Domov Iné Nepreniknuteľná ochrana od 1C.

Nepreniknuteľná ochrana od 1C.

Do platnosti vstúpil federálny zákon č. 152 „O osobných údajoch“, ktorý od všetkých prevádzkovateľov osobných údajov vyžaduje, aby splnili množstvo požiadaviek na ochranu a uchovávanie osobných údajov.

Poskytujeme služby pre hosting informačných systémov na 1C pre spracovanie osobných údajov, v súlade s 152-FZ. Aké riešenia máte? 1C o ochrane osobných údajov (ISPDn)?

Spoločnosť 1C získala osvedčenie o zhode č. 2137 vydané FSTEC Ruska, ktoré potvrdzuje, že zabezpečený softvérový balík (ZPK) „1C:Enterprise, verzia 8.2z“ je uznávaný ako softvér na všeobecné použitie so vstavaným prostriedky na ochranu informácií pred neoprávneným prístupom (NSD) k informáciám, ktoré neobsahujú informácie predstavujúce štátne tajomstvo.

Na základe výsledkov certifikácie bol potvrdený súlad s požiadavkami riadiacich dokumentov na ochranu pred nenárazovými činnosťami triedy 5, podľa úrovne monitorovania absencia nedeklarovaných spôsobilostí (NDC) na úrovni 4 kontroly možnosť bolo potvrdené použitie na vytváranie automatizovaných systémov (AS) do bezpečnostnej triedy 1G (t.j. AC) zaisťujúcich ochranu dôverných informácií v sieti LAN vrátane, ako aj na ochranu informácií v informačných systémoch osobných údajov (PDIS) do triedy K1 vrátane.

Certifikované kópie platformy 1C sú označené značkami zhody od č. G 420000 do č. G 429999.

1CAir ponúka tieto programy na prenájom. Ako ho začať používať?

Ako vytvoriť systém spracovania osobných údajov na 1C v súlade s 152-FZ?

Všetky konfigurácie vyvinuté na platforme „1C:Enterprise 8.2“ je možné použiť na vytvorenie informačného systému osobných údajov akejkoľvek triedy a nie je potrebná žiadna dodatočná certifikácia aplikačných riešení.

Ďalšie objasnenia boli prijaté od 1C:

1. Federálny zákon č. 152-FZ „O osobných údajoch“ sám o sebe neukladá žiadne požiadavky na softvér (v znení platnom dnes).

2. Požiadavka na potrebu hodnotenia súladu prostriedkov informačnej bezpečnosti je obsiahnutá v odseku 5 Nariadení zavedených nariadením vlády Ruskej federácie zo 17. novembra 2007 N 781 „O schválení Nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov.“

3. Požiadavky na softvér sú priamo stanovené v nariadení FSTEC Ruska č. Tieto podsystémy sa týkajú výlučne technologickej platformy a nie konfigurácií.

4. Pri vykonávaní certifikácie sa pôvodne plánovalo zabezpečiť požiadavky na konfigurácie (technické podmienky). Po dokončení certifikácie však skúšobné laboratórium odmietlo predložiť akékoľvek požiadavky na konfigurácie.

Súčasná legislatíva teda neustanovuje certifikáciu (alebo iné posudzovanie zhody) softvérových produktov, ktoré nie sú nástrojmi informačnej bezpečnosti, ktoré zahŕňajú štandardné konfigurácie, a pre konfigurácie neexistujú žiadne technické podmienky. V súlade s tým je možné použiť akúkoľvek konfiguráciu pre túto platformu s bezpečným softvérovým balíkom.

Navyše pri certifikácii nie sú predmetom len programy, ale celý komplex administratívnych predpisov a opatrení (požiadavky na bezpečnosť, model ohrozenia, klasifikačné akty, plán ochrany osobných údajov a pod.) a celý informačný systém používaný v organizácii.
Prevádzkovateľ spracúvania osobných údajov musí rozhodnúť o priradení príslušnej triedy k systému osobných údajov.

Napriek tomu, že údaje sú uložené mimo Ruskej federácie, federálny zákon č. 152-FZ priamo počíta s možnosťou cezhraničného prenosu údajov, konkrétne v článku 12. „Cezhraničný prenos osobných údajov na území cudzích štátov ktoré sú zmluvnými stranami Dohovoru Rady Európy o ochrane jednotlivcov pri automatizovanom spracúvaní osobných údajov, ako aj iných cudzích krajín, ktoré poskytujú primeranú ochranu práv dotknutých osôb, sa vykonáva v súlade s týmto federálnym zákonom. ..“. Osobné údaje sú uložené v dátových centrách len v tých európskych krajinách, ktoré podpísali tento dohovor, podľa písm Ministerstvo komunikácií a masových komunikácií Ruskej federácie „O vykonávaní cezhraničného prenosu osobných údajov“.
Podľa článku 12 ods. 3 zákona č. 152-FZ sme presvedčení, že pred začatím cezhraničného prenosu osobných údajov je zabezpečená primeraná ochrana práv dotknutých osôb. Toto je zaznamenané v našej dohode s dátovými centrami a odráža sa to v zmluve s klientom.

V súčasnosti sa používa štandardná platforma „1C:Enterprise, verzia 8.2“ s požiadavkami na ochranu údajov, ako je uvedené vyššie. Preto je pomocou 1CAir možné budovať systémy informačnej bezpečnosti v informačných systémoch osobných údajov (PDIS) až do triedy K2 vrátane.

Napriek využívaniu 1CAir zostáva prevádzkovateľom spracúvania vašich osobných údajov vaša organizácia a nie my. Vytvoríte si vlastný bezpečnostný model a v súlade s týmto modelom určíte parametre ochrany. Pomocou týchto technických parametrov môžete od nás zistiť, či takúto službu poskytujeme (napríklad šifrovanie), a vytvoriť požadovaný systém pomocou programov v 1CAir.

