Dermatokosmetoloogia

Kaitseks kasutatakse 1s

03.11.2023
Kaitseks kasutatakse 1s

Isikuandmete kaitsmiseks volitamata juurdepääsu eest loodi spetsiaalne tarkvarapakett 1C: Enterprise 8.3z (ZPK). Turvakompleksi saab kasutada valitsuse infosüsteemides kuni turvaklassini 1 (kaasa arvatud) ja infosüsteemides kuni isikuandmete turvatasemeni 1 (kaasa arvatud).

Turvalist tarkvarapaketti 1C: Enterprise 8.3z saab kasutada isikuandmete turvalisuse korraldamiseks vastavalt organisatsiooniliste ja tehniliste meetmete koostisele ja sisule, et tagada isikuandmete turvalisus nende töötlemisel isikuandmete infosüsteemides, mis on kinnitatud korraldusega Venemaa FSTEC 18. veebruar 2013 N 21 kõigi turvatasemete isikuandmete infosüsteemides.

Complex 1C: Enterprise 8.3z saab kasutada:

  • organisatsioonides, mis on isikuandmete haldajad ja töötlevad isikuandmeid iseseisvalt
  • organisatsioonides, mis pakuvad teenuseid mitme operaatori ISPD hooldamiseks. ZPK 1C: Enterprise, versioon 8.3z

Seda saab kasutada nii ühe juriidilise isiku või ettevõtja kui ka ettevõtete grupi (valdus) teabe töötlemisel.

* Tarkvarapakett ostetakse olemasolevate konfiguratsioonide jaoks 1C ja 1C: ettevõtte litsentsid.

1C: Enterprise 8.3z kirjeldus

Kompleks 1C: Enterprise 8.3z on sertifitseeritud infoturbe sertifitseerimissüsteemis vastavalt infoturbenõuetele N ROSS RU.0001.01BI00 ja omab vastavussertifikaati N 3442 (väljastanud Venemaa FSTEC 2. septembril 2015).
Sertifikaadi järgi vastab programm juhenddokumendi „Kaitse teabele volitamata juurdepääsu eest. Osa 1. Infoturbe tarkvara. Klassifikatsioon deklareerimata võimete kontrollitaseme järgi" (Venemaa Riiklik Tehniline Komisjon, 1999) - vastavalt 4. kontrollitasemele juhenddokument "Arvutirajatised. Kaitse volitamata juurdepääsu eest teabele. Turvanäitajad volitamata juurdepääsu vastu teabele" (Venemaa Riiklik Tehniline Komisjon, 1992) - vastavalt turvaklassile 5, järgides tootega kaasasoleva vormi jaotises 12 toodud kasutusjuhendit.


Platvormi sertifitseeritud koopiad on tähistatud vastavusmärkidega N K 605432 kuni K 615431.

Koos 1C: Enterprise 8.3z kasutatavate konfiguratsioonide arendamine tuleb läbi viia vastavalt dokumendi „Turvaline tarkvarapakett 1C: Enterprise, versioon 8.3z“ jaotises 4 toodud nõuetele. Arendaja juhend" ning need ei tohiks rakendada turbefunktsioone ega mõjutada 1C: Enterprise 8.3z turbefunktsioonide rakendamist. Kui need tingimused on täidetud, ei ole nõutav konfiguratsioonide sertifitseerimine sertifitseerimissüsteemis N ROSS RU.0001.01BI00 vastavalt “Infoturbevahendite sertifitseerimise eeskirjale vastavalt infoturbenõuetele”.

Ülaltoodud nõuded on täidetud kõigi ettevõtte 1C standardkonfiguratsioonide jaoks.

1C jaoks on kaks töörežiimi: Enterprise 8.3z: failiversioon ja kliendi-serveri versioon.

Kaitstud tarkvarapaketi värskendamise protseduur

ZPK jaoks antakse perioodiliselt välja sertifitseeritud värskendusi. Nende saamiseks peate tellima värskendused:

1C pakett: Enterprise 8.3z

ZPK 1C: Enterprise versiooni 8.3z tarnekomplekt sisaldab:

  • DVD koos sertifitseeritud platvormi jaotuskomplekti ning kasutaja-, administraatori- ja arendajajuhenditega;
  • vorm kontrollsumma ja Venemaa FSTEC-ile vastavuse märgiga holograafilise kleebise kujul;
  • kaitstud toote teabekaart;
  • spetsifikatsioon;
  • FSTEC sertifikaadi koopia;
  • KAITSEVÕTMED EI OLE KAASAS ZPK 1C: Enterprise, versiooni 8.3z TARNESEGA!

DVD toote jaoks Turvaline tarkvarapakett 1C: Enterprise 8.3z (x86-64) sisaldab:

Kood Nimi Soovitatav jaehind, hõõruda.
4601546119070
 Turvaline tarkvarapakett “1C: Enterprise 8.3z” (x86-32)
18 000*
Osta
4601546119087
 Turvaline tarkvarapakett “1C: Enterprise 8.3z” (x86-64)
54 000*
Osta
Lisakohtade litsentsid
4601546080875 1C: Enterprise 8. Kliendilitsents 1 tööjaama jaoks 6 300 Osta
4601546080882 1C: Enterprise 8. Kliendilitsents 5 tööjaamale 21 600 Osta
4601546080899 1C: Enterprise 8. Kliendilitsents 10 tööjaama jaoks 41 400 Osta
4601546080905 1C: Enterprise 8. Kliendilitsents 20 tööjaamale 78 000 Osta
4601546080912 1C: Enterprise 8. Kliendilitsents 50 tööjaamale 187 200 Osta
4601546080929 1C: Enterprise 8. Kliendilitsents 100 tööjaama jaoks 360 000 Osta
4601546080936 1C: Enterprise 8. Kliendilitsents 300 tööjaama jaoks 1 068 000 Osta
4601546080943 1C: Enterprise 8. Kliendilitsents 500 tööjaama jaoks 1 776 000 Osta

