστάσεων επεξεργασίας ευαίσθητων πληροφοριών δεν θα πρέπει να είναι άμεσα διαθέσιμα στο ευρύ κοινό.

4. Εμπιστευτικότητα προσωπικών δεδομένων.Ο κύριος στόχος στην οργάνωση της προστασίας των προσωπικών δεδομένων είναι η εξουδετέρωση των τρεχουσών απειλών στο πληροφοριακό σύστημα, που ορίζεται Ομοσπονδιακός νόμος της 27ης Ιουλίου 2006 Αρ. 152-FZ «Περί Προσωπικών Δεδομένων» , μια λίστα κρατικών προτύπων και απαιτήσεων διεθνών πιστοποιήσεων ασφάλειας πληροφορικής (GOST R ISO/IEC 13335 2-5, ISO 27001) . Αυτό επιτυγχάνεται με τον περιορισμό της πρόσβασης στις πληροφορίες ανάλογα με τους τύπους της, την οριοθέτηση της πρόσβασης στις πληροφορίες κατά ρόλους χρηστών, τη δομή της διαδικασίας επεξεργασίας και αποθήκευσης πληροφοριών.
Εδώ είναι μερικά βασικά σημεία:

  • Η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να περιορίζεται στην επίτευξη συγκεκριμένων, προκαθορισμένων και νόμιμων σκοπών·
  • Η συγκατάθεση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι συγκεκριμένη, ενημερωμένη και συνειδητή·
  • Δεν επιτρέπεται η επεξεργασία προσωπικών δεδομένων που δεν είναι συμβατή με τους σκοπούς της συλλογής προσωπικών δεδομένων.
  • Μόνο τα προσωπικά δεδομένα που πληρούν τους σκοπούς της επεξεργασίας τους υπόκεινται σε επεξεργασία.
  • Οι χειριστές και άλλα πρόσωπα που έχουν πρόσβαση σε προσωπικά δεδομένα υποχρεούνται να μην αποκαλύπτουν σε τρίτους ή να διανέμουν προσωπικά δεδομένα χωρίς τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, εκτός εάν ορίζεται διαφορετικά από την ομοσπονδιακή νομοθεσία.
  • Δεν θα πρέπει να επιτρέπεται η λήψη φωτογραφιών, βίντεο, ήχου ή άλλου εξοπλισμού εγγραφής, όπως κάμερες σε κινητές συσκευές, εκτός εάν έχει εξουσιοδοτηθεί.
  • Οι μονάδες δίσκου με αφαιρούμενα μέσα θα πρέπει να επιτρέπονται μόνο εάν υπάρχει επαγγελματική ανάγκη.
  • Για να διασφαλιστεί ότι δεν παραβιάζονται οι εμπιστευτικές πληροφορίες, τα χαρτιά και τα ηλεκτρονικά μέσα πρέπει να αποθηκεύονται σε κατάλληλα κλειδωμένα ντουλάπια ή/και σε άλλα ασφαλή έπιπλα όταν δεν χρησιμοποιούνται, ειδικά κατά τις μη εργάσιμες ώρες.
  • Τα μέσα που περιέχουν σημαντικές ή ευαίσθητες ιδιόκτητες πληροφορίες θα πρέπει να απομακρυνθούν και να κλειδωθούν όταν δεν απαιτείται (για παράδειγμα, σε πυρίμαχο χρηματοκιβώτιο ή ντουλάπι), ειδικά όταν η περιοχή δεν είναι κατειλημμένη.

5. Ασφάλεια δικτύου- αυτό είναι ένα σύνολο απαιτήσεων για την υποδομή του δικτύου υπολογιστών μιας επιχείρησης και τις πολιτικές εργασίας σε αυτό, η εφαρμογή των οποίων διασφαλίζει την προστασία των πόρων του δικτύου από μη εξουσιοδοτημένη πρόσβαση. Ως μέρος των προτεινόμενων ενεργειών για την οργάνωση και τη διασφάλιση της ασφάλειας του δικτύου, εκτός από τις βασικές, μπορείτε να λάβετε υπόψη τις ακόλουθες δυνατότητες:

  • Πρώτα απ 'όλα, η εταιρεία πρέπει να εφαρμόσει έναν ενιαίο κανονισμό ασφάλειας πληροφοριών με κατάλληλες οδηγίες.
  • Στους χρήστες θα πρέπει να απαγορεύεται η πρόσβαση σε ανεπιθύμητους ιστότοπους, συμπεριλαμβανομένων των υπηρεσιών φιλοξενίας αρχείων, όσο το δυνατόν περισσότερο.
  • Μόνο εκείνες οι θύρες που είναι απαραίτητες για τη σωστή λειτουργία των χρηστών θα πρέπει να είναι ανοιχτές από το εξωτερικό δίκτυο.
  • Πρέπει να υπάρχει σύστημα ολοκληρωμένης παρακολούθησης των ενεργειών των χρηστών και έγκαιρης ειδοποίησης παραβιάσεων της κανονικής κατάστασης όλων των δημοσίως διαθέσιμων πόρων, η λειτουργία των οποίων είναι σημαντική για την Εταιρεία.
  • Διαθεσιμότητα ενός κεντρικού συστήματος προστασίας από ιούς και πολιτικών για τον καθαρισμό και την αφαίρεση κακόβουλου λογισμικού.
  • Διαθεσιμότητα ενός κεντρικού συστήματος διαχείρισης και ενημέρωσης λογισμικού προστασίας από ιούς, καθώς και πολιτικών για τακτικές ενημερώσεις λειτουργικού συστήματος.
  • Η δυνατότητα εκτέλεσης αφαιρούμενων μέσων flash θα πρέπει να περιοριστεί όσο το δυνατόν περισσότερο.
  • Ο κωδικός πρόσβασης πρέπει να αποτελείται από τουλάχιστον 8 χαρακτήρες, να περιέχει αριθμούς και κεφαλαία και πεζά γράμματα.
  • Πρέπει να υπάρχει προστασία και κρυπτογράφηση των βασικών φακέλων ανταλλαγής πληροφοριών, ιδίως των αρχείων ανταλλαγής 1c και του συστήματος πελάτη-τράπεζας.
  • Οι γραμμές ηλεκτρικού ρεύματος και οι γραμμές επικοινωνίας μεγάλων αποστάσεων που περιλαμβάνονται στις εγκαταστάσεις επεξεργασίας πληροφοριών θα πρέπει να είναι υπόγειες όπου είναι δυνατόν ή να υπόκεινται σε επαρκή εναλλακτική προστασία.
  • Τα καλώδια δικτύου πρέπει να προστατεύονται από μη εξουσιοδοτημένη υποκλοπή ή ζημιά, για παράδειγμα χρησιμοποιώντας αγωγό ή αποφεύγοντας διαδρομές μέσω περιοχών προσβάσιμων από το κοινό.