Informačná bezpečnosť, podobne ako ochrana informácií, je komplexná úloha zameraná na zaistenie bezpečnosti realizovaná implementáciou bezpečnostného systému. Problém informačnej bezpečnosti je mnohostranný a zložitý a zahŕňa množstvo dôležitých úloh.

Problémy informačnej bezpečnosti neustále zhoršuje prenikanie technických prostriedkov na spracovanie a prenos dát do všetkých sfér spoločnosti, pričom tento problém je obzvlášť naliehavý v oblasti systémov finančného účtovníctva. Najpopulárnejším systémom účtovníctva, predaja a CRM v Rusku je systém 1C Enterprise.

Zvážme potenciálne bezpečnostné hrozby pri používaní programu 1C.

Použitie 1C s databázami vo formáte súboru. Databázy súborov 1C sú najzraniteľnejšie voči fyzickému vplyvu. Je to spôsobené architektonickými vlastnosťami tohto typu databáz - potrebou udržiavať otvorené (s plným prístupom) všetky konfiguračné súbory a samotné databázy súborov pre všetkých používateľov operačného systému. Výsledkom je, že každý používateľ, ktorý má právo pracovať v databáze súborov 1C, môže teoreticky skopírovať alebo dokonca odstrániť informačnú databázu 1C dvoma kliknutiami myšou.

Použitie 1C s databázami vo formáte DBMS. Tento typ problému vzniká, ak sa DBMS (PosgreSQL, MS SQL) používa ako úložisko pre databázy 1C a podnikový server 1C sa používa ako sprostredkovateľská komunikačná služba medzi 1C a DBMS. Toto je príklad – mnoho spoločností praktizuje úpravu konfigurácií 1C tak, aby vyhovovali ich potrebám. V procese zdokonaľovania, v podmienkach projektového „rozruchu“, neustáleho testovania nových, vylepšených funkcií, zodpovední špecialisti často zanedbávajú pravidlá bezpečnosti siete.
Výsledkom je, že niektorí jednotlivci, ktorí majú priamy prístup k databáze DBMS alebo majú práva správcu na serveri 1C Enterprise, dokonca aj na dočasné testovacie obdobie, môžu buď vytvoriť záložnú kópiu na externé zdroje, alebo úplne odstrániť databázu v DBMS.

Otvorenosť a dostupnosť serverových zariadení. Ak dôjde k neoprávnenému prístupu k zariadeniu servera, zamestnanci spoločnosti alebo tretie strany môžu tento prístup použiť na odcudzenie alebo poškodenie informácií. Jednoducho povedané, ak útočník získa priamy prístup do tela a konzoly 1c servera, rozsah jeho schopností sa desaťnásobne rozšíri.

Riziká krádeže a úniku osobných údajov. Aktuálnym ohrozením bezpečnosti osobných údajov sa tu rozumie súhrn podmienok a faktorov, ktoré vytvárajú aktuálne nebezpečenstvo neoprávneného, ​​vrátane náhodného, ​​prístupu k osobným údajom pri ich spracúvaní v informačnom systéme, napr. operátori, účtovné oddelenia a pod.
To môže mať za následok zničenie, úpravu, blokovanie, kopírovanie, poskytovanie, distribúciu osobných údajov, ako aj iné protiprávne konanie zodpovedných osôb.

Zabezpečenie siete. Podnikový informačný systém vybudovaný v rozpore s GOST, bezpečnostnými požiadavkami, odporúčaniami alebo bez riadnej IT podpory je plný dier, vírusov a spywaru a mnohých zadných vrátok (neoprávnený prístup do internej siete), ktoré priamo ovplyvňujú bezpečnosť firemných údajov v 1C. To vedie k ľahkému prístupu útočníka ku komerčne citlivým informáciám. Útočník môže napríklad využiť voľný prístup k záložným kópiám a absenciu hesla pre archívy so záložnými kópiami na osobný zisk. Nehovoriac o elementárnom poškodení databázy 1C vírusovou aktivitou.

Vzťah medzi 1C a vonkajšími objektmi.Ďalšou potenciálnou hrozbou je potreba (a niekedy aj špeciálna marketingová funkcia) účtovnej databázy 1C komunikovať s „vonkajším svetom“. Nahrávanie/sťahovanie klientskych bánk, výmena informácií s pobočkami, pravidelná synchronizácia s firemnými webmi, portálmi, ďalšími reportovacími programami, klientsky a predajný manažment a mnoho iného. Keďže v tejto oblasti 1C nie je podporovaný súlad s bezpečnostnými normami a jednotnosť výmeny informácií o sieti, únik je celkom reálny v ktoromkoľvek bode jeho trasy.
V dôsledku potreby neštandardných vylepšení automatizácie procesov alebo škrtov v rozpočte na nevyhnutné opatrenia na ochranu prevádzky okamžite narastá počet zraniteľností, dier, nezabezpečených pripojení, otvorených portov, ľahko dostupných výmenných súborov v nešifrovanej podobe atď. v účtovnom systéme. Čo by to mohlo viesť, si viete pokojne predstaviť – od jednoduchého znefunkčnenia databázy 1C na určitý čas až po falšovanie niekoľkomiliónového platobného príkazu.

Čo možno navrhnúť na vyriešenie takýchto problémov?

1. Pri práci s databázami súborov 1C Na zaistenie bezpečnosti základní je nevyhnutné zaviesť niekoľko opatrení:

  • Pomocou obmedzení prístupu NTFS poskytnite potrebné práva iba tým používateľom, ktorí s touto databázou pracujú, čím ochránite databázu pred krádežou alebo poškodením bezohľadnými zamestnancami alebo útočníkom;
  • Na prihlásenie sa do používateľských pracovných staníc a prístup k sieťovým zdrojom vždy používajte autorizáciu systému Windows;
  • Používajte šifrované disky alebo šifrované priečinky, ktoré vám umožnia uložiť dôverné informácie, aj keď odstránite databázu 1C;
  • Vytvorte politiku automatického uzamykania obrazovky a poskytnite školenie používateľov na vysvetlenie potreby uzamykania profilu;
  • Diferenciácia prístupových práv na úrovni 1C umožní používateľom prístup iba k informáciám, ku ktorým majú príslušné práva;
  • Spustenie konfigurátora 1C je potrebné povoliť len tým zamestnancom, ktorí to potrebujú.

