მთავარი სხვა შეუღწევადი დაცვა 1C-დან.

შეუღწევადი დაცვა 1C-დან.

ძალაში შევიდა ფედერალური კანონი No152 „პერსონალური მონაცემების შესახებ“, რომელიც პერსონალური მონაცემების ყველა ოპერატორს ავალდებულებს შეასრულოს პერსონალური მონაცემების დაცვისა და შენახვის რიგი მოთხოვნები.

ჩვენ გთავაზობთ სერვისებს საინფორმაციო სისტემების ჰოსტინგისთვის 1C-ზე პერსონალური მონაცემების დამუშავებისთვის, 152-FZ შესაბამისად. რა გადაწყვეტილებები გაქვთ? 1C პერსონალური მონაცემების დაცვის შესახებ (ISPDn)?

1C კომპანიამ მიიღო შესაბამისობის სერტიფიკატი No. 2137, გაცემული რუსეთის FSTEC-ის მიერ, რომელიც ადასტურებს, რომ უსაფრთხო პროგრამული პაკეტი (ZPK) „1C:Enterprise, ვერსია 8.2z“ აღიარებულია, როგორც ზოგადი დანიშნულების პროგრამული უზრუნველყოფა ჩაშენებული. ინფორმაციის დაცვის საშუალება არაავტორიზებული წვდომისგან (NSD) ინფორმაციაზე, რომელიც არ შეიცავს სახელმწიფო საიდუმლოებას.

სერტიფიცირების შედეგების საფუძველზე დადასტურდა მე-5 კლასის არაზემოქმედებისგან დაცვის მარეგულირებელი დოკუმენტების მოთხოვნებთან შესაბამისობა, მონიტორინგის დონის მიხედვით არადეკლარირებული შესაძლებლობების არარსებობა (NDC) კონტროლის მე-4 დონეზე, შესაძლებლობა. დადასტურდა უსაფრთხოების კლასამდე 1G (ანუ AC) ავტომატური სისტემების შესაქმნელად გამოყენება, რაც უზრუნველყოფს კონფიდენციალური ინფორმაციის დაცვას LAN-ის ჩათვლით, ასევე ინფორმაციის დასაცავად პერსონალურ მონაცემთა საინფორმაციო სისტემებში (PDIS) K1 კლასამდე. ინკლუზიური.

1C პლატფორმის დამოწმებული ასლები მონიშნულია შესაბამისობის ნიშნებით No G 420000-დან No G 429999-მდე.

1CAir გთავაზობთ ამ პროგრამებს ქირავდება. როგორ დავიწყოთ მისი გამოყენება?

როგორ შევქმნათ პერსონალური მონაცემების დამუშავების სისტემა 1C-ზე, 152-FZ-ის შესაბამისად?

„1C:Enterprise 8.2“ პლატფორმაზე შემუშავებული ყველა კონფიგურაცია შეიძლება გამოყენებულ იქნას ნებისმიერი კლასის პერსონალური მონაცემების საინფორმაციო სისტემის შესაქმნელად და არ არის საჭირო აპლიკაციის გადაწყვეტილებების დამატებითი სერტიფიცირება.

დამატებითი განმარტებები მიღებულია 1C-დან:

1. ფედერალური კანონი No152-FZ „პერსონალური მონაცემების შესახებ“ თავისთავად არ აწესებს რაიმე მოთხოვნას პროგრამული უზრუნველყოფის მიმართ (როგორც დღეს ძალაშია შესწორებული).

2. ინფორმაციული უსაფრთხოების საშუალებების შესაბამისობის შეფასების აუცილებლობის მოთხოვნას შეიცავს რუსეთის ფედერაციის მთავრობის 2007 წლის 17 ნოემბრის N 781 დადგენილებით „უსაფრთხოების უზრუნველყოფის დებულების დამტკიცების შესახებ“ დებულების მე-5 პუნქტი. პერსონალურ მონაცემებს პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას.“.

3. უშუალოდ პროგრამული უზრუნველყოფის მოთხოვნები გათვალისწინებულია რუსეთის FSTEC №58 ბრძანებით, კერძოდ, მოთხოვნები გათვალისწინებულია წვდომის კონტროლის, აღრიცხვისა და მთლიანობის კონტროლის ქვესისტემებზე. ეს ქვესისტემები ეხება ექსკლუზიურად ტექნოლოგიურ პლატფორმას და არა კონფიგურაციებს.

4. სერტიფიცირების განხორციელებისას თავდაპირველად იგეგმებოდა კონფიგურაციების (ტექნიკური პირობები) მოთხოვნების უზრუნველყოფა. თუმცა, სერტიფიცირების დასრულების შემდეგ, ტესტირების ლაბორატორიამ უარი თქვა კონფიგურაციისთვის რაიმე მოთხოვნების წარმოდგენაზე.

ამრიგად, მოქმედი კანონმდებლობა არ ითვალისწინებს პროგრამული პროდუქტების სერტიფიცირებას (ან შესაბამისობის სხვა შეფასებას), რომლებიც არ არის ინფორმაციული უსაფრთხოების ინსტრუმენტები, რომლებიც მოიცავს სტანდარტულ კონფიგურაციებს და არ არსებობს კონფიგურაციის ტექნიკური პირობები. შესაბამისად, ამ პლატფორმის ნებისმიერი კონფიგურაცია შეიძლება გამოყენებულ იქნას უსაფრთხო პროგრამული პაკეტით.

უფრო მეტიც, სერტიფიცირების დროს ობიექტს წარმოადგენს არა მხოლოდ პროგრამები, არამედ ადმინისტრაციული რეგულაციებისა და ღონისძიებების მთელი კომპლექსი (უსაფრთხოების მოთხოვნები, საფრთხის მოდელი, კლასიფიკაციის აქტები, პერსონალური მონაცემთა დაცვის გეგმა და ა.შ.) და ორგანიზაციაში გამოყენებული მთელი საინფორმაციო სისტემა.
პერსონალური მონაცემების დამუშავების ოპერატორმა უნდა გადაწყვიტოს პერსონალური მონაცემთა სისტემისთვის შესაბამისი კლასის მინიჭება.

იმისდა მიუხედავად, რომ მონაცემები ინახება რუსეთის ფედერაციის ფარგლებს გარეთ, ფედერალური კანონი No152-FZ პირდაპირ ითვალისწინებს მონაცემთა ტრანსსასაზღვრო გადაცემის შესაძლებლობას, კერძოდ, მუხლი 12. „პერსონალური მონაცემების ტრანსსასაზღვრო გადაცემა უცხო სახელმწიფოების ტერიტორიაზე. რომლებიც არიან ევროპის საბჭოს კონვენციის მხარეები პირთა დაცვის შესახებ პერსონალური მონაცემების ავტომატიზირებული დამუშავების პირობებში, ისევე როგორც სხვა უცხო ქვეყნები, რომლებიც უზრუნველყოფენ პერსონალური მონაცემების სუბიექტების უფლებების ადექვატურ დაცვას, ხორციელდება ამ ფედერალური კანონის შესაბამისად. ...”. პერსონალური მონაცემები ინახება მონაცემთა ცენტრებში მხოლოდ იმ ევროპის ქვეყნებში, რომლებმაც ხელი მოაწერეს ამ კონვენციას, ნათქვამია წერილში. რუსეთის ფედერაციის კომუნიკაციებისა და მასობრივი კომუნიკაციების სამინისტრო "პერსონალური მონაცემების ტრანსსასაზღვრო გადაცემის განხორციელების შესახებ".
No152-FZ კანონის მე-12 მუხლის მე-3 პუნქტის თანახმად, ჩვენ დარწმუნებული ვართ, რომ პერსონალური მონაცემების სუბიექტების უფლებების ადეკვატური დაცვა უზრუნველყოფილია პერსონალური მონაცემების ტრანსსასაზღვრო გადაცემის დაწყებამდე. ეს დაფიქსირებულია ჩვენს შეთანხმებაში მონაცემთა ცენტრებთან და აისახება კლიენტის ხელშეკრულებაში.

ამჟამად გამოიყენება სტანდარტული პლატფორმა „1C:Enterprise, ვერსია 8.2“, მონაცემთა დაცვის მოთხოვნებით, როგორც ეს ზემოთ არის მითითებული. ამიტომ, 1CAir-ის დახმარებით შესაძლებელია პერსონალური მონაცემების საინფორმაციო სისტემებში (PDIS) ინფორმაციული უსაფრთხოების სისტემების აგება K2 კლასამდე.

1CAir-ის გამოყენების მიუხედავად, თქვენი ორგანიზაცია რჩება თქვენი პერსონალური მონაცემების დამუშავების ოპერატორად და არა ჩვენ. თქვენ ქმნით უსაფრთხოების საკუთარ მოდელს და ამ მოდელის შესაბამისად განსაზღვრავთ დაცვის პარამეტრებს. ამ ტექნიკური პარამეტრების გამოყენებით, თქვენ შეგიძლიათ გაიგოთ ჩვენგან, გთავაზობთ თუ არა ასეთ სერვისს (მაგალითად, დაშიფვრას) და შევქმნათ სასურველი სისტემა პროგრამების გამოყენებით 1CAir-ში.

