Непробивний захист від «1С».

Набрав чинності федеральний закон № 152 "Про персональні дані", на вимогу якого всі оператори персональних даних зобов'язані виконати ряд вимог щодо захисту та зберігання персональних даних.

Ми надаємо послуги з розміщення інформаційних систем на 1С з обробки персональних даних згідно 152-ФЗ. Які є рішення у 1С із захисту персональних даних (ІСПДн)?

Фірмою "1С" отримано сертифікат відповідності №2137, виданий ФСТЕК Росії, який підтверджує, що захищений програмний комплекс (ЗПК) "1С:Підприємство, версія 8.2z" визнаний програмним засобом загального призначення із вбудованими засобами захисту інформації від несанкціонованого доступу (НСД) інформації, що не містить відомостей, що становлять державну таємницю.

За результатами сертифікації підтверджено відповідність вимогам керівних документів щодо захисту від НСД -5 класу, за рівнем контролю відсутності недекларованих можливостей (ПДВ) за 4 рівнем контролю, підтверджено можливість використання для створення автоматизованих систем (АС) до класу захищеності 1Г (тобто АС) , що забезпечують захист конфіденційної інформації ЛВС) включно, а також для захисту інформації в інформаційних системах персональних даних (ІСПДн) до класу К1 включно.

Сертифіковані екземпляри платформи 1С марковані знаками відповідності №Г 420000 до №Г 429999.

1CAir пропонує в оренду ці програми. Як почати користуватися?

Як створити на 1С систему з обробки персональних даних згідно 152-ФЗ?

Усі конфігурації, розроблені на платформі "1С:Підприємство 8.2", можуть бути використані при створенні інформаційної системи персональних даних будь-якого класу і додаткова сертифікація прикладних рішень не потрібна.

Отримано додаткові роз'яснення у фірми "1С":

1. Безпосередньо сам Федеральний закон № 152-ФЗ "Про персональні дані" будь-яких вимог до програмного забезпечення не пред'являє (у редакції, що діє сьогодні).

2. Вимога необхідність проводити оцінку відповідності засобів захисту інформації міститься у пункті 5 Положення, введеного Постановою Уряду РФ від 17.11.2007 N 781 «Про затвердження Положення про забезпечення безпеки персональних даних під час їх обробки в інформаційних системах персональних даних».

3. Безпосередньо вимоги у частині програмного забезпечення передбачені Наказом ФСТЭК Росії № 58. Зокрема вимоги передбачені підсистемами управління доступом, реєстрації та обліку та контролю цілісності. Ці підсистеми стосуються виключно технологічної платформи, а не конфігурацій.

4. Під час проведення сертифікації спочатку передбачалося передбачити вимоги до конфігурацій (технічні умови). Однак після завершення сертифікації випробувальна лабораторія відмовилася від пред'явлення будь-яких вимог до конфігурацій.

Таким чином, чинним законодавством сертифікація (чи інша оцінка відповідності) програмних продуктів, які є засобами захисту до яких відносяться типові зміни, не передбачена, якісь технічні умови до конфігурацій не передбачені. Відповідно, із захищеним програмним комплексом можуть застосовуватись будь-які конфігурації для цієї платформи.

При цьому при атестації об'єктом виступають не просто програми, а весь комплекс адміністративних регламентів та заходів (вимоги щодо забезпечення безпеки, модель загроз, акти класифікації, план захисту персональних даних та ін.) та вся інформаційна система, яка використовується в організації.
Оператор обробки персональних даних повинен ухвалити рішення про присвоєння системі персональних даних відповідного класу.

Незважаючи на те, що дані зберігаються за межами РФ, Федеральний закон №152-ФЗ прямо передбачає можливість транскордонної передачі даних, а саме ст 12. обробці персональних даних, і навіть інших держав, які забезпечують адекватну захист прав суб'єктів персональних даних, здійснюється відповідно до цим Федеральним законом …”. Персональні дані зберігаються в датацентрах лише тих європейських країн, які підписали цю Конвенцію згідно з листом Міністерства зв'язку та масових комунікацій РФ «Про здійснення транскордонної передачі персональних даних».
Відповідно до ст.12 п.3 закону №152-ФЗ ми переконалися, що забезпечується адекватний захист прав суб'єктів персональних даних до початку здійснення транскордонної передачі персональних даних. Це зафіксовано у нашому договорі з датацентрами та відображено у Угоді з клієнтом.

На даний момент використовується типова платформа "1С:Підприємство, версія 8.2", з вимогами до захисту даних, як зазначено вище. Тому за допомогою 1CAir можлива побудова систем захисту інформації в інформаційних системах персональних даних (ІСПД) до класу К2 включно.

Незважаючи на використання 1CAir, оператором обробки Ваших персональних даних залишається Ваша організація, а не ми. Ви створюєте свою модель безпеки, і відповідно до цієї моделі визначаєте параметри захисту. За цими технічними параметрами Ви можете з'ясувати, чи надаємо ми такий сервіс (наприклад, шифрування), і створюєте потрібну систему з використанням програм у 1CAir.