Συνοψίζοντας όλα τα παραπάνω, θα ήθελα να σημειώσω ότι οι κύριοι κανόνες για την προστασία των πληροφοριών είναι ο περιορισμός των δικαιωμάτων και των δυνατοτήτων των χρηστών, καθώς και ο έλεγχος τους κατά τη χρήση πληροφοριακών συστημάτων. Όσο λιγότερα δικαιώματα έχει ένας χρήστης όταν εργάζεται με ένα σύστημα πληροφοριών, τόσο λιγότερες είναι οι πιθανότητες διαρροής ή βλάβης πληροφοριών λόγω κακόβουλης πρόθεσης ή αμέλειας.


Μια ολοκληρωμένη λύση για την προστασία των εταιρικών δεδομένων, συμπεριλαμβανομένων των βάσεων δεδομένων 1C, είναι η λύση «Διακομιστής στο Ισραήλ», η οποία περιέχει ενημερωμένα εργαλεία για τη διασφάλιση υψηλού επιπέδου εμπιστευτικότητας πληροφοριών.

Ολοκληρωση συστήματος. Συμβουλευτική

Από την 1η Ιουλίου 2017, η ευθύνη για παραβάσεις κατά την αλληλεπίδραση με προσωπικά δεδομένα ατόμων έχει αυστηροποιηθεί σημαντικά. Αυτό προκύπτει από τις διατάξεις του ομοσπονδιακού νόμου της 02/07/2017 αριθ. 13-FZ). Οι αλλαγές θα επηρεάσουν όλους ανεξαιρέτως τους εργοδότες που εμπλέκονται στην επεξεργασία προσωπικών δεδομένων εργαζομένων και μεμονωμένων εργολάβων. Επιπλέον, μπορούμε να πούμε ότι οι τροποποιήσεις ισχύουν για ολόκληρη σχεδόν την επιχειρηματική κοινότητα που αλληλεπιδρά με τα προσωπικά δεδομένα ατόμων (για παράδειγμα, ιδιοκτήτες ιστοσελίδων που συλλέγουν προσωπικά δεδομένα επισκεπτών). Πώς να προετοιμαστείτε για αλλαγές; Θα αυξηθούν τα πρόστιμα; Ποιος θα εντοπίσει παραβιάσεις στην επεξεργασία προσωπικών δεδομένων; Ας το καταλάβουμε.

Προσωπικά δεδομένα: ειδικές πληροφορίες

Προσωπικά δεδομένα εργαζομένων είναι κάθε πληροφορία απαραίτητη για τον εργοδότη σε σχέση με εργασιακές σχέσεις και σχετίζεται με συγκεκριμένο εργαζόμενο (Ρήτρα 1, Άρθρο 3 του Ομοσπονδιακού Νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ «Σχετικά με τα προσωπικά δεδομένα»).

Για έναν εργοδότη (οργανισμό ή μεμονωμένο επιχειρηματία), τα προσωπικά δεδομένα των εργαζομένων συνοψίζονται συχνότερα στις προσωπικές τους κάρτες και στα προσωπικά τους αρχεία. Ταυτόχρονα, σχεδόν κάθε διευθυντής ανθρώπινου δυναμικού ή ειδικός ανθρώπινου δυναμικού γνωρίζει ότι τα προσωπικά δεδομένα μπορούν να ληφθούν προσωπικά μόνο από υπαλλήλους. Εάν τα προσωπικά στοιχεία μπορούν να ληφθούν μόνο από τρίτους, τότε η ρωσική νομοθεσία υποχρεώνει να ειδοποιήσει τον εργαζόμενο σχετικά και να λάβει γραπτή συγκατάθεση από αυτόν (ρήτρα 3 του μέρους 1 του άρθρου 86 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας).

Οι εργοδότες δεν έχουν το δικαίωμα να λαμβάνουν και να επεξεργάζονται προσωπικά δεδομένα που δεν σχετίζονται άμεσα με την εργασιακή δραστηριότητα ενός ατόμου. Δηλαδή, είναι αδύνατο να συλλεχθούν πληροφορίες, για παράδειγμα, σχετικά με τη θρησκεία των εργαζομένων. Εξάλλου, αυτές οι πληροφορίες αποτελούν προσωπικό ή οικογενειακό μυστικό και δεν μπορούν με κανέναν τρόπο να συνδέονται με την εκτέλεση εργασιακών καθηκόντων (ρήτρα 4 του μέρους 1 του άρθρου 86 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας).

Έχοντας λάβει προσωπικά δεδομένα, ο εργοδότης, δυνάμει νομικών απαιτήσεων, υποχρεούται να μην τα διανείμει ή να τα αποκαλύψει σε τρίτους χωρίς τη συγκατάθεση του εργαζομένου (άρθρο 7 του Ομοσπονδιακού Νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ).

Τα προσωπικά δεδομένα μπορούν να θεωρηθούν ως οποιαδήποτε πληροφορία που σχετίζεται άμεσα ή έμμεσα με ένα συγκεκριμένο άτομο (αντικείμενο προσωπικών δεδομένων) - παράγραφος 1 του άρθρου 3 του ομοσπονδιακού νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ. Παραδείγματα τέτοιων πληροφοριών μπορεί να είναι το επώνυμο, το όνομα, το πατρώνυμο, η ημερομηνία και ο τόπος γέννησης, ο τόπος διαμονής κ.λπ.