FSTEC on lõpetanud turvalise tarkvarakompleksi "1C:Enterprise, 8.2z" sertifitseerimise (152-FZ “Isikuandmetel”), mis sisaldab tehnoloogiaplatvormi versiooni 8.2 täiskomplekti (sealhulgas igat tüüpi rakendusservereid). Vastavussertifikaat nr 2137 saadi platvormi 10 tuhandele eksemplarile (kehtib kuni 20.07.2013). See sertifikaat kinnitab, et 1C:Enterprise 8.2z tarkvarapakett on tunnistatud üldotstarbeliseks tarkvaraks, millel on sisseehitatud vahendid teabe kaitsmiseks volitamata juurdepääsu eest teabele, mis ei sisalda riigisaladust moodustavat teavet. Sertifitseerimistulemuste põhjal kinnitati vastavust reguleerivate dokumentide nõuetele:

  • NSD-vastase kaitse osas klass 5
  • Vastavalt kontrollitasemele mittevastavate materjalide puudumise üle - vastavalt 4. kontrollitasemele
  • Kinnitatud on kasutusvõimalus AS-i loomiseks kuni klassini 1G (kaasa arvatud) ning info kaitsmiseks isikuandmete infosüsteemides kuni klassini K1 (kaasa arvatud).B

Järgmised programmid on sertifitseeritud:

  • Kaitstud riist- ja tarkvarakompleks “1C:Enterprise, versioon 8.2z” volitamata juurdepääsu eest kaitsmise juhiste nõuete täitmiseks - klass 5. Klassifitseerimine vastavalt kontrollitasemele 4. kontrollitasemele mittevastavuse puudumise, automatiseeritud süsteemides kasutamise kohta kuni klassini 1G (kaasa arvatud), samuti ISPD-s sisalduvate infoturbe nõuete täitmise kohta andmete töötlemisel. isikuandmed kuni klassini K2 (kaasa arvatud tunnistuse kättesaamise aeg jaanuar-veebruar 2010);
  • Turvaline tarkvara- ja riistvarakompleks “1C:Enterprise, versioon 7.7z” isikuandmete töötlemiseks kuni K3 (kaasa arvatud) (sertifikaadi saamise eeldatav aeg on veebruar 2010).

Vaatamata sellele, et seadus hakkab täies mahus kehtima alles 1. jaanuaril 2011, mõelgem, mis täpselt loetletud infokaitseklasside järgimise taga peitub.

Vastavus klassile K2 isikuandmete kaitseks

Pange tähele, et mitme kasutaja juurdepääsurežiimis erinevate õigustega K2-klassi süsteemidele kehtivad järgmised nõuded:

  • Kasutaja tuvastamine ja autentimine infosüsteemi sisselogimisel tingimuslikult püsiparooliga, mille pikkus on vähemalt kuus tähtnumbrit.
  • Kasutaja süsteemi (süsteemist) sisselogimise (väljumise) registreerimine või operatsioonisüsteemi ja selle tarkvara peatamise laadimise ja initsialiseerimise registreerimine. Infosüsteemi riistvaralise seiskamise hetkedel süsteemist väljumise või seiskamise registreerimist ei teostata. Registreerimisparameetrid näitavad kasutaja sisselogimise (väljalogimise) või süsteemi alglaadimise (väljalülitamise) kuupäeva ja kellaaega, sisselogimiskatse tulemust (edukas või ebaõnnestunud), juurdepääsu proovimisel esitatavat kasutajatunnust (kood või perekonnanimi).
  • Kõigi kaitstud andmekandjate jälgimine, märgistades need ja sisestades volikirjad raamatupidamispäevikusse koos märkega nende väljaandmise (vastuvõtmise) kohta
  • Isikuandmete kaitse süsteemi tarkvara terviklikkuse, töödeldava teabe, samuti tarkvarakeskkonna muutumatuse tagamine. Sel juhul kontrollitakse tarkvara terviklikkust süsteemi laadimisel infoturbe tööriistade komponentide kontrollsummade abil ning tarkvarakeskkonna terviklikkuse tagab kõrgetasemeliste keelte tõlkide kasutamine ja nende puudumine. vahenditest programmide objektkoodi muutmiseks kaitstud teabe töötlemise ja (või) salvestamise ajal
  • Infosüsteemi (seadmete ja andmekandjate) füüsiline turvalisus, mis tagab kõrvaliste isikute juurdepääsu kontrolli infosüsteemi ruumidesse, usaldusväärsete takistuste olemasolu volitamata sisenemisel infosüsteemi ruumidesse ja andmekandjate hoidmist.
  • Isikuandmete kaitse süsteemi funktsioonide perioodiline testimine tarkvarakeskkonna ja infosüsteemi kasutajate muutumisel volitamata juurdepääsu katseid simuleerivate testprogrammide abil
  • Isikuandmete kaitsesüsteemi taastamise vahendite olemasolu, mis näevad ette teabekaitsevahendite tarkvarakomponentide kahe koopia säilitamise, nende perioodilise värskendamise ja toimivuse jälgimise

Klassi K2 järgimiseks on ettevõtted 1C rakendanud platvormil 1C:Enterprise 8.2 töötavates konfiguratsioonides võimaluse registreerida mitmeid sündmusi, mida saab konfigureerida vahekaardil „Isikuandmete kaitse”.