2. Pri práci s databázami DBMS 1C Venujte prosím pozornosť nasledujúcim odporúčaniam:

  • Poverenia na pripojenie k DBMS by nemali mať administrátorské práva;
  • Je potrebné rozlišovať prístupové práva k databázam DBMS, napríklad vytvoriť si vlastný účet pre každú informačnú základňu, čo minimalizuje stratu dát v prípade hacknutia jedného z účtov;
  • Odporúča sa obmedziť fyzický a vzdialený prístup k podnikovej databáze a serverom 1C;
  • Pre databázy sa odporúča používať šifrovanie, ktoré ušetrí dôverné údaje aj v prípade, že útočník získa fyzický prístup k súborom DBMS;
  • Jedným z dôležitých rozhodnutí je tiež šifrovanie alebo nastavenie hesla na zálohovanie údajov;
  • Je povinné vytvoriť správcov pre klaster 1C, ako aj server 1C, pretože v predvolenom nastavení, ak nie sú vytvorení žiadni používatelia, majú úplne všetci používatelia systému úplný prístup k informačným základniam.

3. Požiadavky na zabezpečenie fyzickej bezpečnosti serverového zariadenia:
(podľa GOST R ISO/IEC TO – 13335)

  • Prístup do oblastí, kde sa spracúvajú alebo uchovávajú citlivé informácie, musí byť kontrolovaný a obmedzený len na oprávnené osoby;
  • Kontroly autentizácie, ako je karta kontroly prístupu plus osobné identifikačné číslo , musí byť použitý na autorizáciu a potvrdenie akéhokoľvek prístupu;
  • Kontrolný záznam o všetkých prístupoch sa musí uchovávať na bezpečnom mieste;
  • Pomocný personál tretej strany by mal mať obmedzený prístup do bezpečnostných oblastí alebo zariadení na spracovanie citlivých informácií len v prípade potreby;
  • tento prístup musí byť vždy autorizovaný a monitorovaný;
  • Prístupové práva do bezpečnostných oblastí by sa mali pravidelne revidovať a aktualizovať av prípade potreby by sa mali zrušiť;
  • Musia sa zohľadniť príslušné bezpečnostné a zdravotné predpisy a normy;
  • Kľúčové zariadenia by mali byť umiestnené tak, aby k nim nemala prístup široká verejnosť;
  • Ak je to vhodné, budovy a miestnosti by mali byť nenáročné a mali by minimálne indikovať svoj účel, bez výrazného označenia, mimo budovy alebo vo vnútri budovy, naznačujúce prítomnosť činností spracovania informácií;
  • Značky a interné telefónne zoznamy označujúce umiestnenie zariadení na spracovanie citlivých informácií by nemali byť ľahko dostupné širokej verejnosti.

4. Dôvernosť osobných údajov. Hlavným cieľom pri organizovaní ochrany osobných údajov je neutralizovať aktuálne hrozby v informačnom systéme, defin Federálny zákon z 27. júla 2006 č. 152-FZ „O osobných údajoch“ , zoznam štátnych noriem a požiadaviek medzinárodných certifikátov bezpečnosti IT (GOST R ISO/IEC 13335 2-5, ISO 27001) . Dosahuje sa to obmedzením prístupu k informáciám podľa ich typov, vymedzením prístupu k informáciám podľa používateľských rolí, štruktúrovaním procesu spracovania a uchovávania informácií.
Tu je niekoľko kľúčových bodov:

  • Spracúvanie osobných údajov musí byť obmedzené na dosiahnutie konkrétnych, vopred definovaných a legitímnych účelov;
  • Súhlas so spracovaním osobných údajov musí byť konkrétny, informovaný a vedomý;
  • Spracúvanie osobných údajov, ktoré je nezlučiteľné s účelmi zhromažďovania osobných údajov, nie je povolené;
  • Predmetom spracúvania sú iba osobné údaje, ktoré spĺňajú účely ich spracúvania;
  • Prevádzkovatelia a iné osoby, ktoré majú prístup k osobným údajom, sú povinní bez súhlasu subjektu osobných údajov nezverejňovať tretím osobám ani nešíriť osobné údaje, pokiaľ federálny zákon neustanovuje inak;
  • Fotografické, obrazové, zvukové alebo iné záznamové zariadenia, ako sú kamery na mobilných zariadeniach, by nemali byť povolené, pokiaľ nie sú povolené;
  • Jednotky s vymeniteľnými médiami by mali byť povolené len vtedy, ak to vyžaduje podnik;
  • Aby sa zabezpečilo, že sa s dôvernými informáciami nemanipuluje, papier a elektronické médiá sa musia skladovať vo vhodne uzamknutých skrinkách a/alebo inom zabezpečenom nábytku, keď sa nepoužívajú, najmä počas mimopracovných hodín;
  • Médiá obsahujúce dôležité alebo citlivé vlastnícke informácie by mali byť odložené a uzamknuté, keď to nie je potrebné (napríklad v ohňovzdornom trezore alebo skrini), najmä ak je priestor neobsadený.

