Dom Inny Nieprzenikniona ochrona przed 1C.

Nieprzenikniona ochrona przed 1C.

Weszła w życie ustawa federalna nr 152 „O danych osobowych”, nakładająca na wszystkich operatorów danych osobowych obowiązek spełnienia szeregu wymogów w zakresie ochrony i przechowywania danych osobowych.

Świadczymy usługi hostingu systemów informatycznych na 1C do przetwarzania danych osobowych, zgodnie z 152-FZ. Jakie macie rozwiązania? 1C o ochronie danych osobowych (ISPDn)?

Firma 1C otrzymała certyfikat zgodności nr 2137 wydany przez FSTEC Rosji, który potwierdza, że ​​bezpieczny pakiet oprogramowania (ZPK) „1C:Enterprise, wersja 8.2z” jest uznawany za oprogramowanie ogólnego przeznaczenia z wbudowanymi środki ochrony informacji przed nieuprawnionym dostępem (NSD) do informacji niezawierających informacji stanowiących tajemnicę państwową.

Na podstawie wyników certyfikacji potwierdzono zgodność z wymaganiami dokumentów regulujących ochronę przed działaniami niezwiązanymi z uderzeniami klasy 5, zgodnie z poziomem monitorowania brak niezadeklarowanych zdolności (NDC) na poziomie 4 kontroli, możliwość potwierdzono zastosowanie do tworzenia systemów zautomatyzowanych (AS) do klasy bezpieczeństwa 1G (tj. AC), zapewniającej ochronę informacji poufnych w sieci LAN) włącznie, a także do ochrony informacji w systemach informatycznych danych osobowych (PDIS) do klasy K1 włącznie.

Certyfikowane kopie platformy 1C są oznaczone znakami zgodności od nr G 420000 do nr G 429999.

1CAir oferuje te programy do wynajęcia. Jak zacząć z niego korzystać?

Jak stworzyć system przetwarzania danych osobowych w 1C, zgodnie z 152-FZ?

Wszystkie konfiguracje opracowane na platformie „1C:Enterprise 8.2” można wykorzystać do stworzenia systemu informacji o danych osobowych dowolnej klasy i nie jest wymagana dodatkowa certyfikacja rozwiązań aplikacyjnych.

Dodatkowe wyjaśnienia otrzymano od 1C:

1. Ustawa federalna nr 152-FZ „O danych osobowych” sama w sobie nie nakłada żadnych wymagań dotyczących oprogramowania (w brzmieniu obowiązującym dzisiaj).

2. Wymóg konieczności oceny zgodności środków bezpieczeństwa informacji zawarty jest w ust. 5 Regulaminu wprowadzonego dekretem Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. N 781 „W sprawie zatwierdzenia Regulaminu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych.”

3. Bezpośrednio wymagania dotyczące oprogramowania określa rozporządzenie nr 58 FSTEC Rosji. W szczególności wymagania dotyczące podsystemów kontroli dostępu, rejestracji i księgowości oraz kontroli integralności. Podsystemy te dotyczą wyłącznie platformy technologicznej, a nie konfiguracji.

4. Podczas przeprowadzania certyfikacji początkowo planowano podać wymagania dotyczące konfiguracji (warunki techniczne). Jednak po zakończeniu certyfikacji laboratorium badawcze odmówiło przedstawienia jakichkolwiek wymagań dotyczących konfiguracji.

Zatem obecne ustawodawstwo nie przewiduje certyfikacji (ani innej oceny zgodności) oprogramowania niebędącego narzędziem bezpieczeństwa informacji, które obejmuje standardowe konfiguracje, a także nie ma warunków technicznych dla konfiguracji. W związku z tym każda konfiguracja tej platformy może być używana z bezpiecznym pakietem oprogramowania.

Co więcej, podczas certyfikacji przedmiotem nie są tylko programy, ale cały zespół przepisów i środków administracyjnych (wymagania bezpieczeństwa, model zagrożenia, akty klasyfikacyjne, plan ochrony danych osobowych itp.) oraz cały system informatyczny stosowany w organizacji.
Operator przetwarzania danych osobowych musi podjąć decyzję o przypisaniu odpowiedniej klasy do systemu danych osobowych.

Pomimo faktu, że dane są przechowywane poza Federacją Rosyjską, ustawa federalna nr 152-FZ bezpośrednio przewiduje możliwość transgranicznego przekazywania danych, a mianowicie art. 12. „Transgraniczne przesyłanie danych osobowych na terytorium obcych państw będące stronami Konwencji Rady Europy o ochronie osób w związku z zautomatyzowanym przetwarzaniem danych osobowych, a także inne państwa obce, które zapewniają odpowiednią ochronę praw osób, których dane dotyczą, odbywa się zgodnie z niniejszą ustawą federalną. ..”. Jak wynika z pisma, dane osobowe są przechowywane w centrach danych wyłącznie w tych krajach europejskich, które podpisały tę konwencję Ministerstwo Łączności i Komunikacji Masowej Federacji Rosyjskiej „W sprawie realizacji transgranicznego przekazywania danych osobowych”.
Zgodnie z art. 12 ust. 3 ustawy nr 152-FZ jesteśmy przekonani, że przed rozpoczęciem transgranicznego przekazywania danych osobowych zapewniona jest odpowiednia ochrona praw osób, których dane dotyczą. Jest to zapisane w naszej umowie z centrami danych i znajduje odzwierciedlenie w Umowie z Klientem.

Obecnie używana jest standardowa platforma „1C:Enterprise, wersja 8.2”, z wymogami ochrony danych wskazanymi powyżej. Dlatego przy pomocy 1CAir możliwa jest budowa systemów bezpieczeństwa informacji w systemach informacji o danych osobowych (PDIS) do klasy K2 włącznie.

Pomimo korzystania z 1CAir, operatorem przetwarzania Twoich danych osobowych pozostaje Twoja organizacja, a nie my. Tworzysz własny model bezpieczeństwa i zgodnie z nim ustalasz parametry ochrony. Korzystając z tych parametrów technicznych, możesz dowiedzieć się od nas, czy świadczymy taką usługę (np. szyfrowanie), i stworzyć pożądany system za pomocą programów w 1CAir.