Інформаційна безпека, як і захист інформації - завдання комплексне, спрямоване забезпечення безпеки, реалізована впровадженням системи безпеки. Проблема захисту інформації є багатоплановою та комплексною та охоплює низку важливих завдань.

Проблеми інформаційної безпеки постійно посилюються процесами проникнення в усі сфери суспільства технічних засобів обробки та передачі даних, особливо гостро ця проблема стоїть у галузі фінансових облікових систем. Найбільш популярною системою бухгалтерського обліку, ведення продажів, CRM процесів у Росії є система 1С Підприємство.

Розглянемо потенційні загрози безпеці під час використання програми 1С.

	Використання 1С із базами у файловому форматі.Файлові бази 1С є найбільш уразливими до фізичного впливу. Пов'язано це з особливостями архітектури такого типу баз - необхідністю тримати відкритими (з повним доступом) всі конфігураційні файли і самих файлових баз для всіх користувачів операційної системи. В результаті будь-який користувач, який має право працювати у файловій базі 1С, теоретично може скопіювати або навіть видалити інформаційну базу 1С двома кліками мишки.
	Використання 1С з базами у СУБД форматі.Даний тип проблем виникає, якщо як сховища баз 1С використовується СУБД (PosgreSQL, MS SQL), а як проміжна служба зв'язку 1С і СУБД використовується сервер 1С підприємства. Такий приклад - у багатьох компаніях практикується доопрацювання конфігурацій 1С під свої потреби. У процесі доопрацювання, в умовах проектної «метушні», постійних випробувань нового доопрацьованого функціоналу – відповідальні фахівці найчастіше нехтують правилами мережевої безпеки. В результаті деякі особи, які мають прямий доступ до бази даних СУБД або мають права адміністратора на сервері 1С Підприємство, нехай навіть на тимчасовий тестовий період - можуть або зробити резервну копію на зовнішні ресурси, або зовсім видалити базу даних в СУБД.
	Відкритість та доступність серверного обладнання.За наявності несанкціонованого доступу до серверного обладнання співробітники компанії або треті особи можуть використовувати цей доступ для крадіжки або псування інформації. Простіше кажучи – якщо зловмисник отримує доступ безпосередньо до корпусу та консолі сервера 1с – коло його можливостей розширюється у десятки разів.
	Ризики крадіжки, витоку персональних даних.Під актуальними загрозами безпеці персональних даних тут розуміється сукупність умов та факторів, що створюють актуальну небезпеку несанкціонованого, у тому числі випадкового, доступу до персональних даних при їх обробці в інформаційній системі, наприклад, відповідальними співробітниками, операторами ПК, бухгалтерією тощо. Результатом цього можуть бути знищення, зміна, блокування, копіювання, надання, розповсюдження персональних даних, а також інші неправомірні дії відповідальних осіб.
	Безпека мережі.Інформаційна система підприємства, побудована з порушенням ГОСТ, вимог до безпеки, рекомендацій, або не має належної ІТ-підтримки – рясніє дірками, вірусним та шпигунським програмним забезпеченням, безліччю бекдорів (несанкціонованих доступів у внутрішню мережу), що безпосередньо впливає на збереження корпоративних даних 1С. Це призводить до легкого доступу зловмисника до комерційно важливої ​​інформації. Наприклад, вільний доступ до резервних копій, відсутність пароля на архіви з резервними копіями зловмисник може використовувати з корисливою метою. Не говорячи вже про елементарне пошкодження бази 1С вірусною активністю.
	Взаємозв'язок 1С із зовнішніми об'єктами.Ще однією потенційною загрозою є необхідність (а іноді й спеціальна маркетингова особливість) облікової бази 1С зв'язуватися із «зовнішнім світом». Вивантаження/завантаження клієнт-банків, обмін інформацією з філіями, регулярна синхронізація з корпоративними сайтами, порталами, іншими програмами подання звітності, управління клієнтами та продажами та багато іншого. Оскільки в цій галузі 1С не вітаються дотримання стандартів безпеки та уніфікованості мережного обміну інформації – витік цілком реальний на будь-якому відрізку шляху її прямування. В результаті потреб у нестандартних доопрацюваннях автоматизації процесів або скорочення бюджету на необхідні заходи щодо захисту трафіку – в обліковій системі миттєво зростає кількість вразливостей, дірок, небезпечних з'єднань, відкритих портів, доступних файлів обміну в незашифрованому вигляді тощо. Можна сміливо уявити, чого це може призвести – починаючи від елементарного виведення з ладу бази 1С певний час, закінчуючи підробкою платіжного доручення кілька мільйонів.

Що можна запропонувати для вирішення таких проблем?

