Вступил в силу федеральный закон № 152 «О персональных данных», по требованию которого все операторы персональных данных обязаны выполнить ряд требований по защите и хранению персональных данных.
Мы оказываем услуги по размещению информационных систем на 1С по обработке персональных данных, согласно 152-ФЗ. Какие есть решения у 1С по защите персональных данных (ИСПДн) ?
Фирмой “1С” получен сертификат соответствия №2137, выданный ФСТЭК России, который подтверждает, что защищенный программный комплекс (ЗПК) “1С:Предприятие, версия 8.2z” признан программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведения, составляющие государственную тайну.
По результатам сертификации подтверждено соответствие требованиям руководящих документов по защите от НСД -5 класса, по уровню контроля отсутствия недекларированных возможностей (НДВ) по 4 уровню контроля, подтверждена возможность использования для создания автоматизированных систем (АС) до класса защищенности 1Г (т.е. АС, обеспечивающих защиту конфиденциальной информации в ЛВС) включительно, а также для защиты информации в информационных системах персональных данных (ИСПДн) до класса К1 включительно.
Сертифицированные экземпляры платформы 1С маркированы знаками соответствия с №Г 420000 до №Г 429999.
1CAir предлагает в аренду данные программы. Как начать пользоваться ?
Как создать на 1С систему по обработке персональных данных, согласно 152-ФЗ?
Все конфигурации, разработанные на платформе “1С:Предприятие 8.2″, могут быть использованы при создании информационной системы персональных данных любого класса и дополнительная сертификация прикладных решений не требуется.
Получены дополнительные разъяснения у фирмы “1С”:
1. Непосредственно сам Федеральный закон № 152-ФЗ “О персональных данных” каких либо требований к программному обеспечению не предъявляет (в редакции, действующей сегодня).
2. Требование о необходимости проводить оценку соответствия средств защиты информации содержится в пункте 5 Положения, введенного Постановлением Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
3. Непосредственно требования в части программного обеспечения предусмотрены Приказом ФСТЭК России № 58. В частности требования предусмотрены по подсистемам управления доступом, регистрации и учета и контроля целостности. Данные подсистемы имеют отношения исключительно к технологической платформе, а не конфигурациям.
4. При проведении сертификации изначально предполагалось предусмотреть требования к конфигурациям (технические условия). Однако при завершении сертификации испытательная лаборатория отказалась от предъявления каких-либо требований к конфигурациям.
Таким образом, действующим законодательством сертификация (либо иная оценка соответствия) программных продуктов, не являющихся средствами защиты информации к которым относятся типовые конфигурации, не предусмотрена, какие-либо технические условия к конфигурациям не предусмотрены. Соответственно, с защищенным программным комплексом могут применяться любые конфигурации для этой платформы.
При этом при аттестации объектом выступают не просто программы, а весь комплекс административных регламентов и мероприятий (требования по обеспечению безопасности, модель угроз, акты классификации, план защиты персональных данных и др.) и вся информационная система, используемая в организации.
Оператор обработки персональных данных должен принять решение о присвоении системе персональных данных соответствующего класса.
Несмотря на то, что данные хранятся вне пределов РФ, Федеральный закон №152-ФЗ прямо предусматривает возможность трансграничной передачи данных, а именно ст 12. “Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом …”. Персональные данные хранятся в датацентрах только тех европейских стран, которые подписали данную Конвенцию , согласно письму Министерства связи и массовых коммуникаций РФ «Об осуществлении трансграничной передачи персональных данных».
Согласно ст.12 п.3 закона №152-ФЗ мы убедились, что обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных. Это зафиксировано в нашем договоре с датацентрами, и отражено в Соглашении с клиентом .
В настоящий момент используется типовая платформа “1С:Предприятие, версия 8.2″, с требованиями к защите данных, как указано выше. Поэтому с помощью 1CAir возможно построение систем защиты информации в информационных системах персональных данных (ИСПДн) до класса К2 включительно.