Bezpieczeństwo informacji podobnie jak ochrona informacji jest złożonym zadaniem mającym na celu zapewnienie bezpieczeństwa, realizowanym poprzez wdrożenie systemu bezpieczeństwa. Problematyka bezpieczeństwa informacji jest wieloaspektowa i złożona i obejmuje szereg istotnych zadań.

Problemy związane z bezpieczeństwem informacji stale się pogłębiają w wyniku przenikania technicznych środków przetwarzania i przesyłania danych do wszystkich sfer społeczeństwa. Problem ten jest szczególnie dotkliwy w dziedzinie systemów rachunkowości finansowej. Najpopularniejszym systemem procesów księgowych, sprzedażowych i CRM w Rosji jest system 1C Enterprise.

Rozważmy potencjalne zagrożenia bezpieczeństwa podczas korzystania z programu 1C.

Używanie 1C z bazami danych w formacie pliku. Bazy danych plików 1C są najbardziej podatne na uderzenia fizyczne. Wynika to z cech architektonicznych tego typu baz danych - konieczności utrzymywania otwartych (z pełnym dostępem) wszystkich plików konfiguracyjnych oraz samych baz plików dla wszystkich użytkowników systemu operacyjnego. W rezultacie każdy użytkownik, który ma prawo do pracy w bazie danych plików 1C, może teoretycznie skopiować, a nawet usunąć bazę danych informacyjnych 1C dwoma kliknięciami myszy.

Korzystanie z 1C z bazami danych w formacie DBMS. Ten typ problemu pojawia się, gdy system DBMS (PosgreSQL, MS SQL) jest używany jako magazyn baz danych 1C, a korporacyjny serwer 1C jest używany jako pośrednia usługa komunikacyjna między 1C a systemem DBMS. To jest przykład - wiele firm praktykuje modyfikowanie konfiguracji 1C pod kątem swoich potrzeb. W procesie udoskonalania, w warunkach „zamieszania” projektowego, ciągłego testowania nowych, udoskonalonych funkcjonalności, odpowiedzialni specjaliści często zaniedbują zasady bezpieczeństwa sieci.
W rezultacie niektóre osoby, które mają bezpośredni dostęp do bazy danych DBMS lub mają uprawnienia administratora na serwerze 1C Enterprise, nawet na tymczasowy okres testowy, mogą albo wykonać kopię zapasową do zasobów zewnętrznych, albo całkowicie usunąć bazę danych w DBMS.

Otwartość i dostępność sprzętu serwerowego. W przypadku nieuprawnionego dostępu do sprzętu serwerowego pracownicy firmy lub osoby trzecie mogą wykorzystać ten dostęp do kradzieży lub uszkodzenia informacji. Mówiąc najprościej, jeśli atakujący uzyska bezpośredni dostęp do ciała i konsoli serwera 1c, zakres jego możliwości zwiększa się dziesięciokrotnie.

Ryzyko kradzieży i wycieku danych osobowych. Przez aktualne zagrożenia bezpieczeństwa danych osobowych rozumie się tu zespół warunków i czynników tworzących aktualne niebezpieczeństwo nieuprawnionego, w tym przypadkowego, dostępu do danych osobowych podczas ich przetwarzania w systemie informatycznym, np. przez odpowiedzialnych pracowników, PC operatorów, działy księgowe itp.
Może to skutkować zniszczeniem, modyfikacją, blokowaniem, kopiowaniem, udostępnianiem, rozpowszechnianiem danych osobowych, a także innymi niezgodnymi z prawem działaniami osób odpowiedzialnych.

Bezpieczeństwo sieci. System informatyczny przedsiębiorstwa zbudowany z naruszeniem GOST, wymogów bezpieczeństwa, zaleceń lub pozbawiony odpowiedniego wsparcia informatycznego jest pełen dziur, wirusów i programów szpiegujących oraz wielu backdoorów (nieautoryzowany dostęp do sieci wewnętrznej), co bezpośrednio wpływa na bezpieczeństwo danych firmowych w 1C. Dzięki temu osoba atakująca może uzyskać łatwy dostęp do poufnych informacji handlowych. Na przykład atakujący może wykorzystać bezpłatny dostęp do kopii zapasowych i brak hasła do archiwów zawierających kopie zapasowe do celów osobistych. Nie wspominając już o elementarnym uszkodzeniu bazy danych 1C przez aktywność wirusową.

Związek między 1C a obiektami zewnętrznymi. Innym potencjalnym zagrożeniem jest potrzeba (a czasem specjalna funkcja marketingowa) bazy danych księgowych 1C do komunikacji ze „światem zewnętrznym”. Przesyłanie/pobieranie banków klientów, wymiana informacji z oddziałami, regularna synchronizacja ze stronami firmowymi, portalami, innymi programami raportującymi, zarządzanie klientami i sprzedażą i wiele więcej. Ponieważ w tym obszarze 1C nie zaleca się zgodności ze standardami bezpieczeństwa i jednolitości wymiany informacji sieciowych, wyciek jest całkiem realny w każdym punkcie jego trasy.
W wyniku konieczności wprowadzenia niestandardowych usprawnień w automatyzacji procesów lub cięć budżetowych na niezbędne środki ochrony ruchu, liczba podatności, dziur, niepewnych połączeń, otwartych portów, łatwo dostępnej wymiany plików w formie niezaszyfrowanej itp. natychmiast wzrasta. w systemie księgowym. Możesz spokojnie sobie wyobrazić, do czego może to doprowadzić - od elementarnego wyłączenia bazy danych 1C na pewien czas, po sfałszowanie zlecenia płatniczego na kilka milionów.

Co można zaproponować, aby rozwiązać takie problemy?