5. Zabezpečenie siete- ide o súbor požiadaviek na infraštruktúru podnikovej počítačovej siete a zásady pre prácu v nej, ktorých implementácia zabezpečuje ochranu sieťových zdrojov pred neoprávneným prístupom. V rámci odporúčaných akcií na organizáciu a zaistenie bezpečnosti siete môžete okrem základných funkcií zvážiť aj tieto funkcie:

  • V prvom rade musí spoločnosť zaviesť jednotné nariadenie o informačnej bezpečnosti s príslušnými pokynmi;
  • Používateľom by sa mal v maximálnej možnej miere zakázať prístup na nežiaduce stránky vrátane služieb hostenia súborov;
  • Z externej siete by mali byť otvorené iba tie porty, ktoré sú potrebné pre správnu činnosť používateľov;
  • Musí existovať systém komplexného monitorovania akcií užívateľov a promptného oznamovania narušení normálneho stavu všetkých verejne dostupných zdrojov, ktorých prevádzka je pre Spoločnosť dôležitá;
  • Dostupnosť centralizovaného antivírusového systému a politík na čistenie a odstraňovanie škodlivého softvéru;
  • Dostupnosť centralizovaného systému na správu a aktualizáciu antivírusového softvéru, ako aj zásad pre pravidelné aktualizácie OS;
  • Možnosť spúšťania vymeniteľných flash médií by mala byť čo najviac obmedzená;
  • Heslo musí mať aspoň 8 znakov, musí obsahovať čísla a veľké a malé písmená;
  • Musí existovať ochrana a šifrovanie priečinkov na výmenu kľúčových informácií, najmä 1c výmenných súborov a systému klient-banka;
  • Elektrické a diaľkové komunikačné linky zahrnuté v zariadeniach na spracovanie informácií by mali byť tam, kde je to možné, pod zemou alebo by mali podliehať primeranej alternatívnej ochrane;
  • Sieťové káble musia byť chránené pred neoprávneným odpočúvaním alebo poškodením, napríklad použitím vedenia alebo vyhýbaním sa trasám cez verejne prístupné oblasti.

Zhrnutím vyššie uvedeného by som rád poznamenal, že hlavnými pravidlami ochrany informácií sú obmedzovanie práv a možností používateľov, ako aj kontrola nad nimi pri používaní informačných systémov. Čím menej práv má používateľ pri práci s informačným systémom, tým menšia je pravdepodobnosť úniku informácií alebo poškodenia v dôsledku nekalého úmyslu alebo nedbanlivosti.


Komplexným riešením na ochranu podnikových údajov vrátane databáz 1C je riešenie „Server v Izraeli“, ktoré obsahuje aktuálne nástroje na zabezpečenie vysokej úrovne dôvernosti informácií.

Integrácia systému. Poradenstvo

Od 1. júla 2017 sa výrazne sprísnila zodpovednosť za priestupky pri interakcii s osobnými údajmi fyzických osôb. Vyplýva to z ustanovení federálneho zákona zo dňa 2.7.2017 č. 13-FZ). Zmeny sa dotknú všetkých zamestnávateľov bez výnimky, ktorí sa podieľajú na spracúvaní osobných údajov zamestnancov a jednotlivých dodávateľov. Navyše môžeme povedať, že novely sa týkajú takmer celej podnikateľskej komunity, ktorá komunikuje s osobnými údajmi jednotlivcov (napríklad vlastníkov webových stránok, ktoré zhromažďujú osobné údaje návštevníkov). Ako sa pripraviť na zmeny? Zvýšia sa pokuty? Kto bude zisťovať porušenia pri spracúvaní osobných údajov? Poďme na to.

Osobné údaje: špeciálne informácie

Osobné údaje zamestnancov sú akékoľvek informácie potrebné pre zamestnávateľa v súvislosti s pracovnoprávnymi vzťahmi a týkajúce sa konkrétneho zamestnanca (článok 1, článok 3 federálneho zákona z 27. júla 2006 č. 152-FZ „O osobných údajoch“).

U zamestnávateľa (organizácie alebo fyzického podnikateľa) sú osobné údaje zamestnancov najčastejšie zhrnuté v ich osobných kartách a osobných spisoch. Takmer každý personalista či personalista zároveň vie, že osobné údaje možno získať len osobne od zamestnancov. Ak je možné osobné údaje získať iba od tretích strán, ruské právne predpisy zaväzujú zamestnanca o tom informovať a získať od neho písomný súhlas (článok 3 časti 1 článku 86 Zákonníka práce Ruskej federácie).

Zamestnávatelia nemajú právo prijímať a spracúvať osobné údaje, ktoré priamo nesúvisia s pracovnou činnosťou osoby. To znamená, že nie je možné zbierať informácie napríklad o náboženstve zamestnancov. Takéto informácie totiž predstavujú osobné alebo rodinné tajomstvo a nemôžu byť žiadnym spôsobom spojené s plnením pracovných povinností (článok 4 časti 1 článku 86 Zákonníka práce Ruskej federácie).

Po prijatí osobných údajov je zamestnávateľ na základe zákonných požiadaviek povinný ich nedistribuovať ani nezverejniť tretím stranám bez súhlasu zamestnanca (článok 7 federálneho zákona z 27. júla 2006 č. 152-FZ).

Osobným údajom možno chápať akúkoľvek informáciu priamo alebo nepriamo súvisiacu s konkrétnou fyzickou osobou (subjektom osobných údajov) - odsek 1 článku 3 federálneho zákona z 27. júla 2006 č. 152-FZ. Príkladmi takýchto informácií môžu byť priezvisko, meno, priezvisko, dátum a miesto narodenia, miesto bydliska atď.

Ako je zamestnávateľ povinný chrániť osobné údaje

Pre ochranu a obmedzenie prístupu k osobným údajom musí zamestnávateľ zabezpečiť kvalitný a moderný systém ich ochrany. Ako presne to urobiť? Každý zamestnávateľ rozhoduje o tejto otázke samostatne. Postup pri prijímaní, spracúvaní, prenose a uchovávaní osobných údajov musí byť zároveň zakotvený v miestnom akte organizácie, napríklad v Nariadeniach o spracúvaní osobných údajov zamestnancov ( 8, 87 Zákonníka práce Ruskej federácie, odsek 2, časť 1, článok 18.1 federálneho zákona z 27. júla 2006 č. 152-FZ).