1. Працюючи з файловими базами 1Собов'язково впровадити низку заходів щодо забезпечення безпеки баз:

• Використовуючи розмежування доступу NTFS, надати необхідні права лише тим користувачам, які працюють з цією базою, тим самим убезпечивши базу від крадіжки чи псування несумлінними співробітниками чи зловмисником;
• Завжди використовувати авторизацію Windows для входу на робочі станції користувачів та доступ до мережевих ресурсів;
• Використовувати шифровані диски або шифровані папки, які дозволять зберегти конфіденційну інформацію навіть у разі винесення бази 1С;
• встановити політику автоматичного блокування екрану, а також провести навчання користувачів для роз'яснення необхідності блокування профілю;
• Розмежування прав доступу на рівні 1С дозволить користувачам отримувати доступ тільки до інформації, на яку вони мають відповідні права;
• Потрібно дозволити запуск конфігуратора 1С тільки тим співробітникам, яким він потрібний.

2. Працюючи з СУБД базами 1Спотрібно звернути увагу на такі рекомендації:

• Облікові дані щодо підключення до СУБД не повинні мати адміністративних прав;
• Необхідно розмежовувати права доступу до баз СУБД, наприклад, створювати для кожної інформаційної бази свій обліковий запис, що дозволить мінімізувати втрату даних при зламі одного з облікових записів;
• Рекомендується обмежити фізичний та віддалений доступ до серверів баз даних та 1С підприємства;
• Рекомендується використовувати шифрування для баз даних, це дозволить зберегти конфіденційні дані навіть якщо зловмисник отримає фізичний доступ до файлів СУБД;
• Також однією з найважливіших рішень є шифрування чи встановлення пароля на резервні копії даних;
• Обов'язковим є створення адміністраторів кластера 1С, а також сервера 1С, оскільки за умовчанням якщо не створені користувачі, повний доступ до інформаційних баз абсолютно всі користувачі системи.

3. Вимоги щодо забезпечення фізичної безпеки серверного обладнання:
(згідно з ГОСТ Р ИСО/МЭК ТО – 13335)

• Доступ до зон, де обробляється або зберігається важлива інформація, повинен керуватися та бути обмежений лише повноважними особами;
• Засоби керування аутентифікацією, наприклад, картка керування доступом плюс персональний ідентифікаційний номер , повинні використовуватися, щоб дозволяти та підтверджувати будь-який доступ;
• Контрольний журнал всього доступу повинен утримуватись у надійному місці;
• Персоналу допоміжних служб третьої сторони повинен бути наданий обмежений доступ до зони безпеки або засобів обробки важливої ​​інформації тільки тоді, коли потрібно;
• цей доступ має бути дозволений і повинен постійно контролюватись;
• Права доступу до зони безпеки повинні регулярно аналізуватися та оновлюватись, і скасовуватися, якщо необхідно;
• Повинні бути враховані відповідні норми та стандарти з техніки безпеки та охорони праці;
• Ключові засоби мають бути розташовані так, щоб уникнути доступу до них широкому загалу;
• Там, де це застосовно, будівлі та кімнати повинні бути скромними та повинні давати мінімальну вказівку на їхню мету, без яскравих написів, зовні будівлі або всередині неї, що вказують на наявність видів діяльності з обробки інформації;
• Вказівники та внутрішні телефонні книги, що вказують на розташування засобів обробки важливої ​​інформації, не повинні бути легко доступні широкому загалу.

4. Конфіденційність персональних даних.Основною метою організації захисту персональних даних є нейтралізація актуальних загроз в інформаційній системі, визначених Федеральним законом від 27.07.2006 № 152-ФЗ "Про персональні дані" , переліком державних стандартів та вимог міжнародних сертифікацій з ІТ-безпеки (ГОСТ Р ІСО/МЕК 13335 2-5, ISO 27001) . Досягається це шляхом обмеження доступу до інформації щодо її типів, розмежування доступу до інформації щодо ролей користувачів, структурування процесу обробки та зберігання інформації.
Ось низка ключових положень:

• Обробка персональних даних має обмежуватися досягненням конкретних, заздалегідь визначених та законних цілей;
• Згода на обробку персональних даних має бути конкретною, поінформованою та свідомою;
• Не допускається обробка персональних даних, несумісна з метою збору персональних даних;
• Обробці підлягають лише персональні дані, що відповідають цілям їхньої обробки;
• Оператори та інші особи, які отримали доступ до персональних даних, зобов'язані не розкривати третім особам і не поширювати персональні дані без згоди суб'єкта персональних даних, якщо інше не передбачено федеральним законом;
• Фотографічне, відео, аудіо або інше записувальне обладнання, як-от камери на мобільних пристроях, не повинні допускатися, якщо тільки не дозволено;
• Накопичувачі зі змінним носієм мають бути дозволені лише в тому випадку, якщо для цього є виробнича потреба;
• Щоб виключити зловмисні дії щодо конфіденційної інформації, потрібно паперові та електронні носії інформації, коли вони не використовуються, зберігати в належних шафах, що замикаються, та/або в інших захищених предметах меблів, особливо в неробочий час;
• Носії з важливою або критичною службовою інформацією, коли вони не потрібні, слід прибирати і замикати (наприклад, в сейфі або шафі, що не згорає), особливо коли приміщення порожнє.