Vastavus teabele volitamata juurdepääsu eest kaitsmise juhiste nõuetele (klass 1G)

Lisaks isikuandmete kaitse klassile K2 täpsustatakse NSD klassi 1G nõuded juurdepääsukontrolli, raamatupidamise ja terviklikkuse alamsüsteemidele. Näiteks:

  • Tarkvaratööriistade (programmid, protsessid, ülesanded, ülesanded) juurdepääsukatsete registreerimine kaitstud failidele
  • Trükitud (graafiliste) dokumentide väljastamise registreerimine paberkoopial, näidates ära täiendavad registreerimisparameetrid

Vastavus deklareerimata võimete puudumise kontrollitasemele 4. kontrollitasemel

Nõuded 4. taseme juhtimisele hõlmavad järgmist:

  • Dokumentatsiooni koostise ja sisu kontroll (programmi kirjeldus, mis näitab tarkvaras sisalduvate failide kontrollsummasid, tarkvaras sisalduvate programmide lähtekoodid)
  • Tarkvara algseisundi jälgimine (tarkvara praeguste kontrollsummade arvutamine ja võrdlus algolekuga)
  • Programmi lähtekoodide staatiline analüüs (tarkvara lähtekoodide täielikkuse ja liiasuse puudumise jälgimine faili tasemel, tarkvara lähtetekstide vastavuse jälgimine selle alglaadimiskoodiga)
  • Aruannete genereerimine 1.-3

ZPK tarnekomplekt sisaldab:

  • Sertifitseeritud platvormi "1C:Enterprise 8.2z" jaotuskomplekt
  • vorm kontrollsummaga
  • kaitstud toote registreerimiskaart
  • spetsifikatsioon
  • rakenduse kirjeldus
  • testi dokumentatsioon
  • programmi kirjeldus
  • FSTEC sertifikaadi koopia

Suurendamiseks klõpsake

Saate kohe osta 8.2z!

Toote saate tellida aadressil [e-postiga kaitstud]

Kohaletoimetamine teie kontorisse mis tahes Venemaa linnas on teile meie kulul tasuta.

Isikuandmete arvestus on oluline komponent iga organisatsiooni töös. Olgu tegemist suurettevõtte või väikese organisatsiooniga, nad kõik peavad arvestust klientide, tarnijate ja eelkõige oma töötajate üle, võttes arvesse ja säilitades igaühe isikuandmeid. Seega võtab organisatsioon endale edastatava teabe konfidentsiaalsuse ja turvalisuse kohustuse.

27. juuli 2006. aasta föderaalseadus nr 152-FZ “Isikuandmete kohta” kehtestab määrustes organisatsioonide vastutuse taseme. Ülaltoodud seadus ütleb: "Selle föderaalseaduse nõuete rikkumises süüdi olevad isikud kannavad tsiviil-, kriminaal-, haldus-, distsiplinaar- ja muud Vene Föderatsiooni õigusaktidega sätestatud vastutust."

1. jaanuaril 2011 tehti selles seaduses mõningaid muudatusi. Seda on muudetud ja lisatud on mitmeid uusi sätteid. Selle seaduse ühe peamise sätte kohaselt peavad kõik 1C programmide kasutajad viima kõik isikuandmete infosüsteemid, mis loodi enne 1. jaanuari 2010, selle föderaalseaduse nõuetega vastavusse viima.

Möödunud aasta algusest on oluliselt suurenenud ka trahvid isikuandmete töötlemisel rikkuvate operaatorite poolt. Ettevõtete infosüsteeme auditeerivad regulaarselt vastavad reguleerivad asutused. Kui avastatakse rikkumisi, eelkõige seda, et isikuandmete turvalisus pole sada protsenti, ei pääse ettevõte karistustest.

Kuidas tugevdada turvalisust? Vastus on olemas.

Esmalt proovime välja mõelda, millised raskused võivad ettevõtetel töötajate ja klientide isikuandmete säilitamisel kokku puutuda.

Niisiis, esimene asi. Lähtuvalt õigusnormidest astume esimesed sammud isikuandmete kaitsmiseks ning viime läbi mitmeid tehnilisi, korralduslikke ja haldusmeetmeid. Arvestades infosüsteemi arengutaset, kasutajate, aga ka kolmandate isikute juurdepääsu turvalisust, ehitame välja individuaalse turvakompleksi.

Teiseks. Tõenäoliselt peate hankima oma andmeturbetarkvara sertifikaadi (kui see pole veel sertifitseeritud). Andke meile teada, kas sertifitseerimist teostavad volitatud operaatorid (näiteks FSTEC). Tarkvara suhtes tehakse põhjalik uurimine koos laiapõhjalise analüüsiga, alates rakenduskoodist kuni programmide lähtekoodini. Analüüsitakse deklareerimata tarkvara võimaluste kontrolli taset.

Ükskõik kui keeruliselt ja tülikalt kõik eelnev ka ei kõlaks, on veel mitmeid olulisi tegureid, mis mõjutavad iga organisatsiooni edukat toimimist. Kas teil on vaja oma tarkvara sertifitseerida või mitte? Kõik oleneb isikuandmete töötlemise infosüsteemi klassist. Kokku on neli süsteemiklassi. Sertifitseerimine on vajalik ainult esimese klassi jaoks, selle, kas see on vajalik teise ja kolmanda klassi jaoks, määrab spetsialiseerunud operaator. Neljanda klassi infosüsteem ei vaja sertifikaati.

Esimese klassi peamine erinevus on teabe kättesaadavus rassi ja rahvuse, poliitiliste vaadete ja usuliste veendumuste, tervisliku seisundi või intiimelu kohta. Teine juhtum, mille puhul teie IP võib klassifitseerida esimese klassi, on teabe salvestamine rohkem kui saja tuhande kliendi ja töötaja kohta. Kui salvestate töötajate isikuandmeid või teavet haiguslehe kohta, siis kuulub teie süsteem esimesse klassi!

Olge täielikult valmis!

Mida ma peaksin tegema? Võite proovida kõike ise teha, varuda meeletut kannatust, sukelduda seadusandlikku džunglisse ja kangelaslikult sellest läbi astuda. Uurige hoolikalt juriidilisi ja tehnilisi termineid. Ja kui oled edukas, saad aru, mida oma infosüsteemiga nüüd peale hakata. Selles küsimuses on palju peensusi ja küsimusi. Näiteks, mida teha, kui süsteem ei läbi sertifikaati, muuta seda kiiresti või lahkuda? Millist tarkvara peaks sertifitseerima ja mis on "deklareerimata tarkvara võimalused"? Pea käib ringi, aga su pakilistele küsimustele pole ikka veel vastuseid?..