Ინფორმაციის დაცვაინფორმაციის დაცვის მსგავსად, არის კომპლექსური ამოცანა, რომელიც მიზნად ისახავს უსაფრთხოების უზრუნველყოფას, რომელიც ხორციელდება უსაფრთხოების სისტემის დანერგვით. ინფორმაციული უსაფრთხოების პრობლემა მრავალმხრივი და რთულია და მოიცავს მთელ რიგ მნიშვნელოვან ამოცანებს.

ინფორმაციის უსაფრთხოების პრობლემებს მუდმივად ამწვავებს მონაცემთა დამუშავებისა და გადაცემის ტექნიკური საშუალებების შეღწევა საზოგადოების ყველა სფეროში, ეს პრობლემა განსაკუთრებით მწვავეა ფინანსური აღრიცხვის სისტემების სფეროში. რუსეთში ყველაზე პოპულარული აღრიცხვის, გაყიდვების და CRM პროცესების სისტემა არის 1C Enterprise სისტემა.

მოდით განვიხილოთ უსაფრთხოების პოტენციური საფრთხეები 1C პროგრამის გამოყენებისას.

1C-ის გამოყენება მონაცემთა ბაზებთან ფაილის ფორმატში. 1C ფაილების მონაცემთა ბაზები ყველაზე დაუცველია ფიზიკური ზემოქმედების მიმართ. ეს განპირობებულია ამ ტიპის მონაცემთა ბაზის არქიტექტურული მახასიათებლებით - ყველა კონფიგურაციის ფაილის და თავად ფაილების მონაცემთა ბაზების ღია (სრული წვდომით) შენარჩუნების აუცილებლობა ოპერაციული სისტემის ყველა მომხმარებლისთვის. შედეგად, ნებისმიერ მომხმარებელს, რომელსაც აქვს 1C ფაილის მონაცემთა ბაზაში მუშაობის უფლება, შეუძლია თეორიულად დააკოპიროს ან თუნდაც წაშალოს 1C ინფორმაციის მონაცემთა ბაზა მაუსის ორი დაწკაპუნებით.

1C-ის გამოყენება მონაცემთა ბაზებთან DBMS ფორმატში.ამ ტიპის პრობლემა წარმოიქმნება, თუ DBMS (PosgreSQL, MS SQL) გამოიყენება 1C მონაცემთა ბაზების შესანახად, ხოლო საწარმოს 1C სერვერი გამოიყენება როგორც შუალედური საკომუნიკაციო სერვისი 1C-სა და DBMS-ს შორის. ეს არის მაგალითი - ბევრი კომპანია ახორციელებს 1C კონფიგურაციის შეცვლას მათი საჭიროებების შესაბამისად. დახვეწის პროცესში, პროექტის „აურზაურის“ პირობებში, ახალი, გაუმჯობესებული ფუნქციონირების მუდმივი ტესტირების პირობებში, პასუხისმგებელი სპეციალისტები ხშირად უგულებელყოფენ ქსელის უსაფრთხოების წესებს.
შედეგად, ზოგიერთ პირს, რომელსაც აქვს პირდაპირი წვდომა DBMS მონაცემთა ბაზაზე ან აქვს ადმინისტრატორის უფლებები 1C Enterprise სერვერზე, თუნდაც დროებითი სატესტო პერიოდისთვის, შეუძლია ან გააკეთოს სარეზერვო ასლი გარე რესურსებზე ან მთლიანად წაშალოს მონაცემთა ბაზა DBMS-ში.

სერვერის აღჭურვილობის ღიაობა და ხელმისაწვდომობა.თუ არსებობს სერვერის აღჭურვილობაზე არაავტორიზებული წვდომა, კომპანიის თანამშრომლებს ან მესამე პირებს შეუძლიათ გამოიყენონ ეს წვდომა ინფორმაციის მოსაპარად ან დასაზიანებლად. მარტივად რომ ვთქვათ, თუ თავდამსხმელი მიიღებს პირდაპირ წვდომას 1c სერვერის სხეულსა და კონსოლზე, მისი შესაძლებლობების დიაპაზონი ათჯერ იზრდება.

ქურდობის და პერსონალური მონაცემების გაჟონვის რისკები.აქ, პერსონალური მონაცემების უსაფრთხოების მიმდინარე საფრთხეები გაგებულია, როგორც პირობებისა და ფაქტორების ერთობლიობა, რომელიც ქმნის პერსონალურ მონაცემებზე არასანქცირებული, მათ შორის შემთხვევითი, წვდომის ამჟამინდელ საფრთხეს საინფორმაციო სისტემაში მათი დამუშავების დროს, მაგალითად, პასუხისმგებელი თანამშრომლების, კომპიუტერის მიერ. ოპერატორები, საბუღალტრო განყოფილებები და ა.შ.
ამან შეიძლება გამოიწვიოს პერსონალური მონაცემების განადგურება, მოდიფიკაცია, დაბლოკვა, კოპირება, მიწოდება, გავრცელება, ასევე პასუხისმგებელი პირების სხვა უკანონო ქმედებები.

ქსელის უსაფრთხოება.საწარმოს საინფორმაციო სისტემა, რომელიც აგებულია GOST-ის, უსაფრთხოების მოთხოვნების, რეკომენდაციების ან სათანადო IT მხარდაჭერის დარღვევით, სავსეა ხვრელებით, ვირუსებითა და ჯაშუშური პროგრამებით და მრავალი უკანა კარით (არაავტორიზებული წვდომა შიდა ქსელში), რაც პირდაპირ გავლენას ახდენს კორპორატიული მონაცემების უსაფრთხოებაზე. 1C. ეს იწვევს თავდამსხმელისთვის ადვილად წვდომას კომერციულად მგრძნობიარე ინფორმაციაზე. მაგალითად, თავდამსხმელს შეუძლია გამოიყენოს უფასო წვდომა სარეზერვო ასლებზე და პაროლის არარსებობა არქივებისთვის სარეზერვო ასლებით პირადი სარგებლობისთვის. რომ აღარაფერი ვთქვათ ვირუსული აქტივობით 1C მონაცემთა ბაზის ელემენტარულ დაზიანებაზე.

ურთიერთობა 1C და გარე ობიექტებს შორის.კიდევ ერთი პოტენციური საფრთხე არის 1C საბუღალტრო მონაცემთა ბაზის საჭიროება (და ზოგჯერ სპეციალური მარკეტინგული ფუნქცია) „გარე სამყაროსთან“ კომუნიკაციისთვის. კლიენტების ბანკების ატვირთვა/ჩატვირთვა, ინფორმაციის გაცვლა ფილიალებთან, რეგულარული სინქრონიზაცია კორპორატიულ ვებსაიტებთან, პორტალებთან, სხვა საანგარიშო პროგრამებთან, კლიენტებთან და გაყიდვების მენეჯმენტთან და მრავალი სხვა. ვინაიდან 1C ამ ზონაში უსაფრთხოების სტანდარტებთან შესაბამისობა და ქსელის ინფორმაციის გაცვლის ერთგვაროვნება არ არის წახალისებული, გაჟონვა საკმაოდ რეალურია მისი მარშრუტის ნებისმიერ წერტილში.
ავტომატიზაციის პროცესის არასტანდარტული გაუმჯობესების ან ტრაფიკის დასაცავად ბიუჯეტის შემცირების აუცილებლობის შედეგად, მყისიერად იზრდება მოწყვლადობის რაოდენობა, ხვრელები, დაუცველი კავშირები, ღია პორტები, ადვილად ხელმისაწვდომი ფაილების გაცვლა დაშიფრული ფორმით და ა.შ. ბუღალტრული აღრიცხვის სისტემაში. თქვენ შეგიძლიათ უსაფრთხოდ წარმოიდგინოთ, რა შეიძლება გამოიწვიოს ამან - 1C მონაცემთა ბაზის ელემენტარული გამორთვიდან გარკვეული დროით, რამდენიმე მილიონიანი გადახდის დავალების გაყალბებამდე.

რა შეიძლება იყოს შემოთავაზებული ასეთი პრობლემების გადასაჭრელად?