5. Мережева безпека- це набір вимог, що висуваються до інфраструктури комп'ютерної мережі підприємстві та політикам роботи у ній, у виконанні яких забезпечується захист мережевих ресурсів від несанкціонованого доступу. В рамках рекомендованих дій щодо організації та забезпечення мережної безпеки, крім базових, можна розглянути такі особливості:

• Насамперед, у компанії має бути впроваджено єдиний регламент інформаційної безпеки з відповідними інструкціями;
• Користувачам має бути максимально закритий доступ до небажаних сайтів, у тому числі файлообмінників;
• З зовнішньої мережі мають бути відкриті ті порти, які необхідні для коректної роботи користувачів;
• Повинна бути присутня система комплексного моніторингу дій користувачів та оперативного оповіщення про порушення нормального стану всіх загальнодоступних ресурсів, робота яких важлива для Компанії;
• Наявність централізованої антивірусної системи та політик очищення та видалення шкідливих програм;
• Наявність централізованої системи управління та оновлення антивірусним програмним забезпеченням, а також політик регулярних оновлень ОС;
• Можливість запуску знімних флеш носіїв має бути максимально обмежена;
• Пароль має бути не менше 8 символів, містити цифри, а також літери верхнього та нижнього регістрів;
• Має бути захист та шифрування ключових папок обміну інформацією, зокрема файлів обміну 1с та системи клієнт-банк;
• Силові лінії та лінії телекомунікації, що входять до засобів обробки інформації, повинні бути підземними там, де це можливо, або повинні підлягати адекватному альтернативному захисту;
• Мережні кабелі повинні бути захищені від невирішеного перехоплення або пошкодження, наприклад, використання кабельного каналу або уникнення маршрутів, що пролягають через загальнодоступні зони.

Підбивши підсумки всього вищевикладеного хотілося б відзначити, що основним правилом при захисті інформації є обмеження прав та можливостей користувачів, а також контроль над ними при використанні інформаційних систем. Чим менший користувач має прав при роботі з інформаційною системою, тим менший шанс витоку або псування інформації за злим наміром або з необережності.

Комплексним рішенням захисту даних підприємства, зокрема баз 1С – є рішення «Сервер Ізраїлі» , у якому зібрані актуальні кошти із забезпечення високого рівня конфіденційності інформації.

Системна інтеграція. Консалтинг

З 1 липня 2017 року суттєво посилено відповідальність за порушення при взаємодії з персональними даними фізичних осіб. Це випливає із положень Федерального закону від 07.02.2017 № 13-ФЗ). Зміни торкнуться всіх без винятку роботодавців, які пов'язані з обробкою персональних даних працівників та підрядників-фізичних осіб. Більше того, можна сказати, що поправки стосуються практично всієї бізнес-спільноти, що взаємодіє у персональних даних фізичних осіб (наприклад, власників сайтів, які збирають персональні дані відвідувачів). Як підготуватись до змін? Чи збільшаться штрафи? Хто виявлятиме порушення в обробці персональних даних? Давайте розумітися.

Персональні дані: особлива інформація

Персональні дані працівників – це будь-яка інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного співробітника (п. 1 ст. 3 Федерального закону від 27 липня 2006 року № 152-ФЗ «Про персональні дані»).

У роботодавця (організації чи ІП) персональні дані працівників найчастіше узагальнюються в їх особистих картках та особистих справах. При цьому майже кожен менеджер готелю кадрів або HR-фахівець знає, що персональні дані допускається отримувати лише особисто від працівників. Якщо персональні відомості можна отримати лише від третіх осіб, то російське законодавство зобов'язує повідомити про це працівника і отримати від нього письмову згоду (пункт 3 частини 1 статті 86 Трудового кодексу РФ).

Роботодавці не мають права отримувати та обробляти персональні дані, які не належать безпосередньо до трудової діяльності людини. Тобто збирати відомості, припустимо, про віросповідання співробітників – не можна. Адже така інформація представляє собою особисту чи сімейну таємницю і ніяк не може бути пов'язана з виконанням трудових обов'язків (пункт 4 частини 1 статті 86 Трудового кодексу РФ).

Отримавши персональні дані, роботодавець в силу вимог законодавства зобов'язаний їх не поширювати і не розкривати третім особам без згоди працівника (ст. 7 Федерального закону від 27 липня 2006 року № 152-ФЗ).

Під персональними даними можна розуміти будь-яку інформацію, що прямо чи опосередковано відноситься до певної фізичної особи (суб'єкта персональних даних) – пункт 1 статті 3 Федерального закону від 27 липня 2006 року № 152-ФЗ. Прикладами такої інформації може бути прізвище, ім'я, по батькові, дата та місце народження, місце проживання тощо.