Proovime aidata. Niisiis, deklareerimata võimed? See tähendab, et teie tarkvarast on võimalik teavet "alla laadida" viisil, mida selle dokumentatsioonis pole täpsustatud.

Teie klientide ja töötajate isikuandmete salvestamiseks kasutatav tarkvara kuulub sertifitseerimisele. Kui kasutate Excelit või Wordi, siis sertifitseerige need programmid. Kui kasutate spetsiaalset tarkvara, hankige see sertifikaat.

Aga kui kasutate 1C programme: salvestage isikuandmeid, salvestage teavet platvormi 1C:Enterprise programmis - võime teile kinnitada, et teiega on kõik korras!

Läbimatu kaitse 1C eest!

Ettevõte 1C ei jäta oma kliente seadusandluse uuendustest tulenevate probleemidega rahule. Viimati andis ettevõte 1C välja uue toote - turvalise tarkvarapaketi "1C: Enterprise, versioon 8.2z", et kaitsta teavet teabele volitamata juurdepääsu eest. See toode on edukalt läbinud Venemaa FSTEC sertifikaadi. Turvaline tarkvarapakett (SCP) “1C:Enterprise, versioon 8.2z” on heaks kiidetud üldotstarbeliseks tarkvaraks, millel on sisseehitatud vahendid teabe kaitsmiseks volitamata juurdepääsu eest (NSD) teabele, mis ei sisalda riigisaladust moodustavat teavet.

Mis pole vähem oluline! Igal PPC koopial on oma sertifikaat. Ja müügil olevate kaitstud tarkvarasüsteemide arv on piiratud. Kuna piiratud arv komplekse on sertifitseerimise läbinud.

Kaitstud tarkvarapakett koosneb:

sertifitseeritud platvormi otselevi;

vorm kontrollsummaga;

kaitstud toote registreerimiskaart;

spetsifikatsioon;

rakenduse kirjeldus;

katsedokumentatsioon;

programmi kirjeldus;

Venemaa FSTEC sertifikaadi koopia (lisaks FSTEC kleebis).

Seega võimaldab ettevõttesse turvalise tarkvarapaketi installimine isikliku kujunduse loomisel kasutada kõiki 1C:Enterprise 8.2 platvormil töötavaid konfiguratsioone (näiteks 1C: Palga- ja personalijuhtimine 8, 1C: Manufacturing Enterprise Management 8 jne). mis tahes klassi andmeinfosüsteem. Rakenduslahenduste täiendavat sertifitseerimist ei nõuta, kuna platvorm on sertifitseeritud. Samuti pole vaja eraldi kasutajalitsentse (võtmeid).

Lisaks toetab ZPK "1C:Enterprise, versioon 8.2z" spetsiaalset ühilduvusrežiimi versioonidega 8.0 ja 8.1. See võimaldab seda kasutada versioonide 8.0 ja 8.1 jaoks välja töötatud konfiguratsioonidega ilma konfiguratsioonis end muutmata. Selles režiimis saab platvormi 1C:Enterprise versioonidel 8.0 ja 8.1 välja töötatud rakenduslahendusi kasutada koos versiooniga 8.2 ilma täiendava töötlemiseta.

100% toetus

Kas olete 1C kasutaja ja ettevõtte 1C-Business Architect tervikliku äriarenduse keskuse klient? Teil on topelt vedanud!

Sertifitseeritud turvasüsteemi “1C:Enterprise, versioon 8.2z” paigalduse teostab kõrgelt kvalifitseeritud spetsialist. Töö valmib kvaliteetselt ja pakutavate tasuta tundide raames (32-bitise versiooni puhul 2 tundi ja 64-bitise versiooni puhul 4 tundi).

Kui soovite oma andmeid veelgi kaitsta, aitavad meie spetsialistid valida ja installida sobiva tarkvara.

Kas töötate tootesarjas 1C:Enterprise 7.7, mis ei ühildu tarkvara 1C:Enterprise versiooniga 8.2z? Ära lase sellel end häirida. Meie spetsialistidel on märkimisväärne kogemus klientide üleviimisel “7”-lt “8-le”!

Oleme valmis teile appi tulema! Sõltumata ülesannete mahust ja keerukusest! Olgu selleks siis täismahus tööd alates turvaliste sideliinide, tööjaamade, serveriruumide korrektsest korraldamisest ja lõpetades vajalike ametijuhendite väljatöötamisega, sh vastava koolitusega Teie ettevõtte isikuandmetega töötavatele töötajatele.

1C-Business Architect Center for Comprehensive Business Development spetsialistid annavad teile hea meelega teavet ja tehnilist tuge.

Infoturbe, nagu ka infokaitse, on turvalisuse tagamisele suunatud kompleksne ülesanne, mida rakendatakse turvasüsteemi rakendamisega. Infoturbe probleem on mitmetahuline ja keeruline ning hõlmab mitmeid olulisi ülesandeid.

Infoturbe probleeme süvendab pidevalt andmetöötluse ja andmeedastuse tehniliste vahendite tungimine kõikidesse ühiskonna sfääridesse, eriti teravalt on see probleem finantsarvestuse süsteemide valdkonnas. Venemaal on kõige populaarsem raamatupidamis-, müügi- ja CRM-i protsesside süsteem 1C Enterprise.

Mõelgem programmi 1C kasutamisel võimalikele turvaohtudele.

1C kasutamine failivormingus andmebaasidega. 1C-failide andmebaasid on füüsilise mõju suhtes kõige haavatavamad. Selle põhjuseks on seda tüüpi andmebaaside arhitektuurilised omadused - vajadus hoida avatud (täieliku juurdepääsuga) kõik konfiguratsioonifailid ja failiandmebaasid ise kõigi operatsioonisüsteemi kasutajate jaoks. Selle tulemusena saab iga kasutaja, kellel on õigus töötada 1C-failide andmebaasis, teoreetiliselt kahe hiireklõpsuga 1C teabeandmebaasi kopeerida või isegi kustutada.