1. Podczas pracy z bazami danych plików 1C Konieczne jest wdrożenie szeregu działań zapewniających bezpieczeństwo baz:

  • Korzystając z ograniczeń dostępu NTFS, nadaj niezbędne uprawnienia tylko tym użytkownikom, którzy pracują z tą bazą danych, chroniąc w ten sposób bazę danych przed kradzieżą lub uszkodzeniem przez pozbawionych skrupułów pracowników lub osobę atakującą;
  • Zawsze korzystaj z autoryzacji systemu Windows, aby zalogować się do stacji roboczych użytkowników i uzyskać dostęp do zasobów sieciowych;
  • Używaj zaszyfrowanych dysków lub zaszyfrowanych folderów, które pozwolą Ci zapisać poufne informacje, nawet jeśli usuniesz bazę danych 1C;
  • Ustanów zasady automatycznego blokowania ekranu, a także zapewnij szkolenie użytkowników w celu wyjaśnienia potrzeby blokowania profili;
  • Zróżnicowanie praw dostępu na poziomie 1C umożliwi użytkownikom dostęp tylko do informacji, do których mają odpowiednie uprawnienia;
  • Konieczne jest umożliwienie uruchomienia konfiguratora 1C tylko tym pracownikom, którzy go potrzebują.

2. Podczas pracy z bazami danych DBMS 1C Proszę zwrócić uwagę na następujące zalecenia:

  • Dane uwierzytelniające umożliwiające połączenie z systemem DBMS nie powinny mieć uprawnień administracyjnych;
  • Konieczne jest zróżnicowanie praw dostępu do baz danych DBMS, np. utworzenie dla każdej bazy informacji własnego konta, co zminimalizuje utratę danych w przypadku włamania na jedno z kont;
  • Zaleca się ograniczenie fizycznego i zdalnego dostępu do korporacyjnej bazy danych i serwerów 1C;
  • Zaleca się stosowanie szyfrowania baz danych; pozwoli to zaoszczędzić poufne dane, nawet jeśli atakujący uzyska fizyczny dostęp do plików DBMS;
  • Jedną z ważnych decyzji jest także zaszyfrowanie lub ustawienie hasła do kopii zapasowych danych;
  • Utworzenie administratorów klastra 1C, a także serwera 1C jest obowiązkowe, ponieważ domyślnie, jeśli nie zostanie utworzony żaden użytkownik, absolutnie wszyscy użytkownicy systemu mają pełny dostęp do baz informacji.

3. Wymagania dotyczące zapewnienia bezpieczeństwa fizycznego sprzętu serwerowego:
(wg GOST R ISO/IEC TO – 13335)

  • Dostęp do obszarów, w których przetwarzane lub przechowywane są wrażliwe informacje, musi być kontrolowany i ograniczony wyłącznie do osób upoważnionych;
  • Kontrole uwierzytelniania, takie jak karta kontroli dostępu i osobisty numer identyfikacyjny , należy użyć do autoryzacji i potwierdzenia dostępu;
  • Ścieżka audytu całego dostępu musi być przechowywana w bezpiecznym miejscu;
  • Zewnętrzny personel pomocniczy powinien mieć ograniczony dostęp do obszarów bezpieczeństwa lub obiektów do przetwarzania informacji wrażliwych tylko wtedy, gdy jest to wymagane;
  • dostęp ten musi być autoryzowany i stale monitorowany;
  • Prawa dostępu do obszarów bezpieczeństwa powinny być regularnie poddawane przeglądowi i aktualizowane, a w razie potrzeby cofane;
  • Należy wziąć pod uwagę odpowiednie przepisy i normy dotyczące bezpieczeństwa i higieny pracy;
  • Kluczowe obiekty powinny być zlokalizowane w sposób uniemożliwiający dostęp do nich ogółowi społeczeństwa;
  • W stosownych przypadkach budynki i pomieszczenia powinny być skromne i w minimalnym stopniu wskazywać na ich przeznaczenie, bez wyraźnych oznakowań na zewnątrz lub wewnątrz budynku, wskazujących na obecność działań związanych z przetwarzaniem informacji;
  • Znaki i wewnętrzne książki telefoniczne wskazujące lokalizację zakładów przetwarzania informacji wrażliwych nie powinny być łatwo dostępne dla ogółu społeczeństwa.

4. Poufność danych osobowych. Głównym celem organizacji ochrony danych osobowych jest neutralizacja zdefiniowanych bieżących zagrożeń w systemie informatycznym Ustawa federalna z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych” , wykaz standardów państwowych i wymagań międzynarodowych certyfikatów bezpieczeństwa IT (GOST R ISO/IEC 13335 2-5, ISO 27001) . Osiąga się to poprzez ograniczenie dostępu do informacji ze względu na jej rodzaje, rozgraniczenie dostępu do informacji według ról użytkowników, ustrukturyzowanie procesu przetwarzania i przechowywania informacji.
Oto kilka kluczowych punktów:

  • Przetwarzanie danych osobowych musi ograniczać się do osiągnięcia konkretnych, z góry określonych i prawnie uzasadnionych celów;
  • Zgoda na przetwarzanie danych osobowych musi być konkretna, świadoma i świadoma;
  • Niedozwolone jest przetwarzanie danych osobowych niezgodne z celami gromadzenia danych osobowych;
  • Przetwarzaniu podlegają wyłącznie dane osobowe, które odpowiadają celom ich przetwarzania;
  • Operatorzy i inne osoby mające dostęp do danych osobowych są zobowiązane do nieujawniania osobom trzecim ani rozpowszechniania danych osobowych bez zgody podmiotu danych osobowych, chyba że prawo federalne stanowi inaczej;
  • Używanie sprzętu fotograficznego, wideo, audio lub innego sprzętu rejestrującego, takiego jak kamery w urządzeniach mobilnych, nie powinno być dozwolone, chyba że uzyskano na to zezwolenie;
  • Napędy z nośnikami wymiennymi powinny być dozwolone wyłącznie wówczas, gdy jest to potrzebne ze względów biznesowych;
  • Aby zapewnić, że informacje poufne nie zostaną naruszone, nośniki papierowe i elektroniczne należy przechowywać w odpowiednio zamkniętych szafach i/lub innych bezpiecznych meblach, gdy nie są używane, zwłaszcza poza godzinami pracy;
  • Nośniki zawierające ważne lub wrażliwe informacje zastrzeżone należy przechowywać i zamykać, gdy nie są potrzebne (na przykład w ognioodpornym sejfie lub szafce), zwłaszcza gdy pomieszczenie nie jest zajęte.