Як роботодавець зобов'язаний захищати персональні дані

З метою захисту та обмеження доступу до персональних даних роботодавець повинен забезпечити якісну та сучасну систему їхнього захисту. Як це зробити? Це питання вирішує кожен роботодавець самостійно. При цьому порядок отримання, обробки, передачі та зберігання персональних даних повинен бути закріплений у локальному акті організації, допустимо у Положенні про обробку персональних даних працівників (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закону від 27 липня 2006 р. № 152-ФЗ).

Також у роботодавця має бути офіційно призначений працівник, який відповідає за роботу з персональними даними (ч. 5 ст. 88 ТК РФ). Їм може бути, наприклад, працівник відділу кадрів, які взаємодіють із особовими справами, отримує згоди працівників на обробку, веде картки співробітників тощо.

Перевірки роботодавця з питань обробки ним персональних даних проводять підрозділи Роскомнагляду. Наказом Мінкомзв'язку Росії від 14.11.2011 № 312 затверджено Адміністративний регламент виконання Роскомнаглядом функцій щодо здійснення державного контролю (нагляду).

Яка відповідальність застосовується до роботодавців

За порушення порядку отримання, обробки, зберігання та захисту персональних даних співробітників передбачена дисциплінарна, матеріальна, адміністративна та кримінальна відповідальність (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закону від 27 липня 2006 р. № 152-ФЗ). Розберемо кожну із цих видів відповідальності.

Дисциплінарна відповідальність

До дисциплінарної відповідальності порушення при роботі з персональними даними можна притягнути до відповідальності працівників, які з трудових відносин повинні дотримуватися правил роботи з індивідуальними даними, але порушили їх (ст. 192 ТК РФ). Тобто притягнути до відповідальності можна, наприклад, менеджера відділу кадрів, якому доручено відповідну роботу. За дисциплінарний провина збору, обробки та зберігання персональних даних роботодавець може покарати свого працівника, застосувавши до нього одне з таких стягнень (ч.1 ст. 192 ТК РФ):

• зауваження;
• догана;
• звільнення.

Матеріальна відповідальність

Матеріальна відповідальність працівника може настати, якщо у зв'язку з порушенням правил роботи з персональними даними організації завдано прямої дійсної шкоди (ст. 238 ТК РФ). Припустимо, що відповідальний працівник відділу кадрів припустився грубого порушення – поширив персональні дані працівників у мережі Інтернет. Працівники, дізнавшись про це, подали на роботодавця до суду, який ухвалив: «виплатити потерпілим працівникам грошову компенсацію – 50 000 рублів кожному». У такій ситуації роботодавець може покласти на винного співробітника відділу кадрів обмежену матеріальну відповідальність у межах його середнього місячного заробітку (ст. 241 ТК РФ). Стягнення заподіяної шкоди можна здійснити за розпорядженням керівника не пізніше одного місяця з дня остаточного встановлення розміру заподіяної співробітником шкоди. Якщо місячний термін минув, то стягнути збитки доведеться через суд. Такий порядок передбачено у статті 248 Трудового кодексу РФ.

Читайте також Час відпочинку за понаднормову роботу

При повної матеріальної відповідальності співробітник повинен буде повністю відшкодувати організації всю суму шкоди, що виникла у зв'язку з порушеннями у сфері персональних даних (ст. 242 та 243 ТК РФ). Однак, як правило, на працівників, відповідальних за обробку персональних даних, повну матеріальну відповідальність не покладають.

Дисциплінарну та матеріальну відповідальність роботодавець (наприклад, комерційна організація) застосовує виключно на власний розсуд. Державні контролюючі органи (зокрема., Роскомнагляд) у процесі участі не беруть.

Адміністративна відповідальність

За порушення порядку збирання, зберігання, використання або розповсюдження персональних даних роботодавця та посадових осіб контролюючі органи можуть притягнути до адміністративної відповідальності у вигляді штрафів, які можуть становити:

• для посадових осіб (наприклад, генерального директора, головного бухгалтера, кадровика чи індивідуального підприємця): від 500 до 1000 рублів;
• для організації: від 5000 до 10000 рублів.

Окремий (самостійний) штраф для посадових осіб за розголошення персональних даних у зв'язку з виконанням службових чи професійних обов'язків становить від 4000 до 5000 рублів. Такі заходи відповідальності описані у статтях 13.11 та 13.14 Кодексу РФ про адміністративні правопорушення.

Кримінальна відповідальність

Кримінальна відповідальність для директора, головного бухгалтера або начальника відділу кадрів компанії або іншої особи, яка відповідає за роботу з персональними даними, може наступити за незаконні дії:

• збирання або розповсюдження відомостей про приватне життя співробітника, що становлять його особисту чи сімейну таємницю, без його згоди;
• поширення відомостей про працівника у публічному виступі, що публічно демонструється творі або ЗМІ.

За такі порушення щодо поводження з персональними даними допускаються такі заходи кримінальної відповідальності:

• штраф до 200 000 рублів (або у розмірі доходів засудженого за період до 18 місяців);
• обов'язкові роботи терміном до 360 годин;
• виправні роботи терміном до року;
• примусові роботи терміном до двох років із позбавленням права обіймати певні посади чи займатися певної діяльністю терміном до трьох років чи ні такого;
• арешт терміном до чотирьох місяців;
• позбавлення волі на строк до двох років із позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років.