1. 1C ფაილების მონაცემთა ბაზებთან მუშაობისასბაზების უსაფრთხოების უზრუნველსაყოფად აუცილებელია მთელი რიგი ღონისძიებების განხორციელება:

  • NTFS წვდომის შეზღუდვების გამოყენებით, მიეცით საჭირო უფლებები მხოლოდ იმ მომხმარებლებს, რომლებიც მუშაობენ ამ მონაცემთა ბაზასთან, რითაც იცავს მონაცემთა ბაზას არაკეთილსინდისიერი თანამშრომლების ან თავდამსხმელის მიერ ქურდობის ან დაზიანებისგან;
  • ყოველთვის გამოიყენეთ Windows ავტორიზაცია მომხმარებლის სამუშაო სადგურებში შესასვლელად და ქსელის რესურსებზე წვდომისთვის;
  • გამოიყენეთ დაშიფრული დისკები ან დაშიფრული საქაღალდეები, რომლებიც საშუალებას მოგცემთ შეინახოთ კონფიდენციალური ინფორმაცია 1C მონაცემთა ბაზის წაშლის შემთხვევაშიც კი;
  • ჩამოაყალიბეთ ეკრანის ავტომატური დაბლოკვის პოლიტიკა, ასევე უზრუნველყოთ მომხმარებლის ტრენინგი პროფილის დაბლოკვის აუცილებლობის ასახსნელად;
  • წვდომის უფლებების დიფერენცირება 1C დონეზე მომხმარებლებს საშუალებას მისცემს მიიღონ მხოლოდ ინფორმაცია, რომელზეც მათ აქვთ შესაბამისი უფლებები;
  • აუცილებელია დაუშვას 1C კონფიგურატორის გაშვება მხოლოდ იმ თანამშრომლებისთვის, რომლებსაც ეს სჭირდებათ.

2. DBMS 1C მონაცემთა ბაზებთან მუშაობისასგთხოვთ, ყურადღება მიაქციოთ შემდეგ რეკომენდაციებს:

  • DBMS-თან დაკავშირების სერთიფიკატს არ უნდა ჰქონდეს ადმინისტრაციული უფლებები;
  • აუცილებელია DBMS მონაცემთა ბაზებზე წვდომის უფლებების დიფერენცირება, მაგალითად, თითოეული საინფორმაციო ბაზისთვის საკუთარი ანგარიშის შექმნა, რაც მინიმუმამდე დააყენებს მონაცემთა დაკარგვას ერთ-ერთი ანგარიშის გატეხვის შემთხვევაში;
  • რეკომენდირებულია შეიზღუდოს ფიზიკური და დისტანციური წვდომა საწარმოს მონაცემთა ბაზაზე და 1C სერვერებზე;
  • რეკომენდირებულია დაშიფვრის გამოყენება მონაცემთა ბაზებისთვის, ეს დაზოგავს კონფიდენციალურ მონაცემებს მაშინაც კი, თუ თავდამსხმელი მოიპოვებს ფიზიკურ წვდომას DBMS ფაილებზე;
  • ასევე, ერთ-ერთი მნიშვნელოვანი გადაწყვეტილებაა მონაცემთა დაშიფვრა ან პაროლის დაყენება მონაცემთა სარეზერვო ასლისთვის;
  • სავალდებულოა ადმინისტრატორების შექმნა 1C კლასტერისთვის, ასევე 1C სერვერისთვის, რადგან ნაგულისხმევად, თუ მომხმარებელი არ შეიქმნა, სისტემის აბსოლუტურად ყველა მომხმარებელს აქვს სრული წვდომა საინფორმაციო ბაზებზე.

3. მოთხოვნები სერვერის აღჭურვილობის ფიზიკური უსაფრთხოების უზრუნველსაყოფად:
(GOST R ISO/IEC TO - 13335 მიხედვით)

  • წვდომა იმ ადგილებში, სადაც სენსიტიური ინფორმაცია მუშავდება ან ინახება, უნდა იყოს კონტროლირებადი და შეზღუდული მხოლოდ ავტორიზებული პირებით;
  • ავტორიზაციის კონტროლი, როგორიცაა წვდომის კონტროლის ბარათი, პლუს პირადი საიდენტიფიკაციო ნომერი , უნდა იქნას გამოყენებული ნებისმიერი წვდომის ავტორიზაციისა და დასადასტურებლად;
  • ყველა წვდომის აუდიტის ბილიკი უნდა ინახებოდეს უსაფრთხო ადგილას;
  • მესამე მხარის დამხმარე პერსონალს უნდა მიეცეს შეზღუდული წვდომა უსაფრთხოების ზონებზე ან ინფორმაციის დამუშავების მგრძნობიარე ობიექტებზე მხოლოდ საჭიროების შემთხვევაში;
  • ეს წვდომა ყოველთვის უნდა იყოს ავტორიზებული და მონიტორინგი;
  • უსაფრთხოების ზონებზე წვდომის უფლებები რეგულარულად უნდა განიხილებოდეს და განახლდეს და აუცილებლობის შემთხვევაში გაუქმდეს;
  • მხედველობაში უნდა იქნას მიღებული უსაფრთხოებისა და ჯანმრთელობის შესაბამისი რეგულაციები და სტანდარტები;
  • ძირითადი ობიექტები უნდა განთავსდეს ისე, რომ თავიდან აიცილოს მათზე წვდომა ფართო საზოგადოებისთვის;
  • საჭიროების შემთხვევაში, შენობები და ოთახები უნდა იყოს უპრეცედენტო და უნდა აძლევდეს მინიმალურ მითითებას მათი დანიშნულების შესახებ, აშკარა ნიშნების გარეშე, შენობის გარეთ ან შიგნით, რაც მიუთითებს ინფორმაციის დამუშავების აქტივობებზე;
  • ნიშნები და შიდა სატელეფონო წიგნები, რომლებიც მიუთითებენ მგრძნობიარე ინფორმაციის დამუშავების ობიექტების ადგილმდებარეობებზე, არ უნდა იყოს ხელმისაწვდომი ფართო საზოგადოებისთვის.

4. პერსონალური მონაცემების კონფიდენციალურობა.პერსონალური მონაცემების დაცვის ორგანიზების მთავარი მიზანია საინფორმაციო სისტემაში არსებული საფრთხეების განეიტრალება, განსაზღვრული 2006 წლის 27 ივლისის ფედერალური კანონი No152-FZ „პერსონალური მონაცემების შესახებ“ , IT უსაფრთხოების საერთაშორისო სერთიფიკატების სახელმწიფო სტანდარტებისა და მოთხოვნების ჩამონათვალი (GOST R ISO/IEC 13335 2-5, ISO 27001) . ეს მიიღწევა ინფორმაციაზე წვდომის შეზღუდვით მისი ტიპების მიხედვით, ინფორმაციაზე წვდომის შეზღუდვით მომხმარებლის როლებით, ინფორმაციის დამუშავებისა და შენახვის პროცესის სტრუქტურირებით.
აქ არის რამდენიმე ძირითადი პუნქტი:

  • პერსონალური მონაცემების დამუშავება უნდა შემოიფარგლოს კონკრეტული, წინასწარ განსაზღვრული და ლეგიტიმური მიზნების მიღწევით;
  • პერსონალური მონაცემების დამუშავებაზე თანხმობა უნდა იყოს კონკრეტული, ინფორმირებული და გაცნობიერებული;
  • დაუშვებელია პერსონალური მონაცემების დამუშავება, რომელიც შეუთავსებელია პერსონალური მონაცემების შეგროვების მიზნებთან;
  • დამუშავებას ექვემდებარება მხოლოდ პერსონალური მონაცემები, რომლებიც აკმაყოფილებს მათი დამუშავების მიზნებს;
  • ოპერატორები და სხვა პირები, რომლებსაც აქვთ წვდომა პერსონალურ მონაცემებზე, ვალდებულნი არიან არ გაუმჟღავნონ მესამე პირებს ან გაავრცელონ პერსონალური მონაცემები პერსონალური მონაცემების სუბიექტის თანხმობის გარეშე, თუ ფედერალური კანონით სხვა რამ არ არის გათვალისწინებული;
  • ფოტო, ვიდეო, აუდიო ან სხვა ჩამწერი მოწყობილობა, როგორიცაა კამერები მობილურ მოწყობილობებზე, არ უნდა იყოს დაშვებული, თუ არ არის ავტორიზებული;
  • დისკები მოსახსნელი მედიით უნდა იყოს დაშვებული მხოლოდ იმ შემთხვევაში, თუ არსებობს ამის საჭიროება;
  • კონფიდენციალური ინფორმაციის ხელყოფის უზრუნველსაყოფად, ქაღალდი და ელექტრონული მედია უნდა ინახებოდეს სათანადოდ ჩაკეტილ კარადებში და/ან სხვა უსაფრთხო ავეჯში, როდესაც არ გამოიყენება, განსაკუთრებით არასამუშაო საათებში;
  • მედია, რომელიც შეიცავს მნიშვნელოვან ან სენსიტიურ საკუთრების ინფორმაციას, უნდა განთავსდეს და დაიბლოკოს, როდესაც ეს არ არის საჭირო (მაგალითად, ცეცხლგამძლე სეიფში ან კარადაში), განსაკუთრებით მაშინ, როდესაც ტერიტორია დაუსახლებელია.