1C kasutamine DBMS-vormingus andmebaasidega. Seda tüüpi probleem tekib siis, kui DBMS-i (PosgreSQL, MS SQL) kasutatakse 1C andmebaaside salvestusruumina ja ettevõtte 1C serverit kasutatakse vahesideteenusena 1C ja DBMS-i vahel. See on näide – paljud ettevõtted harjutavad 1C konfiguratsioonide muutmist vastavalt oma vajadustele. Täiustamise käigus, projekti "sagina", pideva uue, täiustatud funktsionaalsuse testimise tingimustes, eiravad vastutavad spetsialistid sageli võrguturbe reegleid.
Selle tulemusel saavad mõned isikud, kellel on otsene juurdepääs DBMS-i andmebaasile või kellel on 1C Enterprise serveris administraatori õigused, isegi ajutiseks testiperioodiks, teha varukoopia välistesse ressurssidesse või kustutada andmebaasi DBMS-is täielikult.

Serveriseadmete avatus ja ligipääsetavus. Kui serveriseadmetele on volitamata juurdepääs, saavad ettevõtte töötajad või kolmandad osapooled seda juurdepääsu kasutada teabe varastamiseks või kahjustamiseks. Lihtsamalt öeldes, kui ründaja saab otsese juurdepääsu 1c-serveri korpusele ja konsoolile, laieneb tema võimaluste ulatus kümnekordseks.

Isikuandmete varguse ja lekkimise oht. Siin mõistetakse praeguste ohtude all isikuandmete turvalisust tingimuste ja tegurite kogumit, mis loovad hetkelise loata, sealhulgas juhusliku juurdepääsu ohu isikuandmetele nende töötlemisel infosüsteemis, näiteks vastutavate töötajate, arvuti poolt. operaatorid, raamatupidamisosakonnad jne.
Selle tagajärjeks võib olla isikuandmete hävitamine, muutmine, blokeerimine, kopeerimine, edastamine, levitamine, samuti vastutavate isikute muud õigusvastased tegevused.

Võrgu turvalisus. Ettevõtte infosüsteem, mis on ehitatud rikkudes GOST-i, turvanõudeid, soovitusi või puudub korralik IT-tugi, on täis auke, viiruseid ja nuhkvara ning palju tagauksi (volituseta juurdepääs sisevõrgule), mis mõjutab otseselt ettevõtte andmete turvalisust. 1C. See annab ründajale hõlpsa juurdepääsu tundlikule äriteabele. Näiteks võib ründaja kasutada isikliku kasu saamise eesmärgil tasuta juurdepääsu varukoopiatele ja varukoopiate arhiivide parooli puudumist. Rääkimata elementaarsest kahjustusest 1C andmebaasile viirustegevuse poolt.

1C ja väliste objektide vaheline seos. Teine potentsiaalne oht on 1C raamatupidamisandmebaasi vajadus (ja mõnikord ka spetsiaalne turundusfunktsioon) suhelda "välismaailmaga". Kliendipankade üles-/allalaadimised, infovahetus filiaalidega, regulaarne sünkroonimine ettevõtete veebisaitidega, portaalidega, muude aruandlusprogrammidega, kliendi- ja müügihaldus ja palju muud. Kuna selles 1C valdkonnas turvastandardite järgimist ja võrgu teabevahetuse ühtsust ei soodustata, on leke igal marsruudil üsna reaalne.
Seoses mittestandardsete protsesside automatiseerimise täiustuste või liikluse kaitseks vajalike meetmete eelarvekärbete vajadusega suureneb koheselt haavatavuste, aukude, ebaturvaliste ühenduste, avatud portide, kergesti ligipääsetavate krüpteerimata vahetusfailide jms arv. raamatupidamissüsteemis. Võite julgelt ette kujutada, milleni see võib viia - alates 1C andmebaasi elementaarsest keelamisest teatud ajaks kuni mitme miljoni suuruse maksekorralduse võltsimiseni.

Mida saab selliste probleemide lahendamiseks välja pakkuda?

1. 1C failiandmebaasidega töötamisel Baaside turvalisuse tagamiseks on hädavajalik rakendada mitmeid meetmeid:

  • NTFS-i juurdepääsupiiranguid kasutades andke vajalikud õigused ainult neile kasutajatele, kes selle andmebaasiga töötavad, kaitstes sellega andmebaasi varguste või kahjustuste eest hoolimatute töötajate või ründaja poolt;
  • Kasutage kasutaja tööjaamadesse sisselogimiseks ja võrguressurssidele juurdepääsuks alati Windowsi autoriseerimist;
  • Kasutage krüptitud kettaid või krüptitud kaustu, mis võimaldavad teil salvestada konfidentsiaalset teavet isegi siis, kui eemaldate andmebaasi 1C;
  • Kehtestada automaatse ekraaniluku poliitika, samuti pakkuda kasutajate koolitust profiili lukustamise vajaduse selgitamiseks;
  • Juurdepääsuõiguste diferentseerimine 1C tasemel võimaldab kasutajatel pääseda juurde ainult sellele teabele, millele neil on vastavad õigused;
  • 1C konfiguraatori käivitamine on vajalik ainult neile töötajatele, kes seda vajavad.