Ті ж діяння, вчинені особою з використанням свого службового становища, караються жорсткіше:

• штрафом від 100 000 до 300 000 руб. (або у розмірі доходів засудженого за період від одного до двох років);
• позбавленням права обіймати певні посади або займатися певною діяльністю терміном від двох до п'яти років;
• примусовими роботами на строк до чотирьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до п'яти років або без нього;
• арештом терміном від чотирьох до шести місяців;
• позбавленням волі терміном до чотирьох років із позбавленням права обіймати певні посади чи займатися певної діяльністю терміном до п'яти (стаття 137 Кримінального кодексу РФ).

Що зміниться з 1 липня 2017 року

Федеральний закон від 07.02. 2017 р. № 13-ФЗ розширив перелік підстав для притягнення роботодавця до адміністративної відповідальності в галузі захисту персональних даних, а також збільшив розміри адміністративних штрафів. Цей закон набирає чинності з 1 липня 2017 року. Відразу скажемо, що адміністративна відповідальність у сфері персональних даних значно посилена. У цьому важливо таке: замість єдиного виду адміністративної відповідальності, описаного у статті 13.11 КоАП РФ, з'явиться сім. Таким чином, за різні порушення роботодавців у сфері персональних даних можна буде застосовувати різні штрафи. Якщо порушення за різними складами виявлять декілька, то відповідно кількість штрафів може збільшуватися. Пояснимо нові склади правопорушень детальніше.

Порушення 1: обробка персональних даних у «інших» цілях

З 1 липня 2017 року обробка персональних даних у випадках, що не передбачені законодавством, або обробка персональних даних, несумісна з цілями збору персональних даних - самостійні види адміністративного порушення (ч. 1 ст. 13.11 КпАП РФ). Наведемо приклад: організація-роботодавець збирає персональні дані працівників та передає ці дані стороннім компаніям у рекламних цілях (передаються ПІБ, телефони, регіони проживання, рівень доходу). Потім рекламні фірми починають розсилати працівникам на телефон, e-mail та домашні адреси різноманітний спам та рекламні пропозиції. Якщо в таких діях роботодавця не буде виявлено кримінальний склад злочину, то можна буде застосувати адміністративну відповідальність. З 1 липня 2017 року адміністративне покарання може бути таким:

• чи попередження;
• чи штрафи.

Порушення 2: обробка персональних даних без згоди

Обробка персональних даних роботодавцем, за загальним правилом, можлива лише за письмовою згодою працівників. Така згода повинна включати наступну інформацію (частини 4 статті 9 Закону від 27 липня 2006 р. № 152-ФЗ):

• ПІБ, адреса співробітника, реквізити паспорта (іншого документа, що засвідчує його особу), у тому числі відомості про дату видачі документа та орган, що його видав;
• найменування або ПІБ та адресу роботодавця (оператора), який отримує згоду співробітника;
• мету обробки персональних даних;
• перелік персональних даних, на обробку яких надається згода;
• найменування або ПІБ та адресу особи, яка здійснює обробку персональних даних за дорученням роботодавця, якщо обробка буде доручена такій особі;
• перелік дій із персональними даними, на вчинення яких дається згоду, загальний опис використовуваних роботодавцем способів обробки персональних даних;
• термін, протягом якого діє згода співробітника, і навіть спосіб його відкликання, якщо інше встановлено федеральним законом;
• підпис працівника.

З 1 липня 2017 року обробка персональних даних без згоди працівника у письмовій формі, або якщо письмова згода не містить зазначених вище відомостей - це самостійне адміністративне порушення, передбачене у частині 2 статті 13.11 КоАП РФ. За нього можливі штрафні санкції:

Порушення 3: доступ до політики обробки персональних даних

Оператор персональних даних (наприклад, роботодавець або інтернет-сайт) зобов'язаний опублікувати або іншим чином забезпечити необмежений доступ до документа, що визначає його політику щодо обробки персональних даних, до відомостей про вимоги до захисту персональних даних, що реалізуються. Оператор, який здійснює збір персональних даних в Інтернеті (наприклад, через сайт), зобов'язаний опублікувати в Інтернеті документ, що визначає його політику щодо обробки персональних даних, та відомості про реалізовані вимоги до захисту персональних даних, а також забезпечити можливість доступу до зазначеного документа. Це передбачено пунктом 2 статті 18.1 Закону від 27 липня 2006 р. № 152-ФЗ.

З виконанням цього обов'язку практично стикаються багато користувачів мережі Інтернет. Так, наприклад, коли ви залишаєте якусь заявку на сайтах і вказуєте свої ПІБ та e-mail, то можете звернути увагу на посилання на такі документи: «Політика обробки персональних даних», «Положення про обробку персональних даних» тощо . Однак варто визнати, що деякі сайти цим нехтують і жодного посилання не наводять. І виходить, що людина залишає заявку на сайті, не знає, з якою метою сайт збирає персональні дані.