5. Bezpieczeństwo sieci- jest to zbiór wymagań dotyczących infrastruktury sieci komputerowej przedsiębiorstwa i zasad pracy w niej, których wdrożenie zapewnia ochronę zasobów sieciowych przed nieuprawnionym dostępem. W ramach zalecanych działań mających na celu organizację i zapewnienie bezpieczeństwa sieci, oprócz podstawowych, można wziąć pod uwagę następujące funkcje:

  • Przede wszystkim firma musi wdrożyć ujednoliconą regulację bezpieczeństwa informacji wraz z odpowiednimi instrukcjami;
  • Użytkownikom należy w miarę możliwości odmawiać dostępu do niepożądanych witryn, w tym usług hostingu plików;
  • Z sieci zewnętrznej powinny być otwarte tylko te porty, które są niezbędne do prawidłowego działania użytkowników;
  • Musi istnieć system kompleksowego monitorowania działań użytkowników i szybkiego powiadamiania o naruszeniach normalnego stanu wszystkich publicznie dostępnych zasobów, których funkcjonowanie jest ważne dla Spółki;
  • Dostępność scentralizowanego systemu antywirusowego i zasad czyszczenia i usuwania złośliwego oprogramowania;
  • Dostępność scentralizowanego systemu do zarządzania i aktualizacji oprogramowania antywirusowego, a także zasad regularnych aktualizacji systemu operacyjnego;
  • Możliwość uruchamiania wymiennych nośników flash powinna być maksymalnie ograniczona;
  • Hasło musi mieć co najmniej 8 znaków, zawierać cyfry oraz duże i małe litery;
  • Musi istnieć ochrona i szyfrowanie folderów wymiany kluczowych informacji, w szczególności plików wymiany 1c oraz systemu klient-bank;
  • Linie energetyczne i dalekobieżne wchodzące w skład urządzeń przetwarzających informacje powinny w miarę możliwości przebiegać pod ziemią lub podlegać odpowiedniej alternatywnej ochronie;
  • Kable sieciowe należy chronić przed nieupoważnionym przechwyceniem lub uszkodzeniem, na przykład poprzez zastosowanie kanału kablowego lub unikanie tras przebiegających przez obszary publicznie dostępne.

Podsumowując wszystko powyższe, chciałbym zauważyć, że głównymi zasadami ochrony informacji są ograniczenie praw i możliwości użytkowników, a także kontrola nad nimi podczas korzystania z systemów informatycznych. Im mniej praw ma użytkownik podczas pracy z systemem informatycznym, tym mniejsze jest ryzyko wycieku informacji lub uszkodzenia w wyniku złego zamiaru lub zaniedbania.


Kompleksowym rozwiązaniem do ochrony danych przedsiębiorstwa, w tym baz danych 1C, jest rozwiązanie „Serwer w Izraelu”, które zawiera aktualne narzędzia zapewniające wysoki poziom poufności informacji.

Integracja systemu. Ordynacyjny

Od 1 lipca 2017 r. znacząco zaostrzono odpowiedzialność za naruszenia podczas interakcji z danymi osobowymi osób fizycznych. Wynika to z przepisów ustawy federalnej z dnia 02.07.2017 nr 13-FZ). Zmiany dotkną wszystkich bez wyjątku pracodawców, którzy zajmują się przetwarzaniem danych osobowych pracowników i poszczególnych kontrahentów. Co więcej, można powiedzieć, że zmiany dotyczą niemal całego środowiska biznesowego, które ma kontakt z danymi osobowymi osób fizycznych (np. właścicieli witryn zbierających dane osobowe osób odwiedzających). Jak przygotować się na zmiany? Czy kary wzrosną? Kto będzie wykrywał naruszenia w przetwarzaniu danych osobowych? Rozwiążmy to.

Dane osobowe: informacje szczególne

Dane osobowe pracowników to wszelkie informacje niezbędne pracodawcy w związku ze stosunkami pracy i odnoszące się do konkretnego pracownika (klauzula 1, art. 3 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych”).

W przypadku pracodawcy (organizacji lub indywidualnego przedsiębiorcy) dane osobowe pracowników najczęściej zawarte są w ich kartach osobowych i teczkach osobowych. Jednocześnie niemal każdy menadżer kadr czy specjalista HR wie, że dane osobowe można pozyskać wyłącznie osobiście od pracowników. Jeżeli dane osobowe można uzyskać wyłącznie od osób trzecich, wówczas ustawodawstwo rosyjskie zobowiązuje do powiadomienia o tym pracownika i uzyskania od niego pisemnej zgody (art. 86 ust. 3 części 1 Kodeksu pracy Federacji Rosyjskiej).

Pracodawcy nie mają prawa otrzymywać i przetwarzać danych osobowych niezwiązanych bezpośrednio z działalnością zawodową danej osoby. Oznacza to, że nie można zbierać informacji np. o religii pracowników. Przecież takie informacje stanowią tajemnicę osobistą lub rodzinną i nie mogą być w żaden sposób powiązane z wykonywaniem obowiązków służbowych (art. 86 ust. 4 części 1 Kodeksu pracy Federacji Rosyjskiej).

Po otrzymaniu danych osobowych pracodawca, zgodnie z wymogami prawnymi, jest zobowiązany nie rozpowszechniać ich ani nie ujawniać osobom trzecim bez zgody pracownika (art. 7 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ).

Przez dane osobowe można rozumieć wszelkie informacje bezpośrednio lub pośrednio związane z konkretną osobą (przedmiotem danych osobowych) - art. 3 ust. 1 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ. Przykładami takich informacji mogą być nazwisko, imię, nazwisko rodowe, data i miejsce urodzenia, miejsce zamieszkania itp.

Jak pracodawca ma obowiązek chronić dane osobowe

Aby chronić i ograniczać dostęp do danych osobowych, pracodawca musi zapewnić wysokiej jakości i nowoczesny system ich ochrony. Jak dokładnie to zrobić? Każdy pracodawca decyduje o tej kwestii samodzielnie. Jednocześnie tryb otrzymywania, przetwarzania, przekazywania i przechowywania danych osobowych musi być zapisany w lokalnym akcie organizacji, na przykład w Regulaminie przetwarzania danych osobowych pracowników (art. 8, 87 Kodeksu pracy Federacji Rosyjskiej, ust. 2 część 1, art. 18 ust. 1 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ).