5. ქსელის უსაფრთხოება- ეს არის მოთხოვნების ერთობლიობა საწარმოს კომპიუტერული ქსელის ინფრასტრუქტურისა და მასში მუშაობის პოლიტიკისთვის, რომლის განხორციელება უზრუნველყოფს ქსელის რესურსების დაცვას არასანქცირებული წვდომისგან. ქსელის უსაფრთხოების ორგანიზებისა და უზრუნველსაყოფად რეკომენდებული ქმედებების ფარგლებში, ძირითადის გარდა, შეგიძლიათ გაითვალისწინოთ შემდეგი მახასიათებლები:

  • პირველ რიგში, კომპანიამ უნდა განახორციელოს ინფორმაციული უსაფრთხოების ერთიანი რეგულაცია შესაბამისი მითითებებით;
  • მომხმარებლებს შეძლებისდაგვარად უნდა აეკრძალოთ წვდომა არასასურველ საიტებზე, ფაილების ჰოსტინგის სერვისების ჩათვლით;
  • გარე ქსელიდან ღია უნდა იყოს მხოლოდ ის პორტები, რომლებიც აუცილებელია მომხმარებლების სწორი მუშაობისთვის;
  • უნდა არსებობდეს მომხმარებელთა ქმედებების ყოვლისმომცველი მონიტორინგისა და ყველა საჯაროდ ხელმისაწვდომი რესურსის ნორმალური მდგომარეობის დარღვევის დროული შეტყობინების სისტემა, რომლის ფუნქციონირებაც მნიშვნელოვანია კომპანიისთვის;
  • ცენტრალიზებული ანტივირუსული სისტემის ხელმისაწვდომობა და მავნე პროგრამების გაწმენდისა და ამოღების პოლიტიკა;
  • ანტივირუსული პროგრამული უზრუნველყოფის მართვისა და განახლების ცენტრალიზებული სისტემის ხელმისაწვდომობა, ასევე ოპერაციული სისტემის რეგულარული განახლების პოლიტიკა;
  • მოხსნადი ფლეშ მედიის გაშვების შესაძლებლობა მაქსიმალურად უნდა იყოს შეზღუდული;
  • პაროლი უნდა შედგებოდეს მინიმუმ 8 სიმბოლოსგან, შეიცავდეს ციფრებს და დიდ და პატარა ასოებს;
  • უნდა არსებობდეს ძირითადი ინფორმაციის გაცვლის საქაღალდეების დაცვა და დაშიფვრა, კერძოდ, 1c გაცვლის ფაილები და კლიენტ-ბანკის სისტემა;
  • ელექტროენერგიის და საქალაქთაშორისო საკომუნიკაციო ხაზები, რომლებიც შედის ინფორმაციის დამუშავების ობიექტებში, უნდა იყოს მიწისქვეშა, სადაც ეს შესაძლებელია, ან ექვემდებარება ადექვატურ ალტერნატიულ დაცვას;
  • ქსელის კაბელები დაცული უნდა იყოს არასანქცირებული ჩარევისგან ან დაზიანებისგან, მაგალითად, არხის გამოყენებით ან მარშრუტების თავიდან აცილებით საჯაროდ ხელმისაწვდომ ადგილებში.

ყოველივე ზემოთქმულის შეჯამებით, მინდა აღვნიშნო, რომ ინფორმაციის დაცვის ძირითადი წესებია მომხმარებლების უფლებებისა და შესაძლებლობების შეზღუდვა, ასევე მათზე კონტროლი საინფორმაციო სისტემების გამოყენებისას. რაც უფრო ნაკლები უფლებები აქვს მომხმარებელს საინფორმაციო სისტემასთან მუშაობისას, მით ნაკლებია ინფორმაციის გაჟონვის ან დაზიანების შანსი მავნე განზრახვის ან დაუდევრობის გამო.


ყოვლისმომცველი გადაწყვეტა საწარმოს მონაცემების, მათ შორის 1C მონაცემთა ბაზების დასაცავად, არის გადაწყვეტა "სერვერი ისრაელში", რომელიც შეიცავს განახლებულ ინსტრუმენტებს ინფორმაციის კონფიდენციალურობის მაღალი დონის უზრუნველსაყოფად.

Სისტემის ინტეგრაცია. კონსულტაცია

2017 წლის 1 ივლისიდან მნიშვნელოვნად გამკაცრდა პასუხისმგებლობა პირთა პერსონალურ მონაცემებთან ურთიერთობისას დარღვევისთვის. ეს გამომდინარეობს ფედერალური კანონის დებულებებიდან 02/07/2017 No13-FZ). ცვლილებები შეეხება ყველა დამსაქმებელს გამონაკლისის გარეშე, რომლებიც მონაწილეობენ დასაქმებულთა და ინდივიდუალური კონტრაქტორების პერსონალური მონაცემების დამუშავებაში. უფრო მეტიც, შეგვიძლია ვთქვათ, რომ ცვლილებები ეხება თითქმის მთელ ბიზნეს საზოგადოებას, რომელიც ურთიერთქმედებს ინდივიდების პერსონალურ მონაცემებთან (მაგალითად, ვებსაიტების მფლობელები, რომლებიც აგროვებენ ვიზიტორების პერსონალურ მონაცემებს). როგორ მოვემზადოთ ცვლილებებისთვის? გაიზრდება თუ არა ჯარიმები? ვინ გამოავლენს დარღვევებს პერსონალური მონაცემების დამუშავებისას? მოდი გავარკვიოთ.

პერსონალური მონაცემები: სპეციალური ინფორმაცია

დასაქმებულთა პერსონალური მონაცემები არის ნებისმიერი ინფორმაცია, რომელიც აუცილებელია დამსაქმებლისთვის შრომით ურთიერთობებთან დაკავშირებით და ეხება კონკრეტულ თანამშრომელს (2006 წლის 27 ივლისის ფედერალური კანონის No152-FZ „პერსონალური მონაცემების შესახებ“ 1-ლი მუხლი, მუხლი 3).

დამსაქმებლისთვის (ორგანიზაცია ან ინდივიდუალური მეწარმე) დასაქმებულთა პერსონალური მონაცემები ყველაზე ხშირად აჯამდება მათ პირად ბარათებსა და პირად ფაილებში. ამავდროულად, ადამიანური რესურსების თითქმის ყველა მენეჯერმა ან HR სპეციალისტმა იცის, რომ პერსონალური მონაცემების მიღება შესაძლებელია მხოლოდ თანამშრომლებისგან პირადად. თუ პირადი ინფორმაციის მიღება შესაძლებელია მხოლოდ მესამე მხარისგან, მაშინ რუსეთის კანონმდებლობა ავალდებულებს აცნობოს თანამშრომელს ამის შესახებ და მიიღოს მისგან წერილობითი თანხმობა (რუსეთის ფედერაციის შრომის კოდექსის 86-ე მუხლის 1 ნაწილის 3 პუნქტი).

დამსაქმებლებს არ აქვთ უფლება მიიღონ და დაამუშავონ პერსონალური მონაცემები, რომლებიც უშუალოდ არ არის დაკავშირებული პირის სამუშაო საქმიანობასთან. ანუ შეუძლებელია ინფორმაციის შეგროვება, მაგალითად, თანამშრომლების რელიგიის შესახებ. ყოველივე ამის შემდეგ, ასეთი ინფორმაცია წარმოადგენს პირად ან ოჯახურ საიდუმლოებას და არანაირად არ შეიძლება იყოს დაკავშირებული სამუშაო მოვალეობის შესრულებასთან (რუსეთის ფედერაციის შრომის კოდექსის 86-ე მუხლის 1-ლი ნაწილის 4 პუნქტი).

პერსონალური მონაცემების მიღების შემდეგ, დამსაქმებელი, კანონიერი მოთხოვნების შესაბამისად, ვალდებულია არ გაავრცელოს ისინი ან არ გაუმჟღავნოს მესამე პირებს დასაქმებულის თანხმობის გარეშე (2006 წლის 27 ივლისის ფედერალური კანონის No152-FZ მე-7 მუხლი).

პერსონალური მონაცემები შეიძლება გავიგოთ, როგორც ნებისმიერი ინფორმაცია, რომელიც პირდაპირ ან ირიბად არის დაკავშირებული კონკრეტულ ინდივიდთან (პერსონალური მონაცემების საგანი) - 2006 წლის 27 ივლისის No152-FZ ფედერალური კანონის მე-3 მუხლის 1 პუნქტი. ასეთი ინფორმაციის მაგალითები შეიძლება იყოს გვარი, სახელი, პატრონიმი, დაბადების თარიღი და ადგილი, საცხოვრებელი ადგილი და ა.შ.