Несмотря на использование 1CAir, оператором обработки Ваших персональных данных остается Ваша организация, а не мы. Вы создаете свою модель безопасности, и в соответствии с этой моделью определяете параметры защиты. По этим техническим параметрам Вы можете у нас выяснить, предоставляем ли мы такой сервис (например, шифрование), и создаете нужную систему с использованием программ в 1CAir.
Информационная безопасность , как и защита информации - задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач.
Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных, особо остро данная проблема стоит в области финансовых учетных систем. Наиболее популярной системой бухгалтерского учета, ведения продаж, CRM процессов в России является система 1С Предприятие.
Рассмотрим потенциальные угрозы безопасности при использовании программы 1С.
|
Использование 1С с базами в файловом формате. Файловые базы 1С являются наиболее уязвимые к физическому воздействию. Связано это с особенностями архитектуры такого типа баз – необходимостью держать открытыми (с полным доступом) все файлы конфигурации и самих файловых баз для всех пользователей операционной системы. В результате, любой пользователь, имеющий право работать в файловой базе 1С, теоретически может скопировать или даже удалить информационную базу 1С двумя кликами мышки. |
|
 |
Использование 1С с базами в СУБД формате.
Данный тип проблем возникает, если в качестве хранилища баз 1С используется СУБД (PosgreSQL, MS SQL), а в качестве промежуточной службы связи 1С и СУБД используется сервер 1С предприятия. Такой пример – во многих компаниях практикуется доработка конфигураций 1С под свои нужды. В процессе доработки, в условиях проектной «суеты», постоянных испытаний нового доработанного функционала – ответственные специалисты зачастую пренебрегают правилами сетевой безопасности.
|
 |
Открытость и доступность серверного оборудования. При наличии несанкционированного доступа к серверному оборудованию сотрудники компании или третьи лица могут использовать этот доступ для кражи или порчи информации. Проще говоря – если злоумышленник получает доступ непосредственно к корпусу и консоли сервера 1с – круг его возможностей расширяется в десятки раз. |
 |
Риски кражи, утечки персональных данных.
Под актуальными угрозами безопасности персональных данных здесь понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, например, ответственными сотрудниками, операторами ПК, бухгалтерией и т.д.
|
 |
Сетевая безопасность. Информационная система предприятия, построенная с нарушением ГОСТ, требований к безопасности, рекомендаций, либо не имеющая надлежащей ИТ-поддержки – изобилует дырами, вирусным и шпионским программным обеспечением, множеством бэкдоров (несанкционированных доступов во внутреннюю сеть), что напрямую влияет на сохранность корпоративных данных в 1С. Это приводит к легкому доступу злоумышленника к коммерчески значимой информации. К примеру, свободный доступ к резервным копиям, отсутствие пароля на архивы с резервными копиями злоумышленник может использовать в корыстных целях. Не говоря уже об элементарном повреждении базы 1С вирусной активностью. |
 |
Взаимосвязь 1С с внешними объектами.
Еще одной потенциальной угрозой является необходимость (а иногда и специальная маркетинговая особенность) учетной базы 1С связываться с «внешним миром». Выгрузки/загрузки клиент-банков, обмен информацией с филиалами, регулярная синхронизация с корпоративными сайтами, порталами, другими программами сдачи отчетности, управления клиентами и продажами и многое другое. Поскольку в данной области 1С не приветствуются соблюдения стандартов безопасности и унифицированности сетевого обмена информации – утечка вполне реальна на любом отрезке пути ее следования.
|
Что можно предложить для решения подобных проблем?