Zamestnávateľ musí tiež oficiálne vymenovať zamestnanca, ktorý je zodpovedný za prácu s osobnými údajmi (časť 5 článku 88 Zákonníka práce Ruskej federácie). Môže ísť napríklad o zamestnanca HR oddelenia, ktorý pracuje s osobnými spismi, získava súhlas zamestnanca na spracovanie, vedie zamestnanecké karty a pod.

Kontroly zamestnávateľa týkajúce sa spracovania osobných údajov vykonávajú oddelenia Roskomnadzor. Príkaz č. 312 Ministerstva telekomunikácií a masových komunikácií Ruska zo 14. novembra 2011 schválil Administratívne predpisy na výkon funkcií vykonávania štátnej kontroly (dozoru) Roskomnadzorom.

Aké povinnosti platia pre zamestnávateľov

Za porušenie postupu prijímania, spracovania, uchovávania a ochrany osobných údajov zamestnancov sa poskytuje disciplinárna, materiálna, správna a trestná zodpovednosť (článok 90 Zákonníka práce Ruskej federácie, časť 1, článok 24 federálneho zákona č. 27. júla 2006 č. 152-FZ). Pozrime sa na každý z týchto typov zodpovednosti.

Disciplinárna zodpovednosť

Zamestnanci, ktorí sú z pracovnoprávnych vzťahov povinní dodržiavať pravidlá pre prácu s osobnými údajmi, ale porušili ich (článok 192 Zákonníka práce Ruskej federácie), môžu byť braní na zodpovednosť za porušenie pri práci s osobnými údajmi. To znamená, že môžete brať na zodpovednosť napríklad HR manažéra, ktorý je poverený príslušnou prácou. Za disciplinárny priestupok zhromažďovania, spracúvania a uchovávania osobných údajov môže zamestnávateľ potrestať svojho zamestnanca jedným z nasledujúcich trestov (článok 192 Zákonníka práce Ruskej federácie, časť 1):

  • komentovať;
  • pokarhanie;
  • prepúšťanie.

Hmotná zodpovednosť

Finančná zodpovednosť zamestnanca môže vzniknúť, ak v súvislosti s porušením pravidiel pre prácu s osobnými údajmi organizácie dôjde k priamej skutočnej škode (článok 238 Zákonníka práce Ruskej federácie). Predpokladajme, že zodpovedný pracovník HR oddelenia sa dopustil hrubého porušenia - distribuoval osobné údaje zamestnancov na internete. Pracovníci, ktorí sa o tom dozvedeli, podali žalobu proti zamestnávateľovi, ktorý rozhodol: „zaplatiť peňažnú náhradu poškodeným pracovníkom - 50 000 rubľov za každého“. V takejto situácii má zamestnávateľ možnosť uvaliť obmedzenú finančnú zodpovednosť na vinného zamestnanca oddelenia ľudských zdrojov v medziach jeho priemerného mesačného zárobku (článok 241 Zákonníka práce Ruskej federácie). Vymáhanie spôsobenej škody je možné vykonať na príkaz vedúceho zamestnanca najneskôr do jedného mesiaca odo dňa právoplatného určenia výšky škody spôsobenej zamestnancom. Ak mesačná lehota uplynula, bude potrebné náhradu škody vymáhať súdnou cestou. Tento postup je stanovený v článku 248 Zákonníka práce Ruskej federácie.

Prečítajte si tiež Čas odpočinku za prácu nadčas

S plnou finančnou zodpovednosťou bude musieť zamestnanec plne nahradiť organizáciu celú výšku škody vzniknutej v súvislosti s porušením v oblasti osobných údajov (články 242 a 243 Zákonníka práce Ruskej federácie). Zamestnanci zodpovední za spracovanie osobných údajov však spravidla nenesú plnú finančnú zodpovednosť.

Zamestnávateľ (napríklad komerčná organizácia) uplatňuje disciplinárnu a finančnú zodpovednosť výlučne podľa vlastného uváženia. Štátne regulačné orgány (vrátane Roskomnadzoru) sa na tomto procese nezúčastňujú.

Administratívna zodpovednosť

Za porušenie postupu zhromažďovania, uchovávania, používania alebo distribúcie osobných údajov zamestnávateľa a úradníkov môžu regulačné orgány uložiť administratívnu zodpovednosť vo forme pokút, ktoré môžu dosiahnuť:

  • pre úradníkov (napríklad generálny riaditeľ, hlavný účtovník, personalista alebo individuálny podnikateľ): od 500 do 1 000 rubľov;
  • pre organizáciu: od 5 000 do 10 000 rubľov.

Samostatná (nezávislá) pokuta pre úradníkov za zverejnenie osobných údajov v súvislosti s plnením služobných alebo profesionálnych povinností sa pohybuje od 4 000 do 5 000 rubľov. Takéto sankcie sú opísané v článkoch 13.11 a 13.14 Zákonníka Ruskej federácie o správnych deliktoch.

Trestnoprávna zodpovednosť

Trestná zodpovednosť riaditeľa, hlavného účtovníka alebo vedúceho oddelenia ľudských zdrojov spoločnosti alebo inej osoby zodpovednej za prácu s osobnými údajmi môže vzniknúť za protiprávne konanie:

  • zhromažďovanie alebo šírenie informácií o súkromnom živote zamestnanca, ktoré predstavujú jeho osobné alebo rodinné tajomstvo, bez jeho súhlasu;
  • šírenie informácií o zamestnancovi vo verejnom prejave, verejne vystavenom diele alebo médiách.

Za takéto porušenia týkajúce sa nakladania s osobnými údajmi sú povolené tieto trestné sankcie:

  • pokuta do 200 000 rubľov (alebo vo výške príjmu odsúdeného na obdobie do 18 mesiacov);
  • povinná práca až 360 hodín;
  • nápravná práca do jedného roka;
  • nútená práca na obdobie až dvoch rokov s alebo bez odňatia práva zastávať určité funkcie alebo vykonávať určité činnosti na obdobie až troch rokov;
  • zatknutie až na štyri mesiace;
  • trest odňatia slobody až na dva roky s odňatím práva zastávať určité funkcie alebo vykonávať určité činnosti až na tri roky.