2. DBMS 1C andmebaasidega töötamisel Pöörake tähelepanu järgmistele soovitustele:

  • DBMS-iga ühenduse loomise mandaatidel ei tohiks olla administraatoriõigusi;
  • Vajalik on eristada juurdepääsuõigusi DBMS-i andmebaasidele, näiteks luua igale teabebaasi jaoks oma konto, mis minimeerib andmete kadumise, kui üks kontodest on häkitud;
  • Soovitatav on piirata füüsilist ja kaugjuurdepääsu ettevõtte andmebaasidele ja 1C serveritele;
  • Andmebaaside puhul on soovitatav kasutada krüptimist; see salvestab konfidentsiaalseid andmeid isegi siis, kui ründaja saab füüsilise juurdepääsu DBMS-failidele;
  • Samuti on üheks oluliseks otsuseks andmete varukoopiate krüpteerimine või parooli määramine;
  • 1C klastri ja ka 1C serveri administraatorite loomine on kohustuslik, kuna vaikimisi, kui kasutajaid pole loodud, on absoluutselt kõigil süsteemi kasutajatel täielik juurdepääs teabebaasidele.

3. Nõuded serveriseadmete füüsilise turvalisuse tagamiseks:
(vastavalt GOST R ISO/IEC TO-13335)

  • Juurdepääs aladele, kus töödeldakse või säilitatakse tundlikku teavet, peab olema kontrollitud ja piiratud ainult selleks volitatud isikutega;
  • Autentimise juhtelemendid, näiteks juurdepääsukontrolli kaart pluss isikukood , tuleb kasutada mis tahes juurdepääsu autoriseerimiseks ja kinnitamiseks;
  • Kogu juurdepääsu kontrolljälg tuleb hoida turvalises kohas;
  • Kolmandate isikute tugipersonalile tuleks anda piiratud juurdepääs turvaaladele või tundlikele teabetöötlusseadmetele ainult vajaduse korral;
  • see juurdepääs peab olema volitatud ja seda tuleb pidevalt jälgida;
  • Juurdepääsuõigused turvaaladele tuleks regulaarselt üle vaadata ja ajakohastada ning vajadusel tühistada;
  • Arvesse tuleb võtta asjakohaseid ohutus- ja tervishoiueeskirju ja -standardeid;
  • Peamised rajatised peaksid asuma nii, et avalikkus ei pääse neile juurde;
  • Kui see on asjakohane, peaksid hooned ja ruumid olema tagasihoidlikud ja andma minimaalselt märku nende otstarbest, ilma nähtavate siltideta hoonest väljas või sees, mis viitavad teabetöötlustoimingutele;
  • Sildid ja sisemised telefoniraamatud, mis näitavad tundliku teabe töötlemise seadmete asukohti, ei tohiks olla üldsusele kergesti kättesaadavad.

4. Isikuandmete konfidentsiaalsus. Isikuandmete kaitse korraldamise põhieesmärk on neutraliseerida olemasolevad ohud infosüsteemis, määratletud 27. juuli 2006. aasta föderaalseadus nr 152-FZ “Isikuandmete kohta” , riiklike standardite ja rahvusvaheliste IT-turvasertifikaatide nõuete loetelu (GOST R ISO/IEC 13335 2-5, ISO 27001) . See saavutatakse teabele juurdepääsu piiramisega selle liikide kaupa, teabele juurdepääsu piiramisega kasutajarollide kaupa, teabe töötlemise ja säilitamise protsessi struktureerimisega.
Siin on mõned põhipunktid.

  • Isikuandmete töötlemine peab piirduma konkreetsete, eelnevalt määratletud ja legitiimsete eesmärkide saavutamisega;
  • Nõusolek isikuandmete töötlemiseks peab olema konkreetne, teadlik ja teadlik;
  • Isikuandmete kogumise eesmärkidega kokkusobimatu isikuandmete töötlemine ei ole lubatud;
  • Töötlemisele kuuluvad ainult isikuandmed, mis vastavad nende töötlemise eesmärgile;
  • Operaatorid ja muud isikud, kellel on juurdepääs isikuandmetele, on kohustatud mitte avaldama kolmandatele isikutele ega levitama isikuandmeid ilma isikuandmete subjekti nõusolekuta, kui föderaalseaduses ei ole sätestatud teisiti;
  • Foto-, video-, heli- või muid salvestusseadmeid, näiteks mobiilseadmete kaameraid, ei tohiks lubada ilma loata;
  • Irdkandjaga draivid tuleks lubada ainult siis, kui selleks on äriline vajadus;
  • Tagamaks, et konfidentsiaalset teavet ei rikutaks, tuleb paberit ja elektroonilisi andmekandjaid hoida nõuetekohaselt lukustatud kappides ja/või muus turvalises mööblis, kui neid ei kasutata, eriti töövälisel ajal;
  • Olulist või tundlikku varalist teavet sisaldavad kandjad tuleks ära panna ja lukustada, kui seda pole vaja (näiteks tulekindlasse seifi või kappi), eriti kui ala on vaba.

5. Võrgu turvalisus- see on nõuete kogum ettevõtte arvutivõrgu infrastruktuurile ja selles töötamise poliitikatele, mille rakendamine tagab võrguressursside kaitse volitamata juurdepääsu eest. Võrguturbe korraldamise ja tagamise soovitatud toimingute osana võite lisaks põhilistele kaaluda järgmisi funktsioone:

  • Esiteks peab ettevõte rakendama ühtset infoturbe regulatsiooni koos vastavate juhistega;
  • Kasutajatele tuleks võimaluse korral keelata juurdepääs soovimatutele saitidele, sealhulgas failimajutusteenustele;
  • Välisvõrgust peaksid olema avatud ainult need pordid, mis on vajalikud kasutajate korrektseks tööks;
  • Peab olema süsteem kasutajate tegevuste igakülgseks jälgimiseks ja kõigi Seltsi jaoks oluliste avalikult kättesaadavate ressursside normaalseisundi rikkumistest kiireks teavitamiseks;
  • Tsentraliseeritud viirusetõrjesüsteemi ja pahavara puhastamise ja eemaldamise reeglite olemasolu;
  • Viirusetõrjetarkvara haldamiseks ja värskendamiseks mõeldud tsentraliseeritud süsteemi, samuti OS-i regulaarsete värskenduste poliitikate olemasolu;
  • Võimalust kasutada eemaldatavat välkmälu tuleks piirata nii palju kui võimalik;
  • Parool peab olema vähemalt 8 tähemärgi pikkune, sisaldama numbreid ning suuri ja väikesi tähti;
  • Peab olema kaitstud ja krüpteeritud võtmeteabe vahetamise kaustad, eelkõige 1c vahetusfailid ja kliendi-panga süsteem;
  • Teabetöötlusseadmetes sisalduvad elektri- ja kaugsideliinid peaksid võimaluse korral asuma maa all või olema piisavalt kaitstud;
  • Võrgukaableid tuleb kaitsta volitamata pealtkuulamise või kahjustamise eest, kasutades näiteks kanalit või vältides marsruute, mis läbivad üldkasutatavaid alasid.