Πώς ένας εργοδότης υποχρεούται να προστατεύει τα προσωπικά δεδομένα

Για την προστασία και τον περιορισμό της πρόσβασης στα προσωπικά δεδομένα, ο εργοδότης πρέπει να παρέχει ένα υψηλής ποιότητας και σύγχρονο σύστημα προστασίας τους. Πώς ακριβώς να γίνει αυτό; Κάθε εργοδότης αποφασίζει αυτό το ζήτημα ανεξάρτητα. Ταυτόχρονα, η διαδικασία λήψης, επεξεργασίας, μεταφοράς και αποθήκευσης προσωπικών δεδομένων πρέπει να κατοχυρωθεί σε τοπική πράξη του οργανισμού, για παράδειγμα στους Κανονισμούς για την επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων (άρθρο 8, 87 του Κώδικα Εργασίας της Ρωσικής Ομοσπονδίας, ρήτρα 2, μέρος 1, άρθρο 18.1 του ομοσπονδιακού νόμου της 27ης Ιουλίου 2006 αριθ. 152-FZ).

Επίσης, ο εργοδότης πρέπει να διορίσει επίσημα έναν υπάλληλο που είναι υπεύθυνος για την εργασία με προσωπικά δεδομένα (Μέρος 5 του άρθρου 88 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας). Αυτό θα μπορούσε να είναι, για παράδειγμα, ένας υπάλληλος του τμήματος ανθρώπινου δυναμικού που αλληλεπιδρά με προσωπικά αρχεία, λαμβάνει τη συναίνεση των εργαζομένων για επεξεργασία, διατηρεί κάρτες υπαλλήλων κ.λπ.

Οι επιθεωρήσεις του εργοδότη σχετικά με την επεξεργασία προσωπικών δεδομένων πραγματοποιούνται από τα τμήματα της Roskomnadzor. 312 του Υπουργείου Τηλεπικοινωνιών και Μαζικών Επικοινωνιών της Ρωσίας με ημερομηνία 14 Νοεμβρίου 2011 ενέκρινε τους Διοικητικούς Κανονισμούς για την εκτέλεση από την Roskomnadzor λειτουργιών για την εφαρμογή του κρατικού ελέγχου (εποπτεία).

Ποιες ευθύνες ισχύουν για τους εργοδότες

Για παραβίαση της διαδικασίας λήψης, επεξεργασίας, αποθήκευσης και προστασίας προσωπικών δεδομένων των εργαζομένων, προβλέπεται πειθαρχική, υλική, διοικητική και ποινική ευθύνη (άρθρο 90 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας, Μέρος 1, άρθρο 24 του Ομοσπονδιακού Νόμου της 27 Ιουλίου 2006 Αρ. 152-FZ). Ας δούμε καθένα από αυτά τα είδη ευθύνης.

Πειθαρχική ευθύνη

Οι εργαζόμενοι που, λόγω εργασιακών σχέσεων, είναι υποχρεωμένοι να συμμορφώνονται με τους κανόνες εργασίας με προσωπικά δεδομένα, αλλά τους έχουν παραβιάσει (άρθρο 192 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας) μπορούν να θεωρηθούν υπεύθυνοι για παραβιάσεις κατά την εργασία με προσωπικά δεδομένα. Δηλαδή, μπορείς να λογοδοτήσεις, για παράδειγμα, τον υπεύθυνο ανθρώπινου δυναμικού στον οποίο έχει ανατεθεί η σχετική εργασία. Για πειθαρχικό παράπτωμα συλλογής, επεξεργασίας και αποθήκευσης προσωπικών δεδομένων, ο εργοδότης μπορεί να τιμωρήσει τον εργαζόμενό του επιβάλλοντας μία από τις ακόλουθες ποινές σε αυτόν (Μέρος 1 του άρθρου 192 του Κώδικα Εργασίας της Ρωσικής Ομοσπονδίας):

  • σχόλιο;
  • επίπληξη;
  • απόλυση.

Υλική ευθύνη

Η οικονομική ευθύνη ενός εργαζομένου μπορεί να προκύψει εάν, σε σχέση με παραβίαση των κανόνων εργασίας με προσωπικά δεδομένα του οργανισμού, προκληθεί άμεση πραγματική ζημία (άρθρο 238 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας). Ας υποθέσουμε ότι ο υπεύθυνος υπάλληλος του τμήματος HR διέπραξε κατάφωρη παράβαση - διένειμε τα προσωπικά δεδομένα των εργαζομένων στο Διαδίκτυο. Οι εργαζόμενοι, έχοντας μάθει γι 'αυτό, υπέβαλαν μήνυση κατά του εργοδότη, ο οποίος αποφάσισε: "να πληρώσει χρηματική αποζημίωση στους τραυματισμένους εργαζόμενους - 50.000 ρούβλια ο καθένας". Σε μια τέτοια κατάσταση, ο εργοδότης έχει την ευκαιρία να επιβάλει περιορισμένη οικονομική ευθύνη στον ένοχο υπάλληλο του τμήματος HR εντός των ορίων των μέσων μηνιαίων αποδοχών του (άρθρο 241 του Κώδικα Εργασίας της Ρωσικής Ομοσπονδίας). Η ανάκτηση της ζημίας που προκλήθηκε μπορεί να πραγματοποιηθεί με εντολή του διευθυντή το αργότερο εντός ενός μηνός από την ημερομηνία οριστικού προσδιορισμού του ποσού της ζημίας που προκάλεσε ο εργαζόμενος. Εάν η περίοδος του μήνα έχει λήξει, τότε οι ζημίες θα πρέπει να ανακτηθούν μέσω του δικαστηρίου. Αυτή η διαδικασία προβλέπεται στο άρθρο 248 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας.