Ponadto pracodawca musi oficjalnie wyznaczyć pracownika odpowiedzialnego za pracę z danymi osobowymi (część 5 art. 88 Kodeksu pracy Federacji Rosyjskiej). Może to być na przykład pracownik działu HR, który wchodzi w interakcję z aktami osobowymi, uzyskuje zgodę pracownika na przetwarzanie, prowadzi karty pracownicze itp.

Kontrole pracodawcy w zakresie przetwarzania danych osobowych przeprowadzane są przez wydziały Roskomnadzor. Zarządzenie nr 312 Ministerstwa Telekomunikacji i Komunikacji Masowej Rosji z dnia 14 listopada 2011 r. zatwierdziło Regulamin Administracyjny dotyczący wykonywania przez Roskomnadzor funkcji związanych z realizacją kontroli państwowej (nadzoru).

Jakie obowiązki spoczywają na pracodawcach

Za naruszenie procedury otrzymywania, przetwarzania, przechowywania i ochrony danych osobowych pracowników przewidziana jest odpowiedzialność dyscyplinarna, materialna, administracyjna i karna (art. 90 Kodeksu pracy Federacji Rosyjskiej, część 1, art. 24 ustawy federalnej 27 lipca 2006 nr 152-FZ). Przyjrzyjmy się każdemu z tych rodzajów odpowiedzialności.

Odpowiedzialność dyscyplinarna

Pracownicy, którzy ze względu na stosunki pracy są zobowiązani do przestrzegania zasad pracy z danymi osobowymi, ale je naruszyli (art. 192 Kodeksu pracy Federacji Rosyjskiej), mogą zostać pociągnięci do odpowiedzialności za naruszenia podczas pracy z danymi osobowymi. Oznacza to, że możesz pociągnąć do odpowiedzialności na przykład menedżera HR, któremu powierzono odpowiednią pracę. Za przewinienie dyscyplinarne polegające na gromadzeniu, przetwarzaniu i przechowywaniu danych osobowych pracodawca może ukarać pracownika, nakładając na niego jedną z następujących kar (część 1 art. 192 Kodeksu pracy Federacji Rosyjskiej):

  • komentarz;
  • nagana;
  • zwolnienie.

Odpowiedzialność materialna

Odpowiedzialność finansowa pracownika może powstać, jeżeli w związku z naruszeniem zasad pracy z danymi osobowymi organizacji nastąpi bezpośrednia szkoda rzeczywista (art. 238 Kodeksu pracy Federacji Rosyjskiej). Załóżmy, że odpowiedzialny pracownik działu HR dopuścił się rażącego naruszenia – rozpowszechniał dane osobowe pracowników w Internecie. Pracownicy, dowiedziawszy się o tym, złożyli pozew przeciwko pracodawcy, który orzekł: „wypłacić poszkodowanym pracownikom odszkodowanie pieniężne po 50 000 rubli każdy”. W takiej sytuacji pracodawca ma możliwość nałożenia ograniczonej odpowiedzialności finansowej na winnego pracownika działu HR w granicach jego przeciętnych miesięcznych zarobków (art. 241 Kodeksu pracy Federacji Rosyjskiej). Naprawienie wyrządzonej szkody może nastąpić na polecenie kierownika nie później niż w terminie miesiąca od dnia ostatecznego ustalenia wysokości szkody wyrządzonej przez pracownika. Jeżeli termin miesięczny upłynął, odszkodowanie będzie musiało zostać odzyskane na drodze sądu. Procedura ta jest przewidziana w art. 248 Kodeksu pracy Federacji Rosyjskiej.

Przeczytaj także Czas odpoczynku w przypadku pracy w godzinach nadliczbowych

Przy pełnej odpowiedzialności finansowej pracownik będzie musiał w pełni zrekompensować organizacji całą kwotę szkód poniesionych w związku z naruszeniami w zakresie danych osobowych (art. 242 i 243 Kodeksu pracy Federacji Rosyjskiej). Co do zasady jednak pracownicy odpowiedzialni za przetwarzanie danych osobowych nie ponoszą pełnej odpowiedzialności finansowej.

Pracodawca (na przykład organizacja komercyjna) stosuje odpowiedzialność dyscyplinarną i finansową wyłącznie według własnego uznania. Państwowe organy regulacyjne (w tym Roskomnadzor) nie biorą udziału w tym procesie.

Odpowiedzialność administracyjna

Za naruszenie procedury gromadzenia, przechowywania, wykorzystywania lub rozpowszechniania danych osobowych pracodawcy i urzędników organy regulacyjne mogą nałożyć odpowiedzialność administracyjną w formie kar finansowych, które mogą wynieść:

  • dla urzędników (na przykład dyrektora generalnego, głównego księgowego, urzędnika ds. Personalnych lub indywidualnego przedsiębiorcy): od 500 do 1000 rubli;
  • dla organizacji: od 5000 do 10 000 rubli.

Odrębna (samodzielna) kara dla urzędników za ujawnienie danych osobowych w związku z wykonywaniem obowiązków służbowych lub zawodowych wynosi od 4000 do 5000 rubli. Takie kary opisano w art. 13.11 i 13.14 Kodeksu Federacji Rosyjskiej dotyczącego wykroczeń administracyjnych.

Odpowiedzialność karna

Odpowiedzialność karna dyrektora, głównego księgowego lub kierownika działu kadr firmy lub innej osoby odpowiedzialnej za pracę z danymi osobowymi może powstać w wyniku działań niezgodnych z prawem:

  • zbieranie lub rozpowszechnianie informacji o życiu prywatnym pracownika, stanowiących jego tajemnicę osobistą lub rodzinną, bez jego zgody;
  • rozpowszechnianie informacji o pracowniku w wystąpieniu publicznym, publicznie wystawianym utworze lub mediach.