Rovnaké činy spáchané osobou využívajúcou svoje úradné postavenie sa trestajú prísnejšie:

  • pokuta od 100 000 do 300 000 rubľov. (alebo vo výške príjmu odsúdeného za obdobie jedného až dvoch rokov);
  • zbavenie práva zastávať určité funkcie alebo vykonávať určité činnosti na obdobie dvoch až piatich rokov;
  • nútená práca na obdobie až štyroch rokov s alebo bez odňatia práva zastávať určité funkcie alebo vykonávať určité činnosti na obdobie až piatich rokov;
  • zatknutie na štyri až šesť mesiacov;
  • trest odňatia slobody až na štyri roky s odňatím práva zastávať určité funkcie alebo vykonávať určité činnosti až na päť rokov (článok 137 Trestného zákona Ruskej federácie).

Čo sa zmení od 1. júla 2017

Federálny zákon z 07.02. 2017 č. 13-FZ rozšíril zoznam dôvodov pre vyvodenie administratívnej zodpovednosti zamestnávateľa v oblasti ochrany osobných údajov a zvýšil aj výšku správnych pokút. Tento zákon nadobúda účinnosť 1. júla 2017. Hneď si povedzme, že administratívna zodpovednosť v oblasti osobných údajov sa výrazne sprísnila. Zároveň je dôležité nasledovné: namiesto jediného typu administratívnej zodpovednosti opísanej v článku 13.11 Kódexu správnych deliktov Ruskej federácie sa objaví sedem. Za rôzne porušenia zo strany zamestnávateľov v oblasti osobných údajov tak môžu byť uplatnené rôzne pokuty. Ak sa zistí viacero porušení za rôzne priestupky, počet pokút sa môže primerane zvýšiť. Vysvetlime si nové priestupky podrobnejšie.

Porušenie 1: spracúvanie osobných údajov na „iné“ účely

Od 1. júla 2017 je spracúvanie osobných údajov v prípadoch, ktoré zákon neustanovuje, alebo spracúvanie osobných údajov nezlučiteľné s účelmi zhromažďovania osobných údajov samostatnými druhmi správnych priestupkov (časť 1 článku 13.11 správneho poriadku). Trestné činy Ruskej federácie). Uveďme príklad: zamestnávateľská organizácia zhromažďuje osobné údaje zamestnancov a tieto údaje prenáša na reklamné účely spoločnostiam tretích strán (prenáša sa celé meno, telefónne čísla, regióny bydliska, výška príjmu). Potom reklamné firmy začnú zamestnancom posielať rôzne spamy a reklamné ponuky na telefónne, e-mailové a domáce adresy. Ak takéto konanie zamestnávateľa neodhalí trestný čin, môže sa uplatniť správna zodpovednosť. Od 1. júla 2017 môžu byť správne sankcie nasledovné:

  • alebo varovanie;
  • alebo pokuty.

Porušenie 2: spracúvanie osobných údajov bez súhlasu

Spracúvanie osobných údajov zamestnávateľom je spravidla možné len s písomným súhlasom zamestnancov. Takýto súhlas musí obsahovať nasledujúce informácie (časť 4 článku 9 zákona č. 152-FZ z 27. júla 2006):

  • Celé meno, adresa zamestnanca, údaje o pase (iný doklad preukazujúci jeho totožnosť) vrátane údajov o dátume vydania dokladu a o orgáne, ktorý doklad vydal;
  • meno alebo celé meno a adresa zamestnávateľa (prevádzkovateľa), ktorý dostane súhlas zamestnanca;
  • účel spracúvania osobných údajov;
  • zoznam osobných údajov, na spracovanie ktorých sa udeľuje súhlas;
  • meno alebo celé meno a adresu osoby spracúvajúcej osobné údaje v mene zamestnávateľa, ak bude spracúvaním poverená takáto osoba;
  • zoznam úkonov s osobnými údajmi, na ktoré sa udeľuje súhlas, všeobecný popis spôsobov, akými zamestnávateľ spracúva osobné údaje;
  • obdobie, počas ktorého je súhlas zamestnanca platný, ako aj spôsob jeho odvolania, pokiaľ federálny zákon nestanovuje inak;
  • podpis zamestnanca.

Od 1. júla 2017 je spracúvanie osobných údajov bez písomného súhlasu zamestnanca, alebo ak písomný súhlas neobsahuje informácie uvedené vyššie, samostatným správnym priestupkom ustanoveným v časti 2 článku 13.11 zákona o správnych deliktoch Ruskej federácie. Za to sú možné sankcie:

Porušenie 3: prístup k zásadám spracovania osobných údajov

Prevádzkovateľ osobných údajov (napríklad zamestnávateľ alebo webová stránka) je povinný zverejniť alebo inak poskytnúť neobmedzený prístup k dokumentu, ktorý definuje jeho zásady pri spracúvaní osobných údajov, k informáciám o implementovaných požiadavkách na ochranu osobných údajov. Prevádzkovateľ zbierajúci osobné údaje na internete (napríklad prostredníctvom webovej stránky) je povinný zverejniť na internete dokument vymedzujúci jeho zásady spracovania osobných údajov a informácie o realizovaných požiadavkách na ochranu osobných údajov, ako aj poskytnúť možnosť prístupu k určenému dokumentu. Toto je ustanovené v odseku 2 článku 18.1 zákona č. 152-FZ z 27. júla 2006.

S plnením tejto povinnosti sa v praxi stretáva veľa užívateľov internetu. Takže napríklad, keď na webových stránkach necháte akúkoľvek aplikáciu a uvediete svoje celé meno a e-mail, môžete venovať pozornosť odkazu na podobné dokumenty: „Zásady spracovania osobných údajov“, „Nariadenia o spracovaní osobných údajov“ , atď. . Je však potrebné si uvedomiť, že niektoré stránky to zanedbávajú a neposkytujú žiadne odkazy. A ukázalo sa, že osoba zanechá na stránke žiadosť, nevie, na aké účely stránka zhromažďuje osobné údaje.