Διαβάστε επίσης Χρόνος ανάπαυσης για υπερωριακή εργασία

Με πλήρη οικονομική ευθύνη, ο εργαζόμενος θα πρέπει να αποζημιώσει πλήρως τον οργανισμό για ολόκληρο το ποσό της ζημίας που προκλήθηκε σε σχέση με παραβιάσεις στον τομέα των προσωπικών δεδομένων (άρθρα 242 και 243 του Εργατικού Κώδικα της Ρωσικής Ομοσπονδίας). Ωστόσο, κατά κανόνα, οι υπάλληλοι που είναι υπεύθυνοι για την επεξεργασία προσωπικών δεδομένων δεν φέρουν πλήρη οικονομική ευθύνη.

Ένας εργοδότης (για παράδειγμα, ένας εμπορικός οργανισμός) εφαρμόζει πειθαρχική και οικονομική ευθύνη αποκλειστικά κατά την κρίση του. Οι κρατικές ρυθμιστικές αρχές (συμπεριλαμβανομένης της Roskomnadzor) δεν συμμετέχουν σε αυτή τη διαδικασία.

Διοικητική ευθύνη

Για παραβίαση της διαδικασίας συλλογής, αποθήκευσης, χρήσης ή διανομής προσωπικών δεδομένων του εργοδότη και των υπαλλήλων, οι ρυθμιστικές αρχές μπορούν να επιβάλλουν διοικητική ευθύνη με τη μορφή προστίμων, τα οποία μπορεί να ανέρχονται σε:

  • για αξιωματούχους (για παράδειγμα, γενικός διευθυντής, επικεφαλής λογιστής, υπάλληλος προσωπικού ή μεμονωμένος επιχειρηματίας): από 500 έως 1000 ρούβλια.
  • για έναν οργανισμό: από 5.000 έως 10.000 ρούβλια.

Ένα ξεχωριστό (ανεξάρτητο) πρόστιμο για υπαλλήλους για αποκάλυψη προσωπικών δεδομένων σε σχέση με την εκτέλεση επίσημων ή επαγγελματικών καθηκόντων κυμαίνεται από 4.000 έως 5.000 ρούβλια. Τέτοιες κυρώσεις περιγράφονται στα άρθρα 13.11 και 13.14 του Κώδικα της Ρωσικής Ομοσπονδίας για τα διοικητικά αδικήματα.

Ποινική ευθύνη

Ποινική ευθύνη για τον διευθυντή, τον προϊστάμενο λογιστή ή τον επικεφαλής του τμήματος ανθρώπινων πόρων της εταιρείας ή άλλο πρόσωπο που είναι υπεύθυνο για την εργασία με προσωπικά δεδομένα μπορεί να προκύψει για παράνομες ενέργειες:

  • συλλογή ή διάδοση πληροφοριών σχετικά με την ιδιωτική ζωή ενός υπαλλήλου, που αποτελούν προσωπικό ή οικογενειακό μυστικό, χωρίς τη συγκατάθεσή του·
  • διάδοση πληροφοριών σχετικά με τον εργαζόμενο σε δημόσια ομιλία, δημοσίως προβαλλόμενη εργασία ή μέσα ενημέρωσης.

Για τέτοιες παραβιάσεις σχετικά με τη διαχείριση προσωπικών δεδομένων, επιτρέπονται οι ακόλουθες ποινικές κυρώσεις:

  • πρόστιμο έως 200.000 ρούβλια (ή στο ποσό του εισοδήματος του καταδικασθέντος για περίοδο έως και 18 μηνών).
  • υποχρεωτική εργασία για έως και 360 ώρες·
  • διορθωτική εργασία για έως και ένα έτος ·
  • καταναγκαστική εργασία για περίοδο έως δύο ετών με ή χωρίς στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή άσκησης ορισμένων δραστηριοτήτων για περίοδο έως τριών ετών·
  • σύλληψη για έως και τέσσερις μήνες·
  • φυλάκιση έως δύο ετών με στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή άσκησης ορισμένων δραστηριοτήτων για περίοδο έως τριών ετών.

Οι ίδιες πράξεις που διαπράττονται από άτομο που χρησιμοποιεί την επίσημη θέση του τιμωρούνται αυστηρότερα:

  • πρόστιμο από 100.000 έως 300.000 ρούβλια. (ή στο ύψος του εισοδήματος του καταδικασθέντος για περίοδο ενός έως δύο ετών)·
  • στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή άσκησης ορισμένων δραστηριοτήτων για περίοδο δύο έως πέντε ετών·
  • καταναγκαστική εργασία για περίοδο έως και τεσσάρων ετών με ή χωρίς στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή άσκησης ορισμένων δραστηριοτήτων για περίοδο έως πέντε ετών·
  • σύλληψη για περίοδο τεσσάρων έως έξι μηνών·
  • φυλάκιση έως και τεσσάρων ετών με στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή συμμετοχής σε ορισμένες δραστηριότητες για περίοδο έως πέντε ετών (άρθρο 137 του Ποινικού Κώδικα της Ρωσικής Ομοσπονδίας).

Τι θα αλλάξει από την 1η Ιουλίου 2017

Ομοσπονδιακός νόμος της 07.02. 2017 No. 13-FZ επέκτεινε τον κατάλογο των λόγων για την υπαγωγή ενός εργοδότη σε διοικητική ευθύνη στον τομέα της προστασίας των προσωπικών δεδομένων και επίσης αύξησε το ποσό των διοικητικών προστίμων. Ο νόμος αυτός τίθεται σε ισχύ την 1η Ιουλίου 2017. Ας πούμε αμέσως ότι η διοικητική ευθύνη στον τομέα των προσωπικών δεδομένων έχει ενισχυθεί σημαντικά. Ταυτόχρονα, τα ακόλουθα είναι σημαντικά: αντί του μοναδικού τύπου διοικητικής ευθύνης που περιγράφεται στο άρθρο 13.11 του Κώδικα Διοικητικών Αδικημάτων της Ρωσικής Ομοσπονδίας, θα εμφανιστούν επτά. Έτσι, μπορούν να επιβάλλονται διαφορετικά πρόστιμα για διαφορετικές παραβάσεις από εργοδότες στον τομέα των προσωπικών δεδομένων. Εάν διαπιστωθούν πολλές παραβάσεις για διαφορετικές παραβάσεις, τότε ο αριθμός των προστίμων μπορεί να αυξηθεί ανάλογα. Ας εξηγήσουμε τα νέα αδικήματα με περισσότερες λεπτομέρειες.