როგორ არის დამსაქმებელი ვალდებული დაიცვას პერსონალური მონაცემები

პერსონალურ მონაცემებზე წვდომის დაცვისა და შეზღუდვის მიზნით, დამსაქმებელმა უნდა უზრუნველყოს მათი დაცვის მაღალი ხარისხის და თანამედროვე სისტემა. ზუსტად როგორ უნდა გავაკეთოთ ეს? თითოეული დამსაქმებელი დამოუკიდებლად წყვეტს ამ საკითხს. ამავდროულად, პერსონალური მონაცემების მიღების, დამუშავების, გადაცემის და შენახვის პროცედურა უნდა იყოს გათვალისწინებული ორგანიზაციის ადგილობრივ აქტში, მაგალითად, დებულებაში დასაქმებულთა პერსონალური მონაცემების დამუშავების შესახებ (შრომის კოდექსის 8, 87-ე მუხლი). რუსეთის ფედერაციის 2006 წლის 27 ივლისის No152-FZ ფედერალური კანონის მე-2 პუნქტის 1-ლი ნაწილის 18.1 მუხლი).

ასევე, დამსაქმებელმა ოფიციალურად უნდა დანიშნოს თანამშრომელი, რომელიც პასუხისმგებელია პერსონალურ მონაცემებთან მუშაობაზე (რუსეთის ფედერაციის შრომის კოდექსის 88-ე მუხლის მე-5 ნაწილი). ეს შეიძლება იყოს, მაგალითად, HR დეპარტამენტის თანამშრომელი, რომელიც ურთიერთობს პირად ფაილებთან, იღებს თანამშრომლის თანხმობას დამუშავებაზე, ინახავს თანამშრომლის ბარათებს და ა.შ.

დამსაქმებლის ინსპექტირება პერსონალური მონაცემების დამუშავებასთან დაკავშირებით ხორციელდება როსკომნადზორის დეპარტამენტების მიერ. რუსეთის ტელეკომის და მასობრივი კომუნიკაციების სამინისტროს 2011 წლის 14 ნოემბრის №312 ბრძანებით დამტკიცდა ადმინისტრაციული დებულება Roskomnadzor-ის მიერ სახელმწიფო კონტროლის (ზედამხედველობის) განხორციელების ფუნქციების შესასრულებლად.

რა პასუხისმგებლობა ეკისრებათ დამსაქმებლებს

დასაქმებულთა პერსონალური მონაცემების მიღების, დამუშავების, შენახვისა და დაცვის პროცედურის დარღვევისთვის გათვალისწინებულია დისციპლინური, მატერიალური, ადმინისტრაციული და სისხლის სამართლის პასუხისმგებლობა (რუსეთის ფედერაციის შრომის კოდექსის 90-ე მუხლი, ნაწილი 1, ფედერალური კანონის 24-ე მუხლი. 2006 წლის 27 ივლისი No152-FZ). მოდით შევხედოთ თითოეულ ამ ტიპის პასუხისმგებლობას.

დისციპლინური პასუხისმგებლობა

თანამშრომლები, რომლებიც შრომითი ურთიერთობის გამო ვალდებულნი არიან დაიცვან პერსონალურ მონაცემებთან მუშაობის წესები, მაგრამ დაარღვიეს ისინი (რუსეთის ფედერაციის შრომის კოდექსის 192-ე მუხლი), შეიძლება პასუხისმგებელი იყოს პერსონალურ მონაცემებთან მუშაობისას დარღვევისთვის. ანუ თქვენ შეგიძლიათ პასუხისმგებლობა დაეკისროთ, მაგალითად, HR მენეჯერს, რომელსაც დაევალა შესაბამისი სამუშაო. პერსონალური მონაცემების შეგროვების, დამუშავებისა და შენახვის დისციპლინური გადაცდომისთვის, დამსაქმებელს შეუძლია დაისაჯოს თავისი თანამშრომელი მასზე ერთ-ერთი შემდეგი სახდელის გამოყენებით (რუსეთის ფედერაციის შრომის კოდექსის 192-ე მუხლის 1-ლი ნაწილი):

  • კომენტარი;
  • გაკიცხვა;
  • სამსახურიდან გათავისუფლება.

მატერიალური პასუხისმგებლობა

დასაქმებულის ფინანსური პასუხისმგებლობა შეიძლება წარმოიშვას, თუ ორგანიზაციის პერსონალურ მონაცემებთან მუშაობის წესების დარღვევასთან დაკავშირებით, გამოწვეულია პირდაპირი ფაქტობრივი ზიანი (რუსეთის ფედერაციის შრომის კოდექსის 238-ე მუხლი). დავუშვათ, რომ HR დეპარტამენტის პასუხისმგებელმა თანამშრომელმა ჩაიდინა უხეში დარღვევა - მან თანამშრომლების პერსონალური მონაცემები ინტერნეტში გაავრცელა. მუშებმა, რომ შეიტყვეს ამის შესახებ, შეიტანეს სარჩელი დამსაქმებლის წინააღმდეგ, რომელმაც დაადგინა: ”დაშავებული მუშაკებისთვის ფულადი კომპენსაციის გადახდა - თითოეული 50,000 რუბლი”. ასეთ ვითარებაში, დამსაქმებელს აქვს შესაძლებლობა დააკისროს შეზღუდული ფინანსური პასუხისმგებლობა დამნაშავე HR დეპარტამენტის თანამშრომელს მისი საშუალო თვიური შემოსავლის ფარგლებში (რუსეთის ფედერაციის შრომის კოდექსის 241-ე მუხლი). მიყენებული ზიანის აღდგენა შეიძლება განხორციელდეს მენეჯერის ბრძანებით დასაქმებულის მიერ მიყენებული ზიანის ოდენობის საბოლოო დადგენის დღიდან არაუგვიანეს ერთი თვისა. თუ ვადა ამოიწურა, მაშინ ზიანის ანაზღაურება სასამართლოს მეშვეობით უნდა მოხდეს. ეს პროცედურა გათვალისწინებულია რუსეთის ფედერაციის შრომის კოდექსის 248-ე მუხლით.

ასევე წაიკითხეთ დასვენების დრო ზეგანაკვეთური სამუშაოსთვის

სრული ფინანსური პასუხისმგებლობით, დასაქმებულს მოუწევს სრულად აანაზღაუროს ორგანიზაციას პერსონალური მონაცემების სფეროში დარღვევებთან დაკავშირებით მიყენებული ზიანის მთელი ოდენობა (რუსეთის ფედერაციის შრომის კოდექსის 242 და 243 მუხლები). თუმცა, როგორც წესი, პერსონალური მონაცემების დამუშავებაზე პასუხისმგებელ თანამშრომლებს სრული ფინანსური პასუხისმგებლობა არ ეკისრებათ.

დამსაქმებელი (მაგალითად, კომერციული ორგანიზაცია) იყენებს დისციპლინურ და ფინანსურ პასუხისმგებლობას მხოლოდ მისი შეხედულებისამებრ. სახელმწიფო მარეგულირებელი ორგანოები (როსკომნადზორის ჩათვლით) არ მონაწილეობენ ამ პროცესში.

ადმინისტრაციული პასუხისმგებლობა

დამსაქმებლისა და თანამდებობის პირების პერსონალური მონაცემების შეგროვების, შენახვის, გამოყენების ან გავრცელების პროცედურის დარღვევისთვის მარეგულირებელ ორგანოებს შეუძლიათ დააკისრონ ადმინისტრაციული პასუხისმგებლობა ჯარიმების სახით, რაც შეიძლება შეადგენდეს:

  • თანამდებობის პირებისთვის (მაგალითად, გენერალური დირექტორი, მთავარი ბუღალტერი, პერსონალის ოფიცერი ან ინდივიდუალური მეწარმე): 500-დან 1000 რუბლამდე;
  • ორგანიზაციისთვის: 5000-დან 10000 რუბლამდე.

ცალკე (დამოუკიდებელი) ჯარიმა თანამდებობის პირებისთვის სამსახურებრივი ან პროფესიული მოვალეობების შესრულებასთან დაკავშირებით პერსონალური მონაცემების გამჟღავნებისთვის 4000-დან 5000 რუბლამდე მერყეობს. ასეთი ჯარიმები აღწერილია რუსეთის ფედერაციის ადმინისტრაციულ სამართალდარღვევათა კოდექსის 13.11 და 13.14 მუხლებში.

სისხლის სამართლის პასუხისმგებლობა

დირექტორს, მთავარ ბუღალტერს ან კომპანიის ადამიანური რესურსების დეპარტამენტის უფროსს ან სხვა პირს, რომელიც პასუხისმგებელია პერსონალურ მონაცემებთან მუშაობაზე, შეიძლება წარმოიშვას უკანონო ქმედებებისთვის:

  • თანამშრომლის პირადი ან ოჯახური საიდუმლოს შემადგენელი ინფორმაციის შეგროვება ან გავრცელება მისი თანხმობის გარეშე;
  • თანამშრომლის შესახებ ინფორმაციის გავრცელება საჯარო გამოსვლაში, საჯაროდ გამოფენილ ნამუშევარში ან მედიაში.