Niektorí zamestnávatelia tiež zobrazujú dostupné voľné pracovné miesta na svojich webových stránkach a vyzývajú kandidátov, aby vyplnili formulár „O mne“. V takýchto prípadoch musí webová lokalita poskytovať aj prístup k „Zásadám spracovania osobných údajov“.

Od 1. júla 2017 je v časti 3 článku 13.11 Kódexu správnych deliktov Ruskej federácie identifikovaný nezávislý priestupok - nesplnenie povinnosti prevádzkovateľa zverejniť alebo poskytnúť neobmedzený prístup k dokumentu so zásadou spracovania. osobných údajov alebo informácie o ich ochrane. Zodpovednosť podľa tohto článku môže vyzerať ako varovanie alebo správne pokuty:

Porušenie 4: zatajenie informácií

Subjekt osobných údajov (t. j. fyzická osoba, ktorej tieto údaje patria) má právo získať informácie o spracúvaní jeho osobných údajov vrátane informácií obsahujúcich (časť 7 článku 14 zákona z 27. júla 2006 č. 152-FZ):

  1. potvrdenie skutočnosti o spracúvaní osobných údajov prevádzkovateľom;
  2. právne základy a účely spracúvania osobných údajov;
  3. účely a spôsoby spracúvania osobných údajov, ktoré prevádzkovateľ používa;
  4. meno a sídlo prevádzkovateľa, údaje o osobách (okrem zamestnancov prevádzkovateľa), ktoré majú prístup k osobným údajom alebo ktorým môžu byť osobné údaje sprístupnené na základe dohody s prevádzkovateľom alebo na základe federálneho zákona;
  5. spracúvané osobné údaje súvisiace s príslušným subjektom osobných údajov, zdroj ich získania, pokiaľ federálny zákon neustanovuje iný postup na predkladanie takýchto údajov;
  6. podmienky spracovania osobných údajov vrátane doby ich uchovávania;
  7. postup pri uplatňovaní práv dotknutej osoby podľa tohto spolkového zákona;
  8. informácie o dokončených alebo zamýšľaných cezhraničných prenosoch údajov;
  9. meno alebo priezvisko, priezvisko a adresa osoby, ktorá spracúva osobné údaje v mene prevádzkovateľa, ak spracúvanie bolo alebo bude pridelené takejto osobe;
  10. iné informácie stanovené federálnym zákonom alebo inými federálnymi zákonmi.

Dnes môžeme pozorovať problém ochrany osobných údajov: podlieha prieniku všetkých druhov technických prostriedkov spracovania a prenosu informácií. Postihnuté sú najmä súkromné ​​a verejné organizácie, ktoré používajú finančné a personálne účtovné systémy. Federálny zákon č. 152-FZ chráni práva a upravuje vzťahy súvisiace so spracúvaním osobných údajov prevádzkovateľmi osobných údajov s automatizáciou alebo bez nej. Osobným údajom môže byť podľa tohto zákona akákoľvek informácia, ktorá sa týka konkrétnej fyzickej osoby. Tieto údaje môžu uvádzať celé meno osoby, dátum narodenia, adresu bydliska, rodinný a sociálny stav, aké má vzdelanie, v akej špecializácii pracuje a aký má príjem.

S akými problémami sa môžete stretnúť?

Naša krajina poskytuje najpopulárnejšie systémy pre účtovníctvo a personálnu evidenciu, predaj a CRM procesy. Patria sem nasledujúce produkty spoločnosti 1C:

  • "1C:Podnik";
  • "1c účtovníctvo";
  • „1C: mzdový a personálny manažment“;
  • „1C: Platy a personál rozpočtovej inštitúcie“ a mnoho ďalších podobných programov.

Databázy súborov sú dostupné každému používateľovi, takže existuje možnosť kopírovania informácií, čím organizácia porušuje federálny zákon č. 152-FZ. Preto je potrebné v 1C chrániť osobné údaje, aby sa predišlo nepríjemným globálnym následkom.

Mnoho spoločností sa uchyľuje k špeciálnej databáze, ktorá je uložená na serveri SQL. Je dôležité pochopiť, že v tomto prípade existuje nebezpečenstvo: osobné údaje sa naďalej kopírujú na externé pamäťové médium s následným prenosom na mobilné telefóny, pamäťové karty a cloudové úložisko. Tiež sa zistilo, že ukradnuté informácie sa odosielajú prostredníctvom e-mailu, Skype a telegramu.

Väčšina útočníkov robí snímky obrazovky počítača a prenáša údaje zo súboru 1C do súboru tretej strany pomocou programu na ukladanie do vyrovnávacej pamäte. Tento spôsob je považovaný za najbežnejší a veľmi často spoločnosť trpela týmto typom krádeže osobných údajov.

Ako ochrániť vašu spoločnosť pred krádežou dôverných údajov?

Existuje moderný systém, ktorý chráni pred únikom v 1C. DeviceLock DLP je účinný spôsob, ako zabrániť konkrétnemu používateľovi v kopírovaní informácií. Program zisťuje aj fungovanie schránky. Systémové nastavenia sú flexibilné, takže si programy môžete individuálne vybrať a uzamknúť.

DeviceLock DLP dokáže identifikovať a selektívne blokovať snímky obrazovky, ktoré zabraňujú činnosti konkrétnych používateľov alebo rôznych aplikácií. Program selektívne povoľuje a zakazuje prístup k určitým súborom. Zodpovedná osoba spoločnosti dostane upozornenie o pokuse skopírovať informácie na externé zariadenia alebo ich odoslať cez sieť. Využite túto jedinečnú ponuku na odstránenie nepríjemných následkov.

Nenašli sa žiadne podobné správy.