Παράβαση 1: επεξεργασία προσωπικών δεδομένων για «άλλους» σκοπούς

Από την 1η Ιουλίου 2017, η επεξεργασία δεδομένων προσωπικού χαρακτήρα σε περιπτώσεις που δεν προβλέπονται από το νόμο ή η επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι ασυμβίβαστες με τους σκοπούς της συλλογής προσωπικών δεδομένων αποτελούν ανεξάρτητους τύπους διοικητικής παράβασης (Μέρος 1 του άρθρου 13.11 του Κώδικα Διοικητικής αδικήματα της Ρωσικής Ομοσπονδίας). Ας δώσουμε ένα παράδειγμα: ένας εργοδότης συλλέγει προσωπικά δεδομένα εργαζομένων και μεταφέρει αυτά τα δεδομένα σε τρίτες εταιρείες για διαφημιστικούς σκοπούς (μεταφέρονται το πλήρες όνομα, οι αριθμοί τηλεφώνου, οι περιοχές κατοικίας, το επίπεδο εισοδήματος). Στη συνέχεια, οι διαφημιστικές εταιρείες αρχίζουν να στέλνουν διάφορα spam και διαφημιστικές προσφορές στους υπαλλήλους μέσω τηλεφώνου, e-mail και διευθύνσεων σπιτιού. Εάν τέτοιες ενέργειες του εργοδότη δεν αποκαλύψουν ποινικό αδίκημα, τότε μπορεί να επιβληθεί διοικητική ευθύνη. Από την 1η Ιουλίου 2017, οι διοικητικές κυρώσεις μπορεί να είναι οι εξής:

  • ή προειδοποίηση?
  • ή πρόστιμα.

Παράβαση 2: επεξεργασία προσωπικών δεδομένων χωρίς συναίνεση

Η επεξεργασία προσωπικών δεδομένων από τον εργοδότη, κατά γενικό κανόνα, είναι δυνατή μόνο με τη γραπτή συγκατάθεση των εργαζομένων. Αυτή η συγκατάθεση πρέπει να περιλαμβάνει τις ακόλουθες πληροφορίες (μέρος 4 του άρθρου 9 του Νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ):

  • Πλήρες όνομα, διεύθυνση του υπαλλήλου, στοιχεία διαβατηρίου (άλλο έγγραφο που αποδεικνύει την ταυτότητά του), συμπεριλαμβανομένων πληροφοριών σχετικά με την ημερομηνία έκδοσης του εγγράφου και την αρχή έκδοσης·
  • όνομα ή πλήρες όνομα και διεύθυνση του εργοδότη (φορέα εκμετάλλευσης) που λαμβάνει τη συγκατάθεση του εργαζομένου·
  • σκοπός της επεξεργασίας προσωπικών δεδομένων·
  • κατάλογο των προσωπικών δεδομένων για την επεξεργασία των οποίων δίνεται η συγκατάθεση·
  • όνομα ή πλήρες όνομα και διεύθυνση του ατόμου που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του εργοδότη, εάν η επεξεργασία θα ανατεθεί σε ένα τέτοιο πρόσωπο·
  • κατάλογος ενεργειών με προσωπικά δεδομένα για τις οποίες δίνεται συγκατάθεση, γενική περιγραφή των μεθόδων που χρησιμοποιεί ο εργοδότης για την επεξεργασία προσωπικών δεδομένων·
  • η περίοδος κατά την οποία ισχύει η συγκατάθεση του εργαζομένου, καθώς και η μέθοδος απόσυρσής της, εκτός εάν ορίζεται διαφορετικά από την ομοσπονδιακή νομοθεσία·
  • υπογραφή υπαλλήλου.

Από την 1η Ιουλίου 2017, η επεξεργασία δεδομένων προσωπικού χαρακτήρα χωρίς τη γραπτή συγκατάθεση του εργαζομένου ή εάν η γραπτή συγκατάθεση δεν περιέχει τα στοιχεία που αναφέρονται παραπάνω, αποτελεί ανεξάρτητη διοικητική παράβαση που προβλέπεται στο Μέρος 2 του άρθρου 13.11 του Κώδικα Διοικητικών Αδικημάτων του Η ρωσική ομοσπονδία. Για αυτό είναι δυνατές κυρώσεις:

Παράβαση 3: πρόσβαση στην πολιτική επεξεργασίας προσωπικών δεδομένων

Ο χειριστής προσωπικών δεδομένων (για παράδειγμα, ένας εργοδότης ή ένας ιστότοπος) υποχρεούται να δημοσιεύει ή να παρέχει με άλλο τρόπο απεριόριστη πρόσβαση στο έγγραφο που καθορίζει την πολιτική του σχετικά με την επεξεργασία προσωπικών δεδομένων, σε πληροφορίες σχετικά με τις εφαρμοζόμενες απαιτήσεις για την προστασία των προσωπικών δεδομένων. Ο φορέας εκμετάλλευσης που συλλέγει προσωπικά δεδομένα στο Διαδίκτυο (για παράδειγμα, μέσω ιστότοπου) υποχρεούται να δημοσιεύσει στο Διαδίκτυο ένα έγγραφο που καθορίζει την πολιτική του σχετικά με την επεξεργασία προσωπικών δεδομένων και πληροφορίες σχετικά με τις εφαρμοζόμενες απαιτήσεις για την προστασία των προσωπικών δεδομένων, καθώς και παρέχουν τη δυνατότητα πρόσβασης στο καθορισμένο έγγραφο. Αυτό προβλέπεται στην παράγραφο 2 του άρθρου 18.1 του νόμου της 27ης Ιουλίου 2006 αριθ. 152-FZ.