პერსონალური მონაცემების დამუშავებასთან დაკავშირებული ასეთი დარღვევებისთვის დასაშვებია შემდეგი სისხლისსამართლებრივი სასჯელი:

  • ჯარიმა 200000 რუბლამდე (ან მსჯავრდებულის შემოსავლის ოდენობით 18 თვემდე ვადით);
  • სავალდებულო სამუშაო 360 საათამდე;
  • მაკორექტირებელი შრომა ერთ წლამდე;
  • იძულებითი შრომა ორ წლამდე ვადით გარკვეული თანამდებობის დაკავების ან გარკვეული საქმიანობით სამ წლამდე უფლების ჩამორთმევით ან მის გარეშე;
  • დაპატიმრება ოთხ თვემდე;
  • თავისუფლების აღკვეთა ორ წლამდე ვადით სამ წლამდე გარკვეული თანამდებობის დაკავების ან გარკვეული საქმიანობით დაკავების უფლების ჩამორთმევით.

უფრო მკაცრად ისჯება იგივე ქმედებები, რომლებიც ჩადენილია პირის მიერ სამსახურებრივი მდგომარეობის გამოყენებით:

  • ჯარიმა 100 000-დან 300 000 რუბლამდე. (ან მსჯავრდებულის შემოსავლის ოდენობით ერთიდან ორ წლამდე);
  • გარკვეული თანამდებობის დაკავების ან გარკვეული საქმიანობით დაკავებულის უფლების ჩამორთმევა ორიდან ხუთ წლამდე;
  • იძულებითი შრომა ოთხ წლამდე ვადით გარკვეული თანამდებობების დაკავების ან გარკვეული საქმიანობით ხუთ წლამდე უფლების ჩამორთმევით ან მის გარეშე;
  • დაპატიმრება ოთხიდან ექვს თვემდე ვადით;
  • თავისუფლების აღკვეთა ოთხ წლამდე ვადით, გარკვეული თანამდებობების დაკავების ან გარკვეული საქმიანობის უფლების ჩამორთმევით ხუთ წლამდე ვადით (რუსეთის ფედერაციის სისხლის სამართლის კოდექსის 137-ე მუხლი).

რა შეიცვლება 2017 წლის 1 ივლისიდან

ფედერალური კანონი 07.02. 2017 No13-FZ გააფართოვა დამსაქმებლის ადმინისტრაციულ პასუხისმგებლობაზე პერსონალური მონაცემების დაცვის სფეროში მიყვანის საფუძვლების ჩამონათვალი და ასევე გაზარდა ადმინისტრაციული ჯარიმების ოდენობა. ეს კანონი ამოქმედდეს 2017 წლის 1 ივლისიდან. დაუყოვნებლივ ვთქვათ, რომ პერსონალური მონაცემების სფეროში ადმინისტრაციული პასუხისმგებლობა საგრძნობლად გამკაცრდა. ამავდროულად, მნიშვნელოვანია შემდეგი: რუსეთის ფედერაციის ადმინისტრაციულ სამართალდარღვევათა კოდექსის 13.11 მუხლში აღწერილი ადმინისტრაციული პასუხისმგებლობის ერთადერთი ტიპის ნაცვლად, გამოჩნდება შვიდი. ამრიგად, დამსაქმებლების მიერ პერსონალური მონაცემების სფეროში სხვადასხვა დარღვევისთვის შეიძლება დაწესდეს სხვადასხვა ჯარიმა. თუ გამოვლინდა რამდენიმე დარღვევა სხვადასხვა სამართალდარღვევისთვის, მაშინ შესაძლოა ჯარიმების რაოდენობაც შესაბამისად გაიზარდოს. მოდით ავხსნათ ახალი დანაშაულებები უფრო დეტალურად.

დარღვევა 1: პერსონალური მონაცემების დამუშავება „სხვა“ მიზნებისთვის

2017 წლის 1 ივლისიდან პერსონალური მონაცემების დამუშავება კანონით გაუთვალისწინებელ შემთხვევებში ან პერსონალური მონაცემების შეგროვების მიზნებთან შეუთავსებელი დამუშავება ადმინისტრაციული სამართალდარღვევის დამოუკიდებელი სახეა (ადმინისტრაციული კოდექსის 13.11 მუხლის 1-ლი ნაწილი). რუსეთის ფედერაციის დანაშაულებები). მოვიყვანოთ მაგალითი: დამქირავებელი ორგანიზაცია აგროვებს თანამშრომლების პერსონალურ მონაცემებს და გადასცემს ამ მონაცემებს მესამე მხარის კომპანიებს სარეკლამო მიზნებისთვის (სრული სახელი, ტელეფონის ნომრები, საცხოვრებელი რაიონი, შემოსავლის დონე გადადის). შემდეგ სარეკლამო ფირმები იწყებენ სხვადასხვა სპამის და სარეკლამო შეთავაზებების გაგზავნას თანამშრომლებისთვის ტელეფონით, ელექტრონული ფოსტით და სახლის მისამართებით. თუ დამსაქმებლის ასეთი ქმედებები არ გამოავლენს სისხლის სამართლის დანაშაულს, მაშინ შეიძლება გამოყენებულ იქნას ადმინისტრაციული პასუხისმგებლობა. 2017 წლის 1 ივლისიდან ადმინისტრაციული სახდელი შეიძლება იყოს შემდეგი:

  • ან გაფრთხილება;
  • ან ჯარიმები.

დარღვევა 2: პერსონალური მონაცემების დამუშავება თანხმობის გარეშე

დამსაქმებლის მიერ პერსონალური მონაცემების დამუშავება, როგორც წესი, შესაძლებელია მხოლოდ დასაქმებულთა წერილობითი თანხმობით. ასეთი თანხმობა უნდა შეიცავდეს შემდეგ ინფორმაციას (2006 წლის 27 ივლისის კანონის No152-FZ მე-9 მუხლის მე-4 ნაწილი):

  • სრული სახელი, დასაქმებულის მისამართი, პასპორტის მონაცემები (მისი ვინაობის დამადასტურებელი სხვა დოკუმენტი), მათ შორის ინფორმაცია დოკუმენტის გაცემის თარიღისა და გამცემ ორგანოს შესახებ;
  • დამსაქმებლის (ოპერატორის) სახელი ან სრული სახელი და მისამართი, რომელიც იღებს თანამშრომლის თანხმობას;
  • პერსონალური მონაცემების დამუშავების მიზანი;
  • პერსონალური მონაცემების სია, რომელთა დამუშავებაზე თანხმობაა მოცემული;
  • დამსაქმებლის სახელით პერსონალური მონაცემების დამამუშავებელი პირის სახელი ან სრული სახელი და მისამართი, თუ დამუშავება დაევალება ასეთ პირს;
  • პერსონალური მონაცემებით ქმედებების ჩამონათვალი, რომლებზეც თანხმობაა მიცემული, დამსაქმებლის მიერ პერსონალური მონაცემების დამუშავებისთვის გამოყენებული მეთოდების ზოგადი აღწერა;
  • პერიოდი, რომლის განმავლობაშიც მოქმედებს თანამშრომლის თანხმობა, აგრეთვე მისი მოხსნის მეთოდი, თუ ფედერალური კანონით სხვა რამ არ არის დადგენილი;
  • თანამშრომლის ხელმოწერა.

2017 წლის 1 ივლისიდან პერსონალური მონაცემების დამუშავება თანამშრომლის წერილობითი თანხმობის გარეშე, ან თუ წერილობითი თანხმობა არ შეიცავს ზემოთ მითითებულ ინფორმაციას, წარმოადგენს ადმინისტრაციულ სამართალდარღვევათა კოდექსის 13.11 მუხლის მე-2 ნაწილით გათვალისწინებულ დამოუკიდებელ ადმინისტრაციულ სამართალდარღვევას. რუსეთის ფედერაცია. ამისთვის შესაძლებელია ჯარიმები:

დარღვევა 3: წვდომა პერსონალური მონაცემების დამუშავების პოლიტიკაზე

პერსონალური მონაცემების ოპერატორი (მაგალითად, დამსაქმებელი ან ვებგვერდი) ვალდებულია გამოაქვეყნოს ან სხვაგვარად უზრუნველყოს შეუზღუდავი წვდომა პერსონალური მონაცემების დამუშავების პოლიტიკის განმსაზღვრელ დოკუმენტზე, ინფორმაციაზე პერსონალური მონაცემების დაცვის განხორციელებული მოთხოვნების შესახებ. ოპერატორი, რომელიც აგროვებს პერსონალურ მონაცემებს ინტერნეტში (მაგალითად, ვებსაიტის საშუალებით) ვალდებულია გამოაქვეყნოს ინტერნეტში დოკუმენტი, რომელიც განსაზღვრავს მის პოლიტიკას პერსონალური მონაცემების დამუშავებასთან დაკავშირებით და ინფორმაცია პერსონალური მონაცემების დაცვის განხორციელებული მოთხოვნების შესახებ, ასევე. უზრუნველყოს მითითებულ დოკუმენტზე წვდომის შესაძლებლობა. ეს გათვალისწინებულია 2006 წლის 27 ივლისის No152-FZ კანონის 18.1 მუხლის მე-2 პუნქტით.