Na ochranu osobných údajov pred neoprávneným prístupom bol vytvorený špeciálny softvérový balík 1C: Enterprise 8.3z (ZPK). Zabezpečený komplex je možné použiť v informačných systémoch verejnej správy do bezpečnostnej triedy 1 vrátane a v informačných systémoch do stupňa zabezpečenia osobných údajov 1 vrátane.

Zabezpečený softvérový balík 1C: Enterprise 8.3z je možné použiť na organizáciu bezpečnosti osobných údajov v súlade so zložením a obsahom organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov schválených objednávkou. FSTEC Ruska zo dňa 18. februára 2013 N 21 v informačných systémoch osobných údajov všetkých úrovní zabezpečenia.

Komplex 1C: Enterprise 8.3z možno použiť:

  • v organizáciách, ktoré sú prevádzkovateľmi osobných údajov a spracúvajú osobné údaje samostatne
  • v organizáciách poskytujúcich služby údržby ISPD viacerých prevádzkovateľov. ZPK 1C: Enterprise, verzia 8.3z

Dá sa použiť ako pri spracúvaní informácií pre jednu právnickú osobu alebo podnikateľa, tak aj pre skupinu spoločností (holding).

* Softvérový balík sa kupuje pre existujúce konfigurácie 1C a 1C: Enterprise licencie.

Popis 1C: Enterprise 8.3z

Complex 1C: Enterprise 8.3z je certifikovaný v systéme certifikácie informačnej bezpečnosti podľa požiadaviek informačnej bezpečnosti N ROSS RU.0001.01BI00 a má certifikát zhody N 3442 (vydaný FSTEC Ruska 2. septembra 2015).
Podľa certifikátu program spĺňa požiadavky usmernenia „Ochrana pred neoprávneným prístupom k informáciám. Časť 1. Softvér informačnej bezpečnosti. Klasifikácia podľa úrovne kontroly nedeklarovaných schopností“ (Štátna technická komisia Ruska, 1999) – podľa 4. úrovne kontroly, smerný dokument „Počítačové zariadenia. Ochrana pred neoprávneným prístupom k informáciám. Indikátory zabezpečenia proti neoprávnenému prístupu k informáciám“ (Štátna technická komisia Ruska, 1992) – podľa bezpečnostnej triedy 5 pri dodržiavaní prevádzkových pokynov uvedených v časti 12 formulára priloženého k produktu.


Overené kópie plošiny sú označené značkami zhody od N K 605432 do K 615431.

Vývoj konfigurácií používaných s 1C: Enterprise 8.3z sa musí vykonávať v súlade s požiadavkami uvedenými v časti 4 dokumentu „Bezpečný softvérový balík 1C: Enterprise, verzia 8.3z. Príručka pre vývojárov“ a nemali by implementovať bezpečnostné funkcie a ovplyvňovať implementáciu bezpečnostných funkcií 1C: Enterprise 8.3z. Pri splnení týchto podmienok sa nevyžaduje certifikácia konfigurácií v Certifikačnom systéme N ROSS RU.0001.01BI00 v súlade s „Predpismi o certifikácii nástrojov informačnej bezpečnosti podľa požiadaviek informačnej bezpečnosti“.

Vyššie uvedené požiadavky sú splnené pre všetky štandardné konfigurácie spoločnosti 1C.

Pre 1C existujú dva prevádzkové režimy: Enterprise 8.3z: verzia súboru a verzia klient-server.

Postup aktualizácie chráneného softvérového balíka

Pre ZPK sú pravidelne vydávané certifikované aktualizácie. Ak ich chcete dostávať, musíte sa prihlásiť na odber aktualizácií:

Balík 1C: Enterprise 8.3z

Dodávacia sada ZPK 1C: Enterprise, verzia 8.3z obsahuje:

  • DVD s distribučnou sadou certifikovanej platformy a užívateľskými, administrátorskými a vývojárskymi manuálmi;
  • formulár s kontrolným súčtom a znakom súladu s FSTEC Ruska vo forme holografickej nálepky;
  • informačná karta chráneného produktu;
  • špecifikácia;
  • kópiu certifikátu FSTEC;
  • OCHRANNÉ KĽÚČE NIE SÚ SÚČASŤOU DODÁVKY ZPK 1C: Enterprise, verzia 8.3z!

DVD pre produkt Secure softvérový balík 1C: Enterprise 8.3z (x86-64) obsahuje:

kód názov Odporúčané maloobchodná cena, rub.
4601546119070
 Zabezpečený softvérový balík „1C: Enterprise 8.3z“ (x86-32)
18 000*
Kúpiť
4601546119087
 Zabezpečený softvérový balík „1C: Enterprise 8.3z“ (x86-64)
54 000*
Kúpiť
Licencie na ďalšie sedadlá
4601546080875 1C: Enterprise 8. Klientska licencia pre 1 pracovnú stanicu 6 300 Kúpiť
4601546080882 1C: Enterprise 8. Klientska licencia pre 5 pracovných staníc 21 600 Kúpiť
4601546080899 1C: Enterprise 8. Klientska licencia pre 10 pracovných staníc 41 400 Kúpiť
4601546080905 1C: Enterprise 8. Klientska licencia pre 20 pracovných staníc 78 000 Kúpiť
4601546080912 1C: Enterprise 8. Klientska licencia pre 50 pracovných staníc 187 200 Kúpiť
4601546080929 1C: Enterprise 8. Klientska licencia pre 100 pracovných staníc 360 000 Kúpiť
4601546080936 1C: Enterprise 8. Klientska licencia pre 300 pracovných staníc 1 068 000 Kúpiť
4601546080943 1C: Enterprise 8. Klientska licencia pre 500 pracovných staníc 1 776 000 Kúpiť

Novinka na stránke

>

Najpopulárnejší

© 2024. Programy. Príslušenstvo. Počítače. Kancelárska technika. Sieťový hardvér.

OBĽÚBENÉ SEKCIE