Πολλοί χρήστες του Διαδικτύου αντιμετωπίζουν την εκπλήρωση αυτής της υποχρέωσης στην πράξη. Έτσι, για παράδειγμα, όταν αφήνετε οποιαδήποτε εφαρμογή στους ιστότοπους και αναφέρετε το πλήρες όνομα και το e-mail σας, μπορείτε να δώσετε προσοχή στον σύνδεσμο προς παρόμοια έγγραφα: «Πολιτική Επεξεργασίας Προσωπικών Δεδομένων», «Κανονισμοί για την Επεξεργασία Προσωπικών Δεδομένων» , και τα λοιπά. . Ωστόσο, αξίζει να αναγνωρίσουμε ότι ορισμένοι ιστότοποι το παραμελούν και δεν παρέχουν συνδέσμους. Και αποδεικνύεται ότι ένα άτομο αφήνει ένα αίτημα στον ιστότοπο, δεν γνωρίζει για ποιους σκοπούς ο ιστότοπος συλλέγει προσωπικά δεδομένα.

Ορισμένοι εργοδότες εμφανίζουν επίσης διαθέσιμες κενές θέσεις στους ιστότοπούς τους και προσκαλούν τους υποψηφίους να συμπληρώσουν μια φόρμα «Σχετικά με εμένα». Σε τέτοιες περιπτώσεις, ο ιστότοπος πρέπει επίσης να παρέχει πρόσβαση στην «Πολιτική Επεξεργασίας Προσωπικών Δεδομένων».

Από την 1η Ιουλίου 2017, το Μέρος 3 του άρθρου 13.11 του Κώδικα Διοικητικών Αδικημάτων της Ρωσικής Ομοσπονδίας εντόπισε ένα ανεξάρτητο αδίκημα - αδυναμία εκ μέρους του φορέα εκμετάλλευσης να εκπληρώσει την υποχρέωση δημοσίευσης ή παροχής απεριόριστης πρόσβασης σε ένα έγγραφο με πολιτική για την επεξεργασία προσωπικών δεδομένων ή πληροφοριών για την προστασία τους. Η ευθύνη σύμφωνα με αυτό το άρθρο μπορεί να μοιάζει με προειδοποίηση ή διοικητικά πρόστιμα:

Παράβαση 4: απόκρυψη πληροφοριών

Το υποκείμενο των προσωπικών δεδομένων (δηλαδή το άτομο στο οποίο ανήκουν αυτά τα δεδομένα) έχει το δικαίωμα να λαμβάνει πληροφορίες σχετικά με την επεξεργασία των προσωπικών του δεδομένων, συμπεριλαμβανομένων πληροφοριών που περιέχουν (Μέρος 7 του άρθρου 14 του νόμου της 27ης Ιουλίου 2006 Αρ. 152-FZ):

  1. επιβεβαίωση του γεγονότος της επεξεργασίας προσωπικών δεδομένων από τον χειριστή·
  2. νομικούς λόγους και σκοπούς επεξεργασίας προσωπικών δεδομένων·
  3. τους σκοπούς και τις μεθόδους επεξεργασίας προσωπικών δεδομένων που χρησιμοποιούνται από τον χειριστή·
  4. όνομα και τοποθεσία του φορέα εκμετάλλευσης, πληροφορίες σχετικά με πρόσωπα (εκτός από τους υπαλλήλους του φορέα εκμετάλλευσης) που έχουν πρόσβαση σε προσωπικά δεδομένα ή στα οποία ενδέχεται να γνωστοποιηθούν προσωπικά δεδομένα βάσει συμφωνίας με τον φορέα εκμετάλλευσης ή βάσει ομοσπονδιακής νομοθεσίας·
  5. επεξεργασμένα προσωπικά δεδομένα που σχετίζονται με το σχετικό αντικείμενο των προσωπικών δεδομένων, την πηγή της λήψης τους, εκτός εάν προβλέπεται διαφορετική διαδικασία για την παρουσίαση τέτοιων δεδομένων από την ομοσπονδιακή νομοθεσία·
  6. τους όρους επεξεργασίας των προσωπικών δεδομένων, συμπεριλαμβανομένων των περιόδων αποθήκευσης τους·
  7. τη διαδικασία για την άσκηση από το υποκείμενο των προσωπικών δεδομένων των δικαιωμάτων που προβλέπονται από τον παρόντα ομοσπονδιακό νόμο ·
  8. πληροφορίες σχετικά με ολοκληρωμένες ή προβλεπόμενες διασυνοριακές μεταφορές δεδομένων·
  9. όνομα ή επώνυμο, όνομα, πατρώνυμο και διεύθυνση του προσώπου που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του φορέα εκμετάλλευσης, εάν η επεξεργασία έχει ανατεθεί ή πρόκειται να ανατεθεί σε ένα τέτοιο πρόσωπο·
  10. άλλες πληροφορίες που προβλέπονται από τον ομοσπονδιακό νόμο ή άλλους ομοσπονδιακούς νόμους.

Σήμερα μπορούμε να παρατηρήσουμε το πρόβλημα της προστασίας των προσωπικών δεδομένων: υπόκειται σε διείσδυση από κάθε είδους τεχνικά μέσα επεξεργασίας και μετάδοσης πληροφοριών. Ιδιαίτερα επηρεάζονται ιδιωτικοί και δημόσιοι οργανισμοί που χρησιμοποιούν οικονομικά συστήματα και λογιστικά συστήματα προσωπικού. Ο ομοσπονδιακός νόμος αριθ. 152-FZ προστατεύει τα δικαιώματα και ρυθμίζει τις σχέσεις που σχετίζονται με την επεξεργασία προσωπικών δεδομένων που πραγματοποιείται από φορείς εκμετάλλευσης προσωπικών δεδομένων, με ή χωρίς αυτοματοποίηση. Σύμφωνα με αυτόν τον νόμο, προσωπικά δεδομένα μπορεί να είναι οποιαδήποτε πληροφορία που σχετίζεται με ένα συγκεκριμένο άτομο. Αυτά τα δεδομένα ενδέχεται να υποδεικνύουν το πλήρες όνομα, την ημερομηνία γέννησης, τη διεύθυνση κατοικίας, την οικογενειακή και κοινωνική περιουσιακή κατάσταση του ατόμου, ποια εκπαίδευση έχει, ποια ειδικότητα εργάζεται και τι εισόδημα έχει.