ბევრი ინტერნეტ მომხმარებელი დგას ამ ვალდებულების პრაქტიკაში შესრულების წინაშე. მაგალითად, როდესაც ტოვებთ რომელიმე აპლიკაციას ვებსაიტებზე და მიუთითებთ თქვენს სრულ სახელსა და ელფოსტას, შეგიძლიათ ყურადღება მიაქციოთ მსგავსი დოკუმენტების ბმულს: „პერსონალური მონაცემების დამუშავების პოლიტიკა“, „პერსონალური მონაცემების დამუშავების წესები“ და ა.შ. თუმცა, ღირს იმის აღიარება, რომ ზოგიერთი საიტი უგულებელყოფს ამას და არ იძლევა ბმულებს. და გამოდის, რომ ადამიანი ტოვებს მოთხოვნას საიტზე, არ იცის რა მიზნით აგროვებს საიტი პერსონალურ მონაცემებს.

ზოგიერთი დამსაქმებელი ასევე აჩვენებს ხელმისაწვდომ ვაკანსიებს თავის ვებსაიტებზე და იწვევს კანდიდატებს შეავსონ ფორმა „ჩემ შესახებ“. ასეთ შემთხვევებში ვებსაიტმა ასევე უნდა უზრუნველყოს წვდომა „პერსონალური მონაცემების დამუშავების პოლიტიკაზე“.

2017 წლის 1 ივლისიდან, რუსეთის ფედერაციის ადმინისტრაციულ სამართალდარღვევათა კოდექსის 13.11 მუხლის მე-3 ნაწილმა გამოავლინა დამოუკიდებელი სამართალდარღვევა - ოპერატორის მიერ დოკუმენტის გამოქვეყნების ან შეუზღუდავი წვდომის ვალდებულების შეუსრულებლობა დამუშავების პოლიტიკით. პერსონალურ მონაცემებს ან ინფორმაციას მათი დაცვის შესახებ. პასუხისმგებლობა ამ მუხლით შეიძლება გამოიყურებოდეს გაფრთხილების ან ადმინისტრაციული ჯარიმის სახით:

დარღვევა 4: ინფორმაციის დამალვა

პერსონალური მონაცემების სუბიექტს (ანუ პირს, რომელსაც ეკუთვნის ეს მონაცემები) უფლება აქვს მიიღოს ინფორმაცია მისი პერსონალური მონაცემების დამუშავების შესახებ, მათ შორის (2006 წლის 27 ივლისის კანონის 14-ე მუხლის მე-7 ნაწილი) შემცველი ინფორმაციის შესახებ. 152-FZ):

  1. ოპერატორის მიერ პერსონალური მონაცემების დამუშავების ფაქტის დადასტურება;
  2. პერსონალური მონაცემების დამუშავების სამართლებრივი საფუძველი და მიზნები;
  3. ოპერატორის მიერ გამოყენებული პერსონალური მონაცემების დამუშავების მიზნები და მეთოდები;
  4. ოპერატორის დასახელება და ადგილმდებარეობა, ინფორმაცია იმ პირების შესახებ (გარდა ოპერატორის თანამშრომლებისა), რომლებსაც აქვთ წვდომა პერსონალურ მონაცემებზე ან რომელთაც პერსონალური მონაცემები შეიძლება გამჟღავნდეს ოპერატორთან შეთანხმების საფუძველზე ან ფედერალური კანონის საფუძველზე;
  5. დამუშავებული პერსონალური მონაცემები, რომლებიც დაკავშირებულია პერსონალური მონაცემების შესაბამის საგანთან, მათი მიღების წყაროსთან, თუ ასეთი მონაცემების წარდგენის განსხვავებული პროცედურა არ არის გათვალისწინებული ფედერალური კანონით;
  6. პერსონალური მონაცემების დამუშავების პირობები, მათი შენახვის პერიოდების ჩათვლით;
  7. პერსონალური მონაცემების სუბიექტის მიერ ამ ფედერალური კანონით გათვალისწინებული უფლებების განხორციელების წესი;
  8. ინფორმაცია დასრულებული ან დაგეგმილი ტრანსსასაზღვრო მონაცემთა გადაცემის შესახებ;
  9. ოპერატორის სახელით პერსონალური მონაცემების დამამუშავებელი პირის სახელი ან გვარი, სახელი, პატრონიმი და მისამართი, თუ დამუშავება დაევალა ან დაეკისრება ასეთ პირს;
  10. ფედერალური კანონით ან სხვა ფედერალური კანონებით გათვალისწინებული სხვა ინფორმაცია.

დღეს ჩვენ შეგვიძლია დავაკვირდეთ პერსონალური მონაცემების დაცვის პრობლემას: ის ექვემდებარება ინფორმაციის დამუშავებისა და გადაცემის ყველა სახის ტექნიკური საშუალების შეღწევას. განსაკუთრებით დაზარალდნენ კერძო და საჯარო ორგანიზაციები, რომლებიც იყენებენ ფინანსურ და პერსონალის აღრიცხვის სისტემებს. ფედერალური კანონი No152-FZ იცავს უფლებებს და არეგულირებს პერსონალური მონაცემების დამუშავებასთან დაკავშირებულ ურთიერთობებს, რომელსაც ახორციელებენ პერსონალური მონაცემების ოპერატორები, ავტომატიზაციის ან მის გარეშე. ამ კანონის მიხედვით, პერსონალური მონაცემები შეიძლება იყოს ნებისმიერი ინფორმაცია, რომელიც ეხება კონკრეტულ პირს. ამ მონაცემებში შეიძლება მიუთითებდეს პირის სრული სახელი, დაბადების თარიღი, საცხოვრებელი მისამართი, ოჯახური და სოციალური ქონებრივი მდგომარეობა, რა განათლება აქვს, რა სპეციალობაში მუშაობს და რა შემოსავალი აქვს.

რა პრობლემები შეიძლება შეგხვდეთ?

ჩვენი ქვეყანა გთავაზობთ ბუღალტრული აღრიცხვისა და პერსონალის ჩანაწერების, გაყიდვების და CRM პროცესების ყველაზე პოპულარულ სისტემებს. ეს მოიცავს 1C კომპანიის შემდეგ პროდუქტებს:

  • "1C: საწარმო";
  • "1c ბუღალტერია";
  • "1C: ხელფასი და პერსონალის მართვა";
  • „1C: საბიუჯეტო დაწესებულების ხელფასები და პერსონალი“ და მრავალი სხვა მსგავსი პროგრამა.

ფაილების მონაცემთა ბაზები ხელმისაწვდომია ყველა მომხმარებლისთვის, ამიტომ არსებობს ინფორმაციის კოპირების შესაძლებლობა, რაც თავის მხრივ ორგანიზაციას არღვევს ფედერალური კანონი No152-FZ. ამიტომ აუცილებელია პერსონალური მონაცემების დაცვა 1C-ში უსიამოვნო გლობალური შედეგების თავიდან ასაცილებლად.

ბევრი კომპანია მიმართავს სპეციალურ მონაცემთა ბაზას, რომელიც ინახება SQL სერვერზე. მნიშვნელოვანია გვესმოდეს, რომ ამ შემთხვევაში არსებობს საფრთხე: პერსონალური მონაცემების კოპირება გრძელდება გარე მეხსიერების მედიაში, შემდგომში გადატანით მობილურ ტელეფონებზე, მეხსიერების ბარათებზე და ღრუბლოვან საცავში. ასევე შეინიშნება, რომ მოპარული ინფორმაცია იგზავნება ელექტრონული ფოსტით, სკაიპით და ტელეგრამით.

თავდამსხმელების უმეტესობა იღებს კომპიუტერის ეკრანის ეკრანის სურათებს და გადასცემს მონაცემებს 1C-დან მესამე მხარის ფაილზე ბუფერული პროგრამის გამოყენებით. ეს მეთოდი ითვლება ყველაზე გავრცელებულად და ძალიან ხშირად კომპანია განიცდიდა ამ ტიპის პერსონალური მონაცემების ქურდობას.

როგორ დავიცვათ თქვენი კომპანია კონფიდენციალური მონაცემების ქურდობისაგან?

არსებობს თანამედროვე სისტემა, რომელიც იცავს გაჟონვისგან 1C. DeviceLock DLP არის ეფექტური გზა კონკრეტული მომხმარებლის ინფორმაციის კოპირების თავიდან ასაცილებლად. პროგრამა ასევე ამოიცნობს ბუფერის ფუნქციონირებას. სისტემის პარამეტრები მოქნილია, ასე რომ თქვენ შეგიძლიათ ინდივიდუალურად აირჩიოთ პროგრამები და დაბლოკოთ ისინი.