Za tego rodzaju naruszenia dotyczące przetwarzania danych osobowych dopuszczalne są następujące sankcje karne:

  • grzywna w wysokości do 200 000 rubli (lub w wysokości dochodu skazanego za okres do 18 miesięcy);
  • praca obowiązkowa do 360 godzin;
  • praca korekcyjna do jednego roku;
  • praca przymusowa na okres do dwóch lat z pozbawieniem prawa do zajmowania określonych stanowisk lub wykonywania określonej działalności lub bez niego na okres do trzech lat;
  • aresztowanie na okres do czterech miesięcy;
  • pozbawienia wolności na okres do dwóch lat z pozbawieniem prawa do zajmowania określonych stanowisk lub wykonywania określonej działalności na okres do trzech lat.

Te same czyny popełnione przez osobę wykorzystującą swoje oficjalne stanowisko podlegają surowszej karze:

  • grzywna od 100 000 do 300 000 rubli. (lub w wysokości dochodu skazanego za okres od roku do dwóch lat);
  • pozbawienie prawa do zajmowania określonych stanowisk lub prowadzenia określonej działalności na okres od dwóch do pięciu lat;
  • praca przymusowa na okres do czterech lat z pozbawieniem prawa do zajmowania określonych stanowisk lub wykonywania określonej działalności lub bez niego na okres do pięciu lat;
  • aresztowanie na okres od czterech do sześciu miesięcy;
  • kara pozbawienia wolności na okres do czterech lat z pozbawieniem prawa do zajmowania określonych stanowisk lub prowadzenia określonej działalności na okres do pięciu lat (art. 137 Kodeksu karnego Federacji Rosyjskiej).

Co się zmieni od 1 lipca 2017 r

Ustawa federalna z 07.02. 2017 nr 13-FZ rozszerzyła katalog przesłanek pociągnięcia pracodawcy do odpowiedzialności administracyjnej w zakresie ochrony danych osobowych, a także zwiększyła wysokość administracyjnych kar pieniężnych. Ustawa ta wchodzi w życie z dniem 1 lipca 2017 r. Od razu powiedzmy, że odpowiedzialność administracyjna w zakresie danych osobowych została znacząco zaostrzona. Jednocześnie ważne jest, co następuje: zamiast jedynego rodzaju odpowiedzialności administracyjnej opisanego w art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej pojawi się siedem. Tym samym za różne naruszenia przez pracodawców danych osobowych mogą zostać nałożone różne kary. W przypadku wykrycia kilku naruszeń w związku z różnymi wykroczeniami liczba kar może odpowiednio wzrosnąć. Wyjaśnijmy bliżej nowe przestępstwa.

Naruszenie 1: przetwarzanie danych osobowych w „innych” celach

Od 1 lipca 2017 r. przetwarzanie danych osobowych w przypadkach nieprzewidzianych przez prawo lub przetwarzanie danych osobowych niezgodne z celami gromadzenia danych osobowych stanowią niezależne rodzaje naruszeń administracyjnych (część 1 art. 13.11 Kodeksu postępowania administracyjnego Przestępstwa Federacji Rosyjskiej). Podajmy przykład: organizacja zatrudniająca zbiera dane osobowe pracowników i przekazuje je firmom zewnętrznym w celach reklamowych (przekazywane są imię i nazwisko, numery telefonów, region zamieszkania, poziom dochodów). Następnie firmy reklamowe zaczynają wysyłać pracownikom różne oferty spamowe i reklamowe przez telefon, e-mail i adresy domowe. Jeżeli takie działania pracodawcy nie ujawnią przestępstwa, można zastosować odpowiedzialność administracyjną. Od 1 lipca 2017 r. kary administracyjne mogą wynosić:

  • lub ostrzeżenie;
  • lub kary.

Naruszenie 2: przetwarzanie danych osobowych bez zgody

Przetwarzanie danych osobowych przez pracodawcę co do zasady możliwe jest wyłącznie za pisemną zgodą pracowników. Zgoda taka musi zawierać następujące informacje (część 4 art. 9 ustawy z dnia 27 lipca 2006 r. nr 152-FZ):

  • Imię i nazwisko, adres pracownika, dane paszportowe (inny dokument potwierdzający jego tożsamość), w tym informacja o dacie wydania dokumentu i organie wydającym;
  • imię i nazwisko lub pełna nazwa i adres pracodawcy (operatora) otrzymującego zgodę pracownika;
  • cel przetwarzania danych osobowych;
  • wykaz danych osobowych, na przetwarzanie których wyrażana jest zgoda;
  • imię lub imię i nazwisko oraz adres osoby przetwarzającej dane osobowe w imieniu pracodawcy, jeżeli przetwarzanie będzie powierzone takiej osobie;
  • wykaz działań na danych osobowych, na które wyrażana jest zgoda, ogólny opis sposobów przetwarzania danych osobowych przez pracodawcę;
  • okres obowiązywania zgody pracownika oraz sposób jej wycofania, chyba że prawo federalne stanowi inaczej;
  • podpis pracownika.

Od 1 lipca 2017 r. przetwarzanie danych osobowych bez pisemnej zgody pracownika lub jeżeli pisemna zgoda nie zawiera informacji wskazanych powyżej, stanowi niezależne naruszenie administracyjne przewidziane w części 2 art. 13.11 Kodeksu wykroczeń administracyjnych Federacja Rosyjska. Możliwe są za to kary:

Naruszenie 3: dostęp do polityki przetwarzania danych osobowych

Operator danych osobowych (np. pracodawca lub strona internetowa) ma obowiązek opublikować lub w inny sposób zapewnić nieograniczony dostęp do dokumentu określającego jego politykę w zakresie przetwarzania danych osobowych, do informacji o wdrożonych wymaganiach w zakresie ochrony danych osobowych. Operator gromadzący dane osobowe w Internecie (np. za pośrednictwem strony internetowej) ma obowiązek opublikować w Internecie dokument określający jego politykę w zakresie przetwarzania danych osobowych oraz informację o wdrożonych wymaganiach w zakresie ochrony danych osobowych, a także zapewniają możliwość dostępu do określonego dokumentu. Jest to przewidziane w art. 18 ust. 1 ust. 1 ustawy z dnia 27 lipca 2006 r. nr 152-FZ.