Kõike eelnevat kokku võttes märgin, et teabe kaitsmise põhireeglid on kasutajate õiguste ja võimaluste piiramine, samuti nende üle kontroll infosüsteemide kasutamisel. Mida vähem on kasutajal infosüsteemiga töötamisel õigusi, seda väiksem on võimalus info lekkimiseks või kahjustumiseks pahatahtliku kavatsuse või hooletuse tõttu.


Terviklahendus ettevõtte andmete, sealhulgas 1C andmebaaside kaitsmiseks on lahendus “Server Iisraelis”, mis sisaldab ajakohaseid tööriistu teabe kõrge konfidentsiaalsuse tagamiseks.

Süsteemi integreerimine. Konsulteerimine

Alates 1. juulist 2017 on oluliselt karmistatud vastutust isikute isikuandmetega suhtlemisel rikkumiste eest. See tuleneb föderaalseaduse 02.07.2017 nr 13-FZ sätetest). Muudatused puudutavad eranditult kõiki tööandjaid, kes on seotud töötajate ja üksikute töövõtjate isikuandmete töötlemisega. Veelgi enam, võime öelda, et muudatused kehtivad peaaegu kogu äriringkonnale, kes suhtleb üksikisikute isikuandmetega (näiteks külastajate isikuandmeid koguvate veebisaitide omanikud). Kuidas muutusteks valmistuda? Kas trahvid suurenevad? Kes tuvastab rikkumisi isikuandmete töötlemisel? Selgitame välja.

Isikuandmed: eriteave

Töötajate isikuandmed on mis tahes teave, mis on tööandjale vajalik seoses töösuhetega ja konkreetse töötajaga (27. juuli 2006. aasta föderaalseaduse nr 152-FZ "Isikuandmete kohta" artikkel 1, artikkel 3).

Tööandja (organisatsiooni või üksikettevõtja) jaoks koondatakse töötajate isikuandmed kõige sagedamini nende isikukaartidesse ja isikutoimikutesse. Samas teab pea iga personalijuht või personalispetsialist, et isikuandmeid saab isiklikult vaid töötajatelt. Kui isikuandmeid saab hankida ainult kolmandatelt isikutelt, kohustab Venemaa seadusandlust töötajat sellest teavitama ja saama temalt kirjaliku nõusoleku (Vene Föderatsiooni tööseadustiku artikli 86 esimese osa punkt 3).

Tööandjal ei ole õigust saada ja töödelda isikuandmeid, mis ei ole otseselt seotud isiku töötegevusega. See tähendab, et on võimatu koguda teavet näiteks töötajate usutunnistuse kohta. Lõppude lõpuks on selline teave isiklik või perekonnasaladus ja seda ei saa mingil viisil seostada tööülesannete täitmisega (Vene Föderatsiooni tööseadustiku artikli 86 esimese osa punkt 4).

Pärast isikuandmete saamist on tööandja seadusest tulenevalt kohustatud neid ilma töötaja nõusolekuta mitte levitama ega kolmandatele isikutele avaldama (27. juuli 2006. aasta föderaalseaduse nr 152-FZ artikkel 7).

Isikuandmeid võib mõista kui mis tahes teavet, mis on otseselt või kaudselt seotud konkreetse üksikisikuga (isikuandmete subjekt) - 27. juuli 2006. aasta föderaalseaduse nr 152-FZ artikli 3 lõige 1. Sellised andmed võivad olla näiteks perekonnanimi, eesnimi, isanimi, sünniaeg ja -koht, elukoht jne.

Kuidas on tööandja kohustatud isikuandmeid kaitsma

Isikuandmete kaitsmiseks ja neile juurdepääsu piiramiseks peab tööandja tagama nende kaitseks kvaliteetse ja kaasaegse süsteemi. Kuidas seda täpselt teha? Iga tööandja otsustab selle küsimuse iseseisvalt. Samal ajal peab isikuandmete saamise, töötlemise, edastamise ja säilitamise kord olema sätestatud organisatsiooni kohalikus seaduses, näiteks töötajate isikuandmete töötlemise määrustes (tööseadustiku artikkel 8, 87). Vene Föderatsiooni 27. juuli 2006. aasta föderaalseaduse nr 152-FZ punkt 2, 1. osa, artikkel 18.1).

Samuti peab tööandja ametlikult määrama töötaja, kes vastutab isikuandmetega töötamise eest (Vene Föderatsiooni tööseadustiku artikli 88 5. osa). See võib olla näiteks personaliosakonna töötaja, kes suhtleb isiklike failidega, saab töötlemiseks töötaja nõusoleku, hooldab töötaja kaarte jne.

Tööandja kontrolle isikuandmete töötlemise kohta viivad läbi Roskomnadzori osakonnad. Venemaa telekommunikatsiooni- ja ma14. novembri 2011. aasta korraldusega nr 312 kiideti heaks halduseeskirjad Roskomnadzori poolt riikliku kontrolli (järelevalve) teostamise funktsioonide täitmiseks.