Τι προβλήματα μπορεί να αντιμετωπίσετε;

Η χώρα μας παρέχει τα πιο δημοφιλή συστήματα για λογιστικά στοιχεία και αρχεία προσωπικού, πωλήσεις και διαδικασίες CRM. Αυτά περιλαμβάνουν τα ακόλουθα προϊόντα της εταιρείας 1C:

  • "1C:Enterprise";
  • "1c λογιστική"?
  • "1C: μισθός και διαχείριση προσωπικού"
  • «1C: Μισθοί και προσωπικό ενός δημοσιονομικού ιδρύματος» και πολλά άλλα παρόμοια προγράμματα.

Οι βάσεις δεδομένων αρχείων είναι διαθέσιμες σε κάθε χρήστη, επομένως υπάρχει η δυνατότητα αντιγραφής πληροφοριών, γεγονός που με τη σειρά του παραβιάζει τον ομοσπονδιακό νόμο αριθ. 152-FZ. Ως εκ τούτου, είναι απαραίτητο να προστατευθούν τα προσωπικά δεδομένα στο 1C προκειμένου να αποφευχθούν δυσάρεστες παγκόσμιες συνέπειες.

Πολλές εταιρείες καταφεύγουν σε μια ειδική βάση δεδομένων, η οποία αποθηκεύεται σε έναν διακομιστή SQL. Είναι σημαντικό να κατανοήσουμε ότι σε αυτήν την περίπτωση υπάρχει κίνδυνος: τα προσωπικά δεδομένα συνεχίζουν να αντιγράφονται σε εξωτερικά μέσα αποθήκευσης, με επακόλουθη μεταφορά σε κινητά τηλέφωνα, κάρτες μνήμης και αποθήκευση cloud. Παρατηρείται επίσης ότι κλεμμένες πληροφορίες αποστέλλονται μέσω email, Skype και Telegram.

Οι περισσότεροι εισβολείς παίρνουν στιγμιότυπα οθόνης της οθόνης του υπολογιστή και μεταφέρουν δεδομένα από 1C σε αρχείο τρίτου κατασκευαστή χρησιμοποιώντας ένα πρόγραμμα προσωρινής αποθήκευσης. Αυτή η μέθοδος θεωρείται η πιο κοινή και πολύ συχνά η εταιρεία υπέφερε από αυτό το είδος κλοπής προσωπικών δεδομένων.

Πώς να προστατέψετε την εταιρεία σας από κλοπή εμπιστευτικών δεδομένων;

Υπάρχει ένα σύγχρονο σύστημα που προστατεύει από διαρροή σε 1C. Το DeviceLock DLP είναι ένας αποτελεσματικός τρόπος για να αποτρέψετε έναν συγκεκριμένο χρήστη από την αντιγραφή πληροφοριών. Το πρόγραμμα εντοπίζει επίσης τη λειτουργία του πρόχειρου. Οι ρυθμίσεις συστήματος είναι ευέλικτες, ώστε να μπορείτε να επιλέξετε μεμονωμένα προγράμματα και να τα κλειδώσετε.

Το DeviceLock DLP είναι σε θέση να εντοπίζει και να αποκλείει επιλεκτικά στιγμιότυπα οθόνης που αποτρέπουν ενέργειες από συγκεκριμένους χρήστες ή διάφορες εφαρμογές. Το πρόγραμμα επιλεκτικά επιτρέπει και αρνείται την πρόσβαση σε ορισμένα αρχεία. Ο υπεύθυνος της εταιρείας λαμβάνει μια ειδοποίηση σχετικά με μια προσπάθεια αντιγραφής πληροφοριών σε εξωτερικές συσκευές ή αποστολής τους μέσω του δικτύου. Επωφεληθείτε από αυτή τη μοναδική προσφορά για να εξαλείψετε τις δυσάρεστες συνέπειες.

Δεν βρέθηκε παρόμοια είδηση.

Για την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση, δημιουργήθηκε ένα ειδικό πακέτο λογισμικού 1C: Enterprise 8.3z (ZPK). Το ασφαλές συγκρότημα μπορεί να χρησιμοποιηθεί σε κυβερνητικά συστήματα πληροφοριών μέχρι την κατηγορία ασφαλείας 1, συμπεριλαμβανομένης, και σε συστήματα πληροφοριών έως το επίπεδο ασφάλειας προσωπικών δεδομένων 1, συμπεριλαμβανομένου.

Το ασφαλές πακέτο λογισμικού 1C: Enterprise 8.3z μπορεί να χρησιμοποιηθεί για την οργάνωση της ασφάλειας των προσωπικών δεδομένων σύμφωνα με τη σύνθεση και το περιεχόμενο των οργανωτικών και τεχνικών μέτρων για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων, εγκεκριμένα με παραγγελία του FSTEC της Ρωσίας με ημερομηνία 18 Φεβρουαρίου 2013 N 21 , σε συστήματα πληροφοριών προσωπικών δεδομένων όλων των επιπέδων ασφαλείας.

Complex 1C: Το Enterprise 8.3z μπορεί να χρησιμοποιηθεί:

  • σε οργανισμούς που είναι φορείς εκμετάλλευσης προσωπικών δεδομένων και επεξεργάζονται προσωπικά δεδομένα ανεξάρτητα
  • σε οργανισμούς που παρέχουν υπηρεσίες για τη διατήρηση ISPD πολλών φορέων. ZPK 1C: Enterprise, έκδοση 8.3z

Μπορεί να χρησιμοποιηθεί τόσο κατά την επεξεργασία πληροφοριών για ένα νομικό πρόσωπο ή επιχειρηματία όσο και για όμιλο εταιρειών (εκμετάλλευση).

* Το πακέτο λογισμικού αγοράζεται για υπάρχουσες διαμορφώσεις 1C και 1C: Εταιρικές άδειες.