1. При работе с файловыми базами 1С обязательно внедрить ряд мер по обеспечению безопасности баз:
- Используя разграничения доступа NTFS, дать необходимые права только тем пользователям, которые работают с этой базой, тем самым обезопасив базу от кражи или порчи недобросовестными сотрудниками или злоумышленником;
- Всегда использовать авторизацию Windows для входа на рабочие станции пользователей и доступ к сетевым ресурсам;
- Использовать шифрованные диски или шифрованные папки, которые позволят сохранить конфиденциальную информацию даже при выносе базы 1С;
- Установить политику автоматической блокировки экрана, а также провести обучение пользователей для разъяснения необходимости блокировки профиля;
- Разграничение прав доступа на уровне 1С позволит пользователям получать доступ только к той информации, на которую они имеют соответствующие права;
- Необходимо разрешить запуск конфигуратора 1С только тем сотрудникам, которым он необходим.
2. При работе с СУБД базами 1С требуется обратить внимание на следующие рекомендации:
- Учетные данные для подключения к СУБД не должны иметь административных прав;
- Необходимо разграничивать права доступа к базам СУБД, например, создавать для каждой информационной базы свою учетную запись, что позволит минимизировать потерю данных при взломе одной из учетных записей;
- Рекомендуется ограничить физический и удаленный доступ к серверам баз данных и 1С предприятия;
- Рекомендуется использовать шифрование для баз данных, это позволит сохранить конфиденциальные данные, даже если злоумышленник получит физический доступ к файлам СУБД;
- Также одним из важных решений является шифрование либо установка пароля на резервные копии данных;
- Обязательным является создание администраторов кластера 1С, а также сервера 1С, так как по умолчанию если не созданы пользователи, полный доступ к информационным базам абсолютно все пользователи системы.
3. Требования к обеспечению физической безопасности серверного оборудования:
(согласно ГОСТ Р ИСО/МЭК ТО – 13335)
- Доступ к зонам, где обрабатывается или хранится важная информация, должен управляться и быть ограничен только полномочными лицами;
- Cредства управления аутентификацией, например, карточка управления доступом плюс персональный идентификационный номер , должны использоваться, чтобы разрешать и подтверждать любой доступ;
- Контрольный журнал всего доступа должен содержаться в надежном месте;
- Персоналу вспомогательных служб третьей стороны должен быть предоставлен ограниченный доступ в зоны безопасности или к средствам обработки важной информации только тогда, когда требуется;
- этот доступ должен быть разрешен и должен постоянно контролироваться;
- Права доступа в зоны безопасности должны регулярно анализироваться и обновляться, и отменяться, если необходимо;
- Должны быть учтены соответствующие нормы и стандарты по технике безопасности и охране труда;
- Ключевые средства должны быть расположены так, чтобы избежать доступа к ним широкой публики;
- Там, где это применимо, здания и комнаты должны быть скромными и должны давать минимальное указание на их цель, без ярких надписей, снаружи здания или внутри него, указывающих на наличие видов деятельности по обработке информации;
- Указатели и внутренние телефонные книги, указывающие на местоположения средств обработки важной информации, не должны быть легко доступны широкой публике.
4. Конфиденциальность персональных данных.
Основной целью при организации защиты персональных данных является нейтрализация актуальных угроз в информационной системе, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»
, перечнем государственных стандартов и требований международных сертификаций по ИТ-безопасности (ГОСТ Р ИСО/МЭК 13335 2-5, ISO 27001)
. Достигается это путем ограничения доступа к информации по ее типам, разграничение доступа к информации по ролям пользователей, структурирование процесса обработки и хранения информации.
Вот ряд ключевых положений:
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;
- Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным;
- Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- Обработке подлежат только персональные данные, которые отвечают целям их обработки;
- Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- Фотографическое, видео, аудио или другое записывающее оборудование, такое как камеры на мобильных устройствах, не должны допускаться, если только не разрешено;
- Накопители со сменным носителем должны быть разрешены только в том случае, если для этого есть производственная необходимость;
- Чтобы исключить злонамеренные действия в отношении конфиденциальной информации, требуется бумажные и электронные носители информации, когда они не используются, хранить в надлежащих запирающихся шкафах и/или в других защищенных предметах мебели, особенно в нерабочее время;
- Носители с важной или критичной служебной информацией, когда они не требуются, следует убирать и запирать (например, в несгораемом сейфе или шкафу), особенно когда помещение пустует.