Millised kohustused kehtivad tööandjatele

Töötajate isikuandmete saamise, töötlemise, säilitamise ja kaitsmise korra rikkumise eest on ette nähtud distsiplinaar-, materiaalne, haldus- ja kriminaalvastutus (Vene Föderatsiooni töökoodeksi artikkel 90, 1. osa, Vene Föderatsiooni föderaalseaduse artikkel 24). 27. juuli 2006 nr 152-FZ). Vaatame kõiki neid vastutuse liike.

Distsiplinaarvastutus

Töötajad, kes on töösuhete tõttu kohustatud järgima isikuandmetega töötamise reegleid, kuid on neid rikkunud (Vene Föderatsiooni tööseadustiku artikkel 192), võivad isikuandmetega töötamise rikkumiste eest vastutusele võtta. See tähendab, et saate vastutusele võtta näiteks personalijuhi, kellele vastav töö on usaldatud. Isikuandmete kogumise, töötlemise ja säilitamise distsiplinaarsüüteo eest võib tööandja karistada oma töötajat, kohaldades tema suhtes ühte järgmistest karistustest (Vene Föderatsiooni tööseadustiku artikli 192 1. osa):

  • kommentaar;
  • noomida;
  • vallandamine.

Materiaalne vastutus

Töötaja rahaline vastutus võib tekkida, kui organisatsiooni isikuandmetega töötamise reeglite rikkumisega tekitatakse otsene tegelik kahju (Vene Föderatsiooni tööseadustiku artikkel 238). Oletame, et personaliosakonna vastutav töötaja pani toime jämeda rikkumise - levitas töötajate isikuandmeid Internetis. Töötajad, saades sellest teada, esitasid tööandja vastu hagi, mis otsustas: "maksma vigastatud töötajatele rahalist hüvitist - igaüks 50 000 rubla." Sellises olukorras on tööandjal võimalus panna süüdlasele personaliosakonna töötajale tema keskmise kuupalga piires piiratud rahaline vastutus (Vene Föderatsiooni tööseadustiku artikkel 241). Tekitatud kahju saab sisse nõuda juhataja korraldusel hiljemalt ühe kuu jooksul alates töötaja poolt tekitatud kahju suuruse lõpliku kindlaksmääramise päevast. Kui kuutähtaeg on möödas, tuleb kahju hüvitada kohtu kaudu. See kord on sätestatud Vene Föderatsiooni tööseadustiku artiklis 248.

Loe ka Puhkeaeg ületunnitöö jaoks

Täieliku rahalise vastutuse korral peab töötaja täielikult hüvitama organisatsioonile kogu kahju, mis on tekkinud seoses isikuandmetega seotud rikkumistega (Vene Föderatsiooni tööseadustiku artiklid 242 ja 243). Isikuandmete töötlemise eest vastutavatele töötajatele ei võeta aga reeglina täit rahalist vastutust.

Tööandja (näiteks äriühing) kohaldab distsiplinaar- ja rahalist vastutust ainult oma äranägemise järgi. Riigi reguleerivad asutused (sh Roskomnadzor) selles protsessis ei osale.

Haldusvastutus

Tööandja ja ametnike isikuandmete kogumise, säilitamise, kasutamise või levitamise korra rikkumise eest võivad reguleerivad asutused võtta haldusvastutuse rahatrahvi näol, mis võib ulatuda:

  • ametnikele (näiteks peadirektor, pearaamatupidaja, personaliametnik või üksikettevõtja): 500 kuni 1000 rubla;
  • organisatsiooni jaoks: 5000 kuni 10 000 rubla.

Eraldi (sõltumatu) trahv ametnikele isikuandmete avalikustamise eest seoses ameti- või ametiülesannete täitmisega jääb vahemikku 4000–5000 rubla. Selliseid karistusi on kirjeldatud Vene Föderatsiooni haldusõiguserikkumiste seadustiku artiklites 13.11 ja 13.14.

Kriminaalvastutus

Ettevõtte direktori, pearaamatupidaja või personaliosakonna juhataja või muu isikuandmetega töötamise eest vastutava isiku suhtes võib tekkida kriminaalvastutus ebaseadusliku tegevuse eest:

  • töötaja eraelu puudutava teabe kogumine või levitamine, mis moodustab tema isikliku või perekonnasaladuse, ilma tema nõusolekuta;
  • töötaja kohta teabe levitamine avalikus kõnes, avalikult välja pandud töös või meedias.

Selliste isikuandmete töötlemise rikkumiste eest on lubatud järgmised kriminaalkaristused:

  • rahatrahv kuni 200 000 rubla (või süüdimõistetu sissetulekute ulatuses kuni 18 kuu jooksul);
  • kohustuslikku tööd kuni 360 tundi;
  • parandustööd kuni üheks aastaks;
  • sunnitööle tähtajaga kuni kaks aastat koos teatud ametikohtade või teatud tegevustega tegelemise õiguse äravõtmisega kuni kolmeks aastaks või ilma;
  • arest kuni neli kuud;
  • kuni kaheaastase vangistusega koos teatud ametikoha või teatud tegevusega tegelemise õiguse äravõtmisega tähtajaga kuni kolm aastat.

Ametiseisundit kasutava isiku poolt toime pandud samade tegude eest karistatakse rangemalt:

  • trahv 100 000 kuni 300 000 rubla. (või süüdimõistetu sissetulekute ulatuses ühe kuni kahe aasta jooksul);
  • teatud ametikohtadel või teatud tegevusaladel tegutsemise õiguse äravõtmine kaheks kuni viieks aastaks;
  • sunnitööle tähtajaga kuni neli aastat koos teatud ametikohtade või tegevuste võtmise õiguse äravõtmisega kuni viieks aastaks või ilma;
  • vahistamine tähtajaga neli kuni kuus kuud;
  • vangistus kuni neljaks aastaks, millega jäetakse ära õigus töötada teatud ametikohtadel või osaleda teatud tegevuses kuni viieks aastaks (Vene Föderatsiooni kriminaalkoodeksi artikkel 137).

Mis muutub alates 1. juulist 2017

Föderaalseadus, 07.