Деякі роботодавці також на своїх сайтах виставляють наявні вакансії та пропонують кандидатам заповнити форму «Про себе». У таких випадках інтернет-сайт також має забезпечити доступ до «Політики обробки персональних даних».

З 1 липня 2017 року в частині 3 статті 13.11 КоАП РФ виділено самостійний склад правопорушення – невиконання оператором обов'язку щодо публікації або надання необмеженого доступу до документа з політикою з обробки персональних даних або відомостями щодо їх захисту. Відповідальність за цією статтею може виглядати як попередження чи адміністративні штрафи:

Порушення 4: приховування інформації

Суб'єкт персональних даних (тобто фізична особа, кому належать ці дані) має право на отримання інформації щодо обробки її персональних даних, у тому числі містить (ч. 7 ст. 14 Закону від 27 липня 2006 р. № 152-ФЗ) :

1. підтвердження факту обробки персональних даних оператором;
2. правові підстави та цілі обробки персональних даних;
3. цілі та застосовувані оператором способи обробки персональних даних;
4. найменування та місце знаходження оператора, відомості про осіб (за винятком працівників оператора), які мають доступ до персональних даних або яким можуть бути розкриті персональні дані на підставі договору з оператором або на підставі федерального закону;
5. оброблювані персональні дані, які стосуються відповідного суб'єкту персональних даних, джерело їх отримання, якщо інший порядок подання таких даних передбачено федеральним законом;
6. терміни обробки персональних даних, зокрема терміни їх зберігання;
7. порядок здійснення суб'єктом персональних даних прав, передбачених цим Законом;
8. інформацію про здійснену або про передбачувану транскордонну передачу даних;
9. найменування або прізвище, ім'я, по батькові та адресу особи, яка здійснює обробку персональних даних за дорученням оператора, якщо обробку доручено або буде доручено такій особі;
10. інші відомості, передбачені Федеральним законом чи іншими федеральними законами.

Сьогодні можна спостерігати проблему захисту персональних даних: вони піддаються проникненню різноманітних технічних засобів обробки та передачі. Особливо страждають приватні та державні організації, які користуються системами фінансового та кадрового обліку. Федеральний закон № 152-ФЗ захищає правничий та регулює відносини, пов'язані з обробкою персональних даних, вироблених операторами персональних даних, з допомогою чи ні засобів автоматизації. Відповідно до цього закону, персональні дані можуть являти собою будь-яку інформацію, що відноситься до конкретної фізичної особи. Ці дані можуть вказувати ПІБ людини, її дату народження, адресу проживання, сімейне та соціально-майнове становище, яке має освіта, за якою спеціальністю працює та які має доходи.

З якими проблемами можна зіткнутися?

Наша країна надає у користування найпопулярніші системи бухгалтерського та кадрового обліку, ведення продажів, CRM-процесів. До них відносяться такі продукти компанії «1С»:

• "1с Підприємство";
• "1с Бухгалтерія";
• «1С: зарплата та управління персоналом»;
• «1С:Зарплата та кадри бюджетної установи» та багато інших подібних програм.

Файлові бази даних доступні кожному за користувача, тому є можливість копіювання інформації, що у своє чергу підводить організацію під порушення Федерального закону №152-ФЗ. Отже, необхідний захист персональних даних у 1С, щоб запобігти неприємним глобальним наслідкам.

Багато компаній вдаються до спеціальної бази даних, що зберігається у SQL-сервері. Важливо розуміти, що в даному випадку існує небезпека: персональні дані продовжують копіювати на зовнішні носії інформації з подальшою передачею на мобільні телефони, карти пам'яті в хмарне сховище. Також спостерігається відправлення краденої інформації електронною поштою, Скайпом, Телеграм.

Більшість зловмисників роблять скріншоти екрану комп'ютера та переносять дані з 1С у сторонній файл, використовуючи програму буферизації. Даний спосіб вважається найпоширенішим, і дуже часто компанія страждала саме від такого крадіжки персональних даних.

Як захистити компанію від крадіжки конфіденційних даних?

Існує сучасна система, яка здійснює захист від витоку 1С. DeviceLock DLP – ефективний спосіб запобігти копіюванню інформації конкретним користувачем. Також програма виявляє функціонування буфера обміну. Налаштування системи є гнучкими, тому можна індивідуально вибрати програми та встановити блокування.

DeviceLock DLP здатний виявляти та селективно блокувати скріншоти, які запобігають діям конкретних користувачів або різних програм. Програма вибірково дозволяє та забороняє доступи до певних файлів. Відповідальна особа компанії отримує повідомлення про спробу копіювання інформації на зовнішні пристрої або надсилання по мережі. Скористайтеся унікальною пропозицією, щоб усунути неприємні наслідки.

Схожі новини не знайдено.