5. Сетевая безопасность - это набор требований, предъявляемых к инфраструктуре компьютерной сети предприятии и политикам работы в ней, при выполнении которых обеспечивается защита сетевых ресурсов от несанкционированного доступа. В рамках рекомендуемых действий по организации и обеспечению сетевой безопасности, помимо базовых, можно рассмотреть следующие особенности:
- В первую очередь, в компании должен быть внедрен единый регламент информационной безопасности с соответствующими инструкциями;
- Пользователям должен быть максимально закрыт доступ к нежелательным сайтам, в том числе файлообменникам;
- Из внешней сети должны быть открыты только те порты, которые необходимы для корректной работы пользователей;
- Должна присутствовать система комплексного мониторинга действий пользователей и оперативного оповещения нарушения нормального состояния всех общедоступных ресурсов, работа которых важна для Компании;
- Наличие централизованной антивирусной системы и политик очистки и удаления вредоносных программ;
- Наличие централизованной системы управления и обновления антивирусным ПО, а также политик регулярных обновлений ОС;
- Возможность запуска съемных флэш носителей должна быть максимально ограничена;
- Пароль должен быть не менее 8 символов, содержать цифры, а также буквы верхнего и нижнего регистров;
- Должна быть защита и шифрование ключевых папок обмена информацией, в частности файлов обмена 1с и системы клиент-банк;
- Силовые линии и линии дальней связи, входящие в средства обработки информации, должны быть подземными там, где это возможно, или должны подлежать адекватной альтернативной защите;
- Сетевые кабели должны быть защищены от неразрешенного перехвата или повреждения, например, путем использования кабельного канала или избегания маршрутов, пролегающих через общедоступные зоны.
Подведя итог всего вышеизложенного хотелось бы отметить, что основными правилом при защите информации является ограничение прав и возможностей пользователей, а также контроль над ними при использовании информационных систем. Чем меньше пользователь имеет прав при работе с информационной системой, тем меньше шанс утечки или порчи информации по злому умыслу или по неосторожности.
Комплексным решением для защиты данных предприятия, в том числе баз 1С – является решение «Сервер в Израиле» , в котором собраны актуальные средства по обеспечению высокого уровня конфиденциальности информации.
Системная интеграция. Консалтинг
С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ). Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Как подготовится к изменениям? Увеличатся ли штрафы? Кто будет выявляться нарушения в обработке персональных данных? Давайте разбираться.
Персональные данные: особая информация
Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).
У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).
Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).
Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ).
Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.
Как работодатель обязан защищать персональные данные
В целях защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать? Этот вопрос решает каждый работодатель самостоятельно. При этом порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, допустим в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).
Также у работодателя должен быть официально назначен работник, который отвечает за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д.
Проверки работодателя по вопросам обработки им персональных данных проводят подразделения Роскомнадзора. Приказом Минкомсвязи России от 14.11.2011 № 312 утвержден Административный регламент исполнения Роскомнадзором функций по осуществлению государственного контроля (надзора).
Какая ответственность применяется к работодателям
За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27 июля 2006 № 152-ФЗ). Разберем каждую из этих видов ответственности.
Дисциплинарная ответственность
К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). То есть, привлечь к ответственности можно, к примеру, менеджера отдела кадров, которому поручена соответствующая работа. За дисциплинарный проступок сбора, обработки и хранения персональных данных работодатель может наказать своего работника, применив к нему одно из следующих взысканий (ч.1 ст. 192 ТК РФ):
- замечание;
- выговор;
- увольнение.