Wielu internautów staje w praktyce przed wywiązaniem się z tego obowiązku. Zatem np. zostawiając jakąkolwiek aplikację na stronach internetowych i podając swoje imię i nazwisko oraz adres e-mail, możesz zwrócić uwagę na link do podobnych dokumentów: „Polityka przetwarzania danych osobowych”, „Regulamin przetwarzania danych osobowych” , itp. . Warto jednak przyznać, że niektóre strony o tym zapominają i nie podają żadnych linków. I okazuje się, że osoba zostawia żądanie w serwisie, nie wie, w jakim celu serwis zbiera dane osobowe.

Niektórzy pracodawcy zamieszczają także na swoich stronach internetowych dostępne oferty pracy i zapraszają kandydatów do wypełnienia formularza „O mnie”. W takich przypadkach na stronie internetowej musi być także dostępny dostęp do „Polityki przetwarzania danych osobowych”.

Od 1 lipca 2017 r. W części 3 art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej zidentyfikowano niezależne przestępstwo - niewypełnienie przez operatora obowiązku publikowania lub zapewnienia nieograniczonego dostępu do dokumentu zawierającego zasady przetwarzania danych osobowych lub informacji o ich ochronie. Odpowiedzialność na podstawie tego artykułu może wyglądać jak upomnienie lub kara administracyjna:

Naruszenie 4: ukrywanie informacji

Osoba, której dane osobowe dotyczą (czyli osoba, do której te dane należą) ma prawo otrzymać informację dotyczącą przetwarzania jej danych osobowych, w tym informację zawierającą (część 7 art. 14 ustawy z dnia 27 lipca 2006 r. 152-FZ):

  1. potwierdzenie faktu przetwarzania danych osobowych przez operatora;
  2. podstawy prawne i cele przetwarzania danych osobowych;
  3. cele i sposoby przetwarzania danych osobowych stosowane przez operatora;
  4. nazwa i lokalizacja operatora, informacje o osobach (z wyjątkiem pracowników operatora), które mają dostęp do danych osobowych lub którym dane osobowe mogą zostać ujawnione na podstawie umowy z operatorem lub na podstawie prawa federalnego;
  5. przetwarzane dane osobowe związane z przedmiotem danych osobowych, źródłem ich otrzymania, chyba że prawo federalne przewiduje inną procedurę przedstawiania takich danych;
  6. warunki przetwarzania danych osobowych, w tym okresy ich przechowywania;
  7. procedura wykonywania przez podmiot danych osobowych praw przewidzianych w niniejszej ustawie federalnej;
  8. informacje o zakończonym lub planowanym transgranicznym przekazywaniu danych;
  9. imię lub nazwisko, imię, patronimika i adres osoby przetwarzającej dane osobowe w imieniu operatora, jeżeli przetwarzanie zostało lub zostanie powierzone takiej osobie;
  10. inne informacje przewidziane w ustawie federalnej lub innych przepisach federalnych.

Dziś możemy zaobserwować problem ochrony danych osobowych: podlegają one penetracji przez wszelkiego rodzaju techniczne środki przetwarzania i przekazywania informacji. Szczególnie dotknięte są organizacje prywatne i publiczne, które korzystają z systemów rachunkowości finansowej i kadrowej. Ustawa federalna nr 152-FZ chroni prawa i reguluje stosunki związane z przetwarzaniem danych osobowych przez operatorów danych osobowych, z automatyzacją lub bez. Zgodnie z tą ustawą danymi osobowymi mogą być wszelkie informacje dotyczące konkretnej osoby. Dane te mogą wskazywać imię i nazwisko danej osoby, datę urodzenia, adres zamieszkania, stan cywilny i majątkowy, jakie posiada wykształcenie, jaką specjalizację wykonuje i jakie osiąga dochody.

Jakie problemy możesz napotkać?

W naszym kraju dostępne są najpopularniejsze systemy do obsługi procesów księgowo-kadrowych, sprzedażowych i CRM. Należą do nich następujące produkty firmy 1C:

  • „1C:Przedsiębiorstwo”;
  • „księgowość 1c”;
  • „1C: zarządzanie wynagrodzeniami i personelem”;
  • „1C: Wynagrodzenia i personel instytucji budżetowej” oraz wiele innych podobnych programów.

Bazy danych plików są dostępne dla każdego użytkownika, istnieje zatem możliwość kopiowania informacji, co z kolei naraża organizację na naruszenie ustawy federalnej nr 152-FZ. Dlatego konieczna jest ochrona danych osobowych w 1C, aby zapobiec nieprzyjemnym globalnym konsekwencjom.

Wiele firm korzysta ze specjalnej bazy danych, która jest przechowywana na serwerze SQL. Ważne jest, aby zrozumieć, że w tym przypadku istnieje niebezpieczeństwo: dane osobowe są nadal kopiowane na zewnętrzne nośniki danych, a następnie przesyłane na telefony komórkowe, karty pamięci i do przechowywania w chmurze. Zaobserwowano również, że skradzione informacje są wysyłane za pośrednictwem poczty elektronicznej, Skype i Telegramu.

Większość atakujących wykonuje zrzuty ekranu ekranu komputera i przesyła dane z 1C do pliku strony trzeciej za pomocą programu buforującego. Metoda ta jest uważana za najpowszechniejszą i bardzo często w firmie dochodziło do tego typu kradzieży danych osobowych.

Jak chronić firmę przed kradzieżą poufnych danych?

Istnieje nowoczesny system chroniący przed wyciekiem w 1C. DeviceLock DLP to skuteczny sposób zapobiegania kopiowaniu informacji przez określonego użytkownika. Program wykrywa także działanie schowka. Ustawienia systemu są elastyczne, dzięki czemu możesz indywidualnie wybierać programy i je blokować.

DeviceLock DLP jest w stanie identyfikować i selektywnie blokować zrzuty ekranu, które uniemożliwiają wykonanie działań przez określonych użytkowników lub różne aplikacje. Program selektywnie zezwala i odmawia dostępu do określonych plików. Osoba odpowiedzialna w firmie otrzymuje powiadomienie o próbie skopiowania informacji na urządzenia zewnętrzne lub przesłania ich przez sieć. Skorzystaj z tej wyjątkowej oferty i pozbądź się nieprzyjemnych konsekwencji.