Для захисту персональних даних від несанкціонованого доступу створено спеціальний програмний комплекс 1С: Підприємство 8.3z (ЗПК). Захищений комплекс може застосовуватись у державних інформаційних системах до 1 класу захищеності включно та в інформаційних системах до 1 рівня захищеності персональних даних включно.

Захищений програмний комплекс 1С: Підприємство 8.3z може застосовуватися для організації безпеки персональних даних відповідно до Складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, затвердженими наказом ФСТЕК Росії від 18 лютого 2013 р. N 21 , в інформаційних системах персональних даних усіх рівнів безпеки.

Комплекс 1С: Підприємство 8.3z може бути використане:

• в організаціях, які є оператором персональних даних та що обробляють персональні дані самостійно
• в організаціях, що надають послуги з ведення ІСПД декількох операторів. ЗПК 1С: Підприємство, версія 8.3z

Може використовуватися як для обробки інформації однієї юридичної особи чи підприємця, так групи компаній (холдингу).

* Програмний комплекс купується до вже наявних конфігурацій 1С та ліцензіям 1С: Підприємство .

Опис 1С: Підприємство 8.3z

Комплекс 1С: Підприємство 8.3z сертифікований у Системі сертифікації засобів захисту інформації з вимог безпеки інформації N РОСС RU.0001.01БІ00 і має сертифікат відповідності N 3442 (виданий ФСТЕК Росії 2 вересня 2015 року).
Згідно із сертифікатом, програма відповідає вимогам керівного документа «Захист від несанкціонованого доступу до інформації. Частина 1. Програмне забезпечення засобів захисту. Класифікація за рівнем контролю недекларованих можливостей» (Гостехкомісія Росії, 1999) – за 4 рівнем контролю, керівного документа «Кошти обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу інформації» (Гостехкомісія Росії, 1992) – по 5 класу захищеності і під час вказівок з експлуатації, наведених у розділі 12 формуляра, що входить у комплект виробу.

Сертифіковані екземпляри платформи марковані знаками відповідності N 605432 до 615431.

Розробка застосовуваних із 1С: Підприємство 8.3z конфігурацій має здійснюватися відповідно до вимог, зазначених у розділі 4 документа «Захищений програмний комплекс 1C:Підприємство, версія 8.3z. Керівництво розробника» і вони не повинні реалізовувати функції безпеки та впливати на реалізацію функцій безпеки 1С: Підприємство 8.3z. При виконанні цих умов сертифікація конфігурацій у системі сертифікації N РОСС RU.0001.01БІ00 відповідно до «Положення про сертифікацію засобів захисту інформації з вимог безпеки інформації» не потрібна.

Зазначені вище вимоги виконані щодо всіх типових конфігурацій фірми «1С».

Передбачено два режими роботи 1С: Підприємство 8.3z: файловий варіант та клієнт-серверний варіант.

Порядок оновлення захищеного програмного комплексу

Для ЗПК періодично випускаються сертифіковані оновлення. Для їх отримання необхідно оформити передплату на оновлення:

Комплектація 1С: Підприємство 8.3z

Комплект поставки ЗПК 1С: Підприємство, версія 8.3z включає:

• DVD-диск з дистрибутивом сертифікованої платформи та посібниками користувача, адміністратора та розробника;
• формуляр з контрольною сумою та знаком відповідності ФСТЕК Росії у вигляді голографічної наклейки;
• інформаційну картку захищеного продукту;
• специфікацію;
• копію сертифіката ФСТЕК;
• КЛЮЧІ ЗАХИСТУ В СКЛАД ПОСТАЧАННЯ ЗПК 1С: Підприємство, версія 8.3z НЕ ВХОДЯТЬ!

DVD-диск для продукту Захищений програмний комплекс 1С: Підприємство 8.3z (x86-64) містить:

Код	Найменування	Рекомендація. роздрібна ціна, руб.
4601546119070	Захищений програмний комплекс "1С: Підприємство 8.3z" (x86-32)	18 000*	Придбати
4601546119087	Захищений програмний комплекс "1С: Підприємство 8.3z" (x86-64)	54 000*	Придбати
Ліцензії на додаткові місця
4601546080875	1С: Підприємство 8. Клієнтська ліцензія на 1 робоче місце	6 300	Придбати
4601546080882	1С: Підприємство 8. Клієнтська ліцензія на 5 робочих місць	21 600	Придбати
4601546080899	1С: Підприємство 8. Клієнтська ліцензія на 10 робочих місць	41 400	Придбати
4601546080905	1С: Підприємство 8. Клієнтська ліцензія на 20 робочих місць	78 000	Придбати
4601546080912	1С: Підприємство 8. Клієнтська ліцензія на 50 робочих місць	187 200	Придбати
4601546080929	1С: Підприємство 8. Клієнтська ліцензія на 100 робочих місць	360 000	Придбати
4601546080936	1С: Підприємство 8. Клієнтська ліцензія на 300 робочих місць	1 068 000	Придбати
4601546080943	1С: Підприємство 8. Клієнтська ліцензія на 500 робочих місць	1 776 000	Придбати