Материальная ответственность
Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ). Предположим, что ответственный работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Работники, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника отдела кадров ограниченную материальную ответственность в пределах его среднего месячного заработка (ст. 241 ТК РФ). Взыскание причиненного ущерба можно осуществить по распоряжению руководителя не позднее одного месяца со дня окончательного установления размера причиненного сотрудником ущерба. Если месячный срок истек, то взыскать ущерб придется через суд. Такой порядок предусмотрен в статье 248 Трудового кодекса РФ.
Читайте также Время отдыха за сверхурочную работу
При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных (ст. 242 и 243 ТК РФ). Однако, как правило, на работников, ответственных за обработку персональных данных полную материальную ответственность не возлагают.
Дисциплинарную и материальную ответственность работодатель (к примеру, коммерческая организация) применяет исключительно по своему усмотрению. Государственные контролирующие органы (в том числе., Роскомнадзор) в этом процессе участия не принимают.
Административная ответственность
За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:
- для должностных лиц (например, генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): от 500 до 1000 рублей;
- для организации: от 5000 до 10 000 рублей.
Отдельный (самостоятельный) штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 рублей. Такие меры ответственности описаны в статьях 13.11 и 13.14 Кодекса РФ об административных правонарушениях.
Уголовная ответственность
Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:
- сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
- распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.
За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:
- штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
- обязательные работы на срок до 360 часов;
- исправительные работы на срок до одного года;
- принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
- арест на срок до четырех месяцев;
- лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:
- штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
- лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
- принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
- арестом на срок от четырех до шести месяцев;
- лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).
Что изменится с 1 июля 2017 года
Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступает в силу с 1 июля 2017 года. Сразу скажем, что административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться. Поясним новые составы правонарушений более детально.
Нарушение 1: обработка персональных данных в «иных» целях
С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 года административное наказание может быть следующим:
- или предупреждение;
- или штрафы.
Нарушение 2: обработка персональных данных без согласия
Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):
- ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
- наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
- срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись работника.
С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:
Нарушение 3: доступ к политике по обработке персональных данных
Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ.
С выполнением этой обязанности на практике сталкиваются многие пользователи сети Интернет. Так, например, когда вы оставляете какую-либо заявку на сайтах и указываете свои ФИО и e-mail, то можете обратить внимание на ссылку на подобные документы: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. Однако стоит признать, что некоторые сайты этим пренебрегают и никакой ссылки не приводят. И получается, что человек оставляет заявку на сайте, не знает, в каких целях сайт собирает персональные данные.
Некоторые работодатели также на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить форму «О себе». В таких случаях интернет-сайт также должен обеспечить доступ к «Политике обработке персональных данных».
С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может выглядеть как предупреждение или административные штрафы:
Нарушение 4: сокрытие информации
Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
Сегодня можно наблюдать проблему защиты персональных данных: они подвергаются проникновению всевозможных технических средств обработки и передачи информации. Особенно страдают частные и государственные организации, которые пользуются системами финансового и кадрового учета. Федеральный закон № 152-ФЗ защищает права и регулирует отношения, связанные с обработкой персональных данных, производимых операторами персональных данных, с использованием или без средств автоматизации. Согласно этому закону, персональные данные могут представлять собой любую информацию, которая относится к конкретному физическому лицу. Эти данные могут указывать ФИО человека, его дату рождения, адрес проживания, семейное и социально-имущественное положение, какое имеет образование, по какой специальности работает и какие имеет доходы.
С какими проблемами можно столкнуться?
Наша страна предоставляет в пользование самые популярные системы бухгалтерского и кадрового учета, ведения продаж, CRM-процессов. К ним относятся следующие продукты компании «1С»:
- «1С:Предприятие»;
- «1С:Бухгалтерия»;
- «1С:зарплата и управление персоналом»;
- «1С:Зарплата и кадры бюджетного учреждения» и многие другие подобные программы.