Nie znaleziono podobnych wiadomości.

Aby chronić dane osobowe przed nieuprawnionym dostępem, stworzono specjalny pakiet oprogramowania 1C: Enterprise 8.3z (ZPK). Bezpieczny kompleks może być stosowany w rządowych systemach informatycznych do 1 klasy bezpieczeństwa włącznie oraz w systemach informatycznych do 1 poziomu bezpieczeństwa danych osobowych włącznie.

Bezpieczny pakiet oprogramowania 1C: Enterprise 8.3z może służyć do organizowania bezpieczeństwa danych osobowych zgodnie ze składem i treścią środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, zatwierdzonych na podstawie zamówienia FSTEC Rosji z dnia 18 lutego 2013 r. N 21 , w systemach informatycznych danych osobowych wszystkich poziomów bezpieczeństwa.

Można używać kompleksu 1C: Enterprise 8.3z:

  • w organizacjach będących operatorami danych osobowych i samodzielnie przetwarzających dane osobowe
  • w organizacjach świadczących usługi utrzymania ISPD kilku operatorów. ZPK 1C: Enterprise, wersja 8.3z

Można go zastosować zarówno przy przetwarzaniu informacji dla jednej osoby prawnej lub przedsiębiorcy, jak i dla grupy kapitałowej (holdingu).

* Pakiet oprogramowania jest kupowany dla istniejących konfiguracji 1C i 1C: Licencje dla przedsiębiorstw.

Opis 1C: Enterprise 8.3z

Complex 1C: Enterprise 8.3z posiada certyfikat Systemu Certyfikacji Bezpieczeństwa Informacji zgodnie z wymogami bezpieczeństwa informacji N ROSS RU.0001.01BI00 i posiada certyfikat zgodności N 3442 (wydany przez FSTEC Rosji 2 września 2015 r.).
Zgodnie z certyfikatem program spełnia wymagania wytycznych „Ochrona przed nieuprawnionym dostępem do informacji. Część 1. Oprogramowanie zabezpieczające informacje. Klasyfikacja według poziomu kontroli niezadeklarowanych zdolności” (Państwowa Komisja Techniczna Rosji, 1999) - zgodnie z czwartym poziomem kontroli, dokument przewodni „Infrastruktura komputerowa. Ochrona przed nieuprawnionym dostępem do informacji. Wskaźniki zabezpieczenia przed nieuprawnionym dostępem do informacji” (Państwowa Komisja Techniczna Rosji, 1992) – zgodnie z 5. klasą bezpieczeństwa, postępując zgodnie z instrukcją obsługi podaną w punkcie 12 formularza dołączonego do produktu.


Certyfikowane kopie platformy oznaczone są znakami zgodności od N K 605432 do K 615431.

Opracowywanie konfiguracji używanych w 1C: Enterprise 8.3z musi odbywać się zgodnie z wymaganiami określonymi w sekcji 4 dokumentu „Bezpieczny pakiet oprogramowania 1C: Enterprise, wersja 8.3z. Przewodnik programisty” i nie powinny wdrażać funkcji bezpieczeństwa i wpływać na wdrażanie funkcji bezpieczeństwa 1C: Enterprise 8.3z. W przypadku spełnienia tych warunków nie jest wymagana certyfikacja konfiguracji w Systemie Certyfikacji N ROSS RU.0001.01BI00 zgodnie z „Regulaminem certyfikacji narzędzi bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji”.

Powyższe wymagania są spełnione dla wszystkich standardowych konfiguracji firmy 1C.

Istnieją dwa tryby działania dla 1C: Enterprise 8.3z: wersja pliku i wersja klient-serwer.

Procedura aktualizacji chronionego pakietu oprogramowania

Dla ZPK cyklicznie wydawane są certyfikowane aktualizacje. Aby je otrzymać należy zapisać się na aktualizacje:

Pakiet 1C: Enterprise 8.3z

W zestawie dostawy ZPK 1C: Enterprise wersja 8.3z znajdują się:

  • DVD z zestawem dystrybucyjnym certyfikowanej platformy oraz podręcznikami użytkownika, administratora i programisty;
  • formularz z sumą kontrolną i znakiem zgodności z FSTEC Rosji w postaci naklejki holograficznej;
  • karta informacyjna produktu objętego ochroną;
  • specyfikacja;
  • kopia certyfikatu FSTEC;
  • KLUCZE ZABEZPIECZAJĄCE NIE SĄ WLICZONE W DOSTAWĘ ZPK 1C: Enterprise, wersja 8.3z!

Płyta DVD z produktem Bezpieczny pakiet oprogramowania 1C: Enterprise 8.3z (x86-64) zawiera:

Kod Nazwa Zalecana cena detaliczna, rub.
4601546119070
 Bezpieczny pakiet oprogramowania „1C: Enterprise 8.3z” (x86-32)
18 000*
Kupić
4601546119087
 Bezpieczny pakiet oprogramowania „1C: Enterprise 8.3z” (x86-64)
54 000*
Kupić
Licencje na dodatkowe miejsca
4601546080875 1C: Enterprise 8. Licencja kliencka na 1 stację roboczą 6 300 Kupić
4601546080882 1C: Enterprise 8. Licencja kliencka na 5 stacji roboczych 21 600 Kupić
4601546080899 1C: Enterprise 8. Licencja kliencka na 10 stacji roboczych 41 400 Kupić
4601546080905 1C: Enterprise 8. Licencja kliencka na 20 stacji roboczych 78 000 Kupić
4601546080912 1C: Enterprise 8. Licencja kliencka na 50 stacji roboczych 187 200 Kupić
4601546080929 1C: Enterprise 8. Licencja kliencka na 100 stacji roboczych 360 000 Kupić
4601546080936 1C: Enterprise 8. Licencja kliencka na 300 stacji roboczych 1 068 000 Kupić
4601546080943 1C: Enterprise 8. Licencja kliencka na 500 stacji roboczych 1 776 000 Kupić

Nowość na stronie

>

Najbardziej popularny

© 2024. Programy. Akcesoria. Komputery. Wyposażenie biura. Sprzęt sieciowy.

POPULARNE SEKCJE