Περιγραφή του 1C: Enterprise 8.3z

Complex 1C: Το Enterprise 8.3z είναι πιστοποιημένο στο Σύστημα Πιστοποίησης Ασφάλειας Πληροφοριών σύμφωνα με τις απαιτήσεις ασφάλειας πληροφοριών N ROSS RU.0001.01BI00 και διαθέτει πιστοποιητικό συμμόρφωσης N 3442 (που εκδόθηκε από την FSTEC της Ρωσίας στις 2 Σεπτεμβρίου 2015).
Σύμφωνα με το πιστοποιητικό, το πρόγραμμα πληροί τις απαιτήσεις του εγγράφου καθοδήγησης «Προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες. Μέρος 1. Λογισμικό ασφάλειας πληροφοριών. Ταξινόμηση σύμφωνα με το επίπεδο ελέγχου των αδήλωτων δυνατοτήτων» (Κρατική Τεχνική Επιτροπή της Ρωσίας, 1999) - σύμφωνα με το 4ο επίπεδο ελέγχου, το έγγραφο καθοδήγησης «Εγκαταστάσεις υπολογιστών. Προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες. Δείκτες ασφάλειας έναντι μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες" (Κρατική Τεχνική Επιτροπή της Ρωσίας, 1992) - σύμφωνα με την κλάση ασφαλείας 5 όταν ακολουθείτε τις οδηγίες λειτουργίας που δίνονται στην ενότητα 12 του εντύπου που περιλαμβάνεται στο προϊόν.


Τα επικυρωμένα αντίγραφα της πλατφόρμας φέρουν σήματα συμμόρφωσης από N K 605432 έως K 615431.

Η ανάπτυξη των διαμορφώσεων που χρησιμοποιούνται με το 1C: Enterprise 8.3z πρέπει να πραγματοποιείται σύμφωνα με τις απαιτήσεις που καθορίζονται στην ενότητα 4 του εγγράφου «Ασφαλές πακέτο λογισμικού 1C: Enterprise, έκδοση 8.3z. Οδηγός προγραμματιστή" και δεν θα πρέπει να εφαρμόζουν λειτουργίες ασφαλείας και να επηρεάζουν την υλοποίηση των λειτουργιών ασφαλείας του 1C: Enterprise 8.3z. Εάν πληρούνται αυτές οι προϋποθέσεις, δεν απαιτείται πιστοποίηση των διαμορφώσεων στο Σύστημα Πιστοποίησης N ROSS RU.0001.01BI00 σύμφωνα με τους «Κανονισμούς για την πιστοποίηση εργαλείων ασφάλειας πληροφοριών σύμφωνα με τις απαιτήσεις ασφάλειας πληροφοριών».

Οι παραπάνω απαιτήσεις πληρούνται για όλες τις τυπικές διαμορφώσεις της εταιρείας 1C.

Υπάρχουν δύο τρόποι λειτουργίας για το 1C: Enterprise 8.3z: έκδοση αρχείου και έκδοση πελάτη-διακομιστή.

Διαδικασία για την ενημέρωση ενός προστατευμένου πακέτου λογισμικού

Πιστοποιημένες ενημερώσεις κυκλοφορούν περιοδικά για το ZPK. Για να τα λάβετε, πρέπει να εγγραφείτε σε ενημερώσεις:

Πακέτο 1C: Enterprise 8.3z

Το σετ παράδοσης του ZPK 1C: Enterprise, έκδοση 8.3z περιλαμβάνει:

  • DVD με κιτ διανομής της πιστοποιημένης πλατφόρμας και εγχειρίδια χρήστη, διαχειριστή και προγραμματιστή.
  • ένα έντυπο με ένα άθροισμα ελέγχου και ένα σημάδι συμμόρφωσης με το FSTEC της Ρωσίας με τη μορφή ολογραφικού αυτοκόλλητου.
  • κάρτα πληροφοριών του προστατευόμενου προϊόντος·
  • προσδιορισμός;
  • αντίγραφο του πιστοποιητικού FSTEC·
  • ΤΑ ΚΛΕΙΔΙΑ ΠΡΟΣΤΑΣΙΑΣ ΔΕΝ ΠΕΡΙΛΑΜΒΑΝΟΝΤΑΙ ΣΤΗΝ ΠΑΡΑΔΟΣΗ ΤΟΥ ZPK 1C: Enterprise, έκδοση 8.3z!

DVD για το προϊόν Ασφαλές πακέτο λογισμικού 1C: Enterprise 8.3z (x86-64) περιέχει:

Κώδικας Ονομα Συνιστάται λιανική τιμή, τρίψτε.
4601546119070
 Ασφαλές πακέτο λογισμικού "1C: Enterprise 8.3z" (x86-32)
18 000*
Αγορά
4601546119087
 Ασφαλές πακέτο λογισμικού "1C: Enterprise 8.3z" (x86-64)
54 000*
Αγορά
Άδειες για επιπλέον θέσεις
4601546080875 1C: Enterprise 8. Άδεια πελάτη για 1 σταθμό εργασίας 6 300 Αγορά
4601546080882 1C: Enterprise 8. Άδεια πελάτη για 5 σταθμούς εργασίας 21 600 Αγορά
4601546080899 1C: Enterprise 8. Άδεια πελάτη για 10 σταθμούς εργασίας 41 400 Αγορά
4601546080905 1C: Enterprise 8. Άδεια πελάτη για 20 σταθμούς εργασίας 78 000 Αγορά
4601546080912 1C: Enterprise 8. Άδεια πελάτη για 50 σταθμούς εργασίας 187 200 Αγορά
4601546080929 1C: Enterprise 8. Άδεια πελάτη για 100 σταθμούς εργασίας 360 000 Αγορά
4601546080936 1C: Enterprise 8. Άδεια πελάτη για 300 σταθμούς εργασίας 1 068 000 Αγορά
4601546080943 1C: Enterprise 8. Άδεια πελάτη για 500 σταθμούς εργασίας 1 776 000 Αγορά

Νέο στο site

>

Δημοφιλέστερος

© 2024. Προγράμματα. Αξεσουάρ. Υπολογιστές. Εξοπλισμός γραφείου. Υλικό δικτύου.

ΔΗΜΟΦΙΛΕΣ ΕΝΟΤΗΤΕΣ