DeviceLock DLP-ს შეუძლია ამოიცნოს და შერჩევით დაბლოკოს ეკრანის ანაბეჭდები, რომლებიც ხელს უშლის კონკრეტული მომხმარებლების ან სხვადასხვა აპლიკაციების მოქმედებებს. პროგრამა შერჩევით საშუალებას აძლევს და უარყოფს წვდომას გარკვეულ ფაილებზე. კომპანიის პასუხისმგებელი პირი იღებს შეტყობინებას ინფორმაციის გარე მოწყობილობებზე კოპირების ან ქსელში გაგზავნის მცდელობის შესახებ. ისარგებლეთ ამ უნიკალური შეთავაზებით უსიამოვნო შედეგების აღმოსაფხვრელად.

მსგავსი ამბები ვერ მოიძებნა.

პერსონალური მონაცემების არასანქცირებული წვდომისგან დასაცავად, შეიქმნა სპეციალური პროგრამული პაკეტი 1C: Enterprise 8.3z (ZPK). უსაფრთხო კომპლექსის გამოყენება შესაძლებელია სამთავრობო ინფორმაციულ სისტემებში უსაფრთხოების 1 კლასის ჩათვლით და საინფორმაციო სისტემებში პერსონალური მონაცემების უსაფრთხოების 1 დონის ჩათვლით.

უსაფრთხო პროგრამული პაკეტი 1C: Enterprise 8.3z შეიძლება გამოყენებულ იქნას პერსონალური მონაცემების უსაფრთხოების ორგანიზებისთვის ორგანიზაციული და ტექნიკური ზომების შემადგენლობისა და შინაარსის შესაბამისად, რათა უზრუნველყოს პერსონალური მონაცემების უსაფრთხოება მათი დამუშავების დროს პერსონალური მონაცემების საინფორმაციო სისტემებში, დამტკიცებული ბრძანებით. რუსეთის FSTEC-ის 2013 წლის 18 თებერვლის N 21, უსაფრთხოების ყველა დონის პერსონალური მონაცემების საინფორმაციო სისტემებში.

კომპლექსი 1C: Enterprise 8.3z შეიძლება გამოყენებულ იქნას:

  • ორგანიზაციებში, რომლებიც არიან პერსონალური მონაცემების ოპერატორები და დამოუკიდებლად ამუშავებენ პერსონალურ მონაცემებს
  • ორგანიზაციებში, რომლებიც უზრუნველყოფენ მომსახურებას რამდენიმე ოპერატორის ISPD-ის შესანარჩუნებლად. ZPK 1C: Enterprise, ვერსია 8.3z

მისი გამოყენება შესაძლებელია როგორც ერთი იურიდიული პირის ან მეწარმის ინფორმაციის დამუშავებისას, ასევე კომპანიების ჯგუფისთვის (ჰოლდინგისთვის).

* პროგრამული პაკეტი შეძენილია არსებული კონფიგურაციებისთვის 1C და 1C: საწარმოს ლიცენზიები.

1C-ის აღწერა: Enterprise 8.3z

კომპლექსი 1C: Enterprise 8.3z სერტიფიცირებულია ინფორმაციული უსაფრთხოების სერტიფიცირების სისტემაში ინფორმაციული უსაფრთხოების მოთხოვნების შესაბამისად N ROSS RU.0001.01BI00 და აქვს შესაბამისობის სერტიფიკატი N 3442 (გამოცემულია რუსეთის FSTEC-ის მიერ 2015 წლის 2 სექტემბერს).
სერტიფიკატის მიხედვით, პროგრამა აკმაყოფილებს სახელმძღვანელო დოკუმენტის მოთხოვნებს „ინფორმაციაზე არასანქცირებული წვდომისგან დაცვა. ნაწილი 1. ინფორმაციული უსაფრთხოების პროგრამული უზრუნველყოფა. კლასიფიკაცია არადეკლარირებული შესაძლებლობების კონტროლის დონის მიხედვით“ (რუსეთის სახელმწიფო ტექნიკური კომისია, 1999 წ.) - კონტროლის მე-4 დონის მიხედვით, სახელმძღვანელო დოკუმენტი „კომპიუტერული საშუალებები. დაცვა ინფორმაციაზე არაავტორიზებული წვდომისგან. უსაფრთხოების ინდიკატორები ინფორმაციაზე არასანქცირებული წვდომისგან" (რუსეთის სახელმწიფო ტექნიკური კომისია, 1992 წ.) - უსაფრთხოების კლასის 5-ის მიხედვით, პროდუქტთან მოყვანილი ფორმის მე-12 ნაწილში მოცემული საოპერაციო ინსტრუქციის შესაბამისად.


პლატფორმის დამოწმებული ასლები მონიშნულია შესაბამისობის ნიშნებით N K 605432-დან K 615431-მდე.

1C: Enterprise 8.3z-თან გამოყენებული კონფიგურაციების შემუშავება უნდა განხორციელდეს დოკუმენტის მე-4 ნაწილში მითითებული მოთხოვნების შესაბამისად „უსაფრთხო პროგრამული პაკეტი 1C: Enterprise, ვერსია 8.3z. დეველოპერის სახელმძღვანელო" და მათ არ უნდა განახორციელონ უსაფრთხოების ფუნქციები და გავლენა მოახდინონ 1C: Enterprise 8.3z-ის უსაფრთხოების ფუნქციების განხორციელებაზე. თუ ეს პირობები დაკმაყოფილებულია, კონფიგურაციების სერტიფიცირება სერტიფიცირების სისტემაში N ROSS RU.0001.01BI00 „ინფორმაციული უსაფრთხოების ინსტრუმენტების სერტიფიცირების შესახებ დებულების ინფორმაციული უსაფრთხოების მოთხოვნების შესაბამისად“ შესაბამისად არ არის საჭირო.

ზემოაღნიშნული მოთხოვნები დაკმაყოფილებულია 1C კომპანიის ყველა სტანდარტული კონფიგურაციისთვის.

1C-სთვის არსებობს ორი ოპერაციული რეჟიმი: Enterprise 8.3z: ფაილის ვერსია და კლიენტ-სერვერის ვერსია.

დაცული პროგრამული პაკეტის განახლების პროცედურა

სერთიფიცირებული განახლებები პერიოდულად გამოდის ZPK-სთვის. მათი მისაღებად, თქვენ უნდა გამოიწეროთ განახლებები:

1C პაკეტი: Enterprise 8.3z

მიწოდების ნაკრები ZPK 1C: Enterprise, ვერსია 8.3z მოიცავს:

  • DVD სერტიფიცირებული პლატფორმის სადისტრიბუციო ნაკრებით და მომხმარებლის, ადმინისტრატორისა და დეველოპერის სახელმძღვანელოებით;
  • ფორმა საკონტროლო ჯამით და რუსეთის FSTEC-თან შესაბამისობის ნიშანი ჰოლოგრაფიული სტიკერის სახით;
  • დაცული პროდუქტის საინფორმაციო ბარათი;
  • სპეციფიკაცია;
  • FSTEC სერთიფიკატის ასლი;
  • დაცვის გასაღებები არ შედის ZPK 1C-ის მიწოდებაში: Enterprise, ვერსია 8.3z!

DVD პროდუქტის უსაფრთხო პროგრამული პაკეტი 1C: Enterprise 8.3z (x86-64) შეიცავს:

კოდი სახელი რეკომენდირებულია საცალო ფასი, რუბლი.
4601546119070
 უსაფრთხო პროგრამული პაკეტი "1C: Enterprise 8.3z" (x86-32)
18 000*
იყიდე
4601546119087
 უსაფრთხო პროგრამული პაკეტი „1C: Enterprise 8.3z“ (x86-64)
54 000*
იყიდე
დამატებითი ადგილების ლიცენზია
4601546080875 1C: საწარმო 8. კლიენტის ლიცენზია 1 სამუშაო სადგურისთვის 6 300 იყიდე
4601546080882 1C: Enterprise 8. კლიენტის ლიცენზია 5 სამუშაო სადგურისთვის 21 600 იყიდე
4601546080899 1C: Enterprise 8. კლიენტის ლიცენზია 10 სამუშაო სადგურისთვის 41 400 იყიდე
4601546080905 1C: Enterprise 8. კლიენტის ლიცენზია 20 სამუშაო სადგურისთვის 78 000 იყიდე
4601546080912 1C: Enterprise 8. კლიენტის ლიცენზია 50 სამუშაო სადგურისთვის 187 200 იყიდე
4601546080929 1C: Enterprise 8. კლიენტის ლიცენზია 100 სამუშაო სადგურისთვის 360 000 იყიდე
4601546080936 1C: Enterprise 8. კლიენტის ლიცენზია 300 სამუშაო სადგურისთვის 1 068 000 იყიდე
4601546080943 1C: Enterprise 8. კლიენტის ლიცენზია 500 სამუშაო სადგურისთვის 1 776 000 იყიდე

სიახლე საიტზე

>

Ყველაზე პოპულარული

© 2024. პროგრამები. აქსესუარები. კომპიუტერები. Საოფისე ტექნიკა. ქსელის აპარატურა.

პოპულარული სექციები