Файловые базы данных доступны для каждого пользователя, поэтому существует вероятность копирования информации, что в свою очередь подводит организацию под нарушение Федерального закона №152-ФЗ. Следовательно, необходима защита персональных данных в 1С , чтобы предотвратить неприятные глобальные последствия.
Многие компании прибегают к специальной базе данных, которая хранится в SQL-сервере. Важно понимать, что в данном случае существует опасность: персональные данные продолжают копировать на внешние носители информации, с последующей передачей на мобильные телефоны, карты памяти, в облачное хранилище. Также наблюдается отправка краденной информации по электронной почте, Скайпу, Телеграмм.
Большинство злоумышленников делают скриншоты экрана компьютера и переносят данные из 1С в сторонний файл, используя программу буферизации. Данный способ считается самым распространенным, и очень часто компания страдала именно от такой кражи персональных данных.
Как защитить компанию от кражи конфиденциальных данных?
Существует современная система, которая осуществляет защиту от утечки в 1С. DeviceLock DLP – эффективный способ предотвратить копирование информации конкретным пользователем. Также программа выявляет функционирование буфера обмена. Настройки системы являются гибкими, поэтому можно индивидуально выбрать программы и поставить блокировку.
DeviceLock DLP способен выявлять и селективно блокировать скриншоты, которые предотвращают действия конкретных пользователей или различных приложений. Программа выборочно разрешает и запрещает доступы к определенным файлам. Ответственное лицо компании получает уведомление о попытке копирования информации на внешние устройства или отправки по сети. Воспользуйтесь уникальным предложением, чтобы устранить возникновение неприятных последствий.
Похожие новости не найдены.
Для защиты персональных данных от несанкционированного доступа создан специальный программный комплекс 1С: Предприятие 8.3z (ЗПК). Защищенный комплекс может применяться в государственных информационных системах до 1 класса защищенности включительно и в информационных системах до 1 уровня защищенности персональных данных включительно.
Защищенный программный комплекс 1С: Предприятие 8.3z может применяться для организации безопасности персональных данных в соответствии Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, в информационных системах персональных данных всех уровней защищенности.
Комплекс 1С: Предприятие 8.3z может быть использован:
- в организациях, являющихся оператором персональных данных и обрабатывающих персональные данные самостоятельно
- в организациях, оказывающих услуги по ведению ИСПДн нескольких операторов. ЗПК 1С: Предприятие, версия 8.3z
Может использоваться как при обработке информации для одного юридического лица или предпринимателя, так и для группы компаний (холдинга).
| Код | Наименование | Рекоменд. розничная цена, руб. | |
|---|---|---|---|
|
4601546119070 |
Защищенный программный комплекс «1С: Предприятие 8.3z» (x86-32) |
18 000*
|
Купить |
|
4601546119087 |
Защищенный программный комплекс «1С: Предприятие 8.3z» (x86-64) |
54 000*
|
Купить |
| Лицензии на дополнительные места | |||
| 4601546080875 | 1С: Предприятие 8. Клиентская лицензия на 1 рабочее место | 6 300 | Купить |
| 4601546080882 | 1С: Предприятие 8. Клиентская лицензия на 5 рабочих мест | 21 600 | Купить |
| 4601546080899 | 1С: Предприятие 8. Клиентская лицензия на 10 рабочих мест | 41 400 | Купить |
| 4601546080905 | 1С: Предприятие 8. Клиентская лицензия на 20 рабочих мест | 78 000 | Купить |
| 4601546080912 | 1С: Предприятие 8. Клиентская лицензия на 50 рабочих мест | 187 200 | Купить |
| 4601546080929 | 1С: Предприятие 8. Клиентская лицензия на 100 рабочих мест | 360 000 | Купить |
| 4601546080936 | 1С: Предприятие 8. Клиентская лицензия на 300 рабочих мест | 1 068 000 | Купить |
| 4601546080943 | 1С: Предприятие 8. Клиентская лицензия на 500 рабочих мест | 1 776 000 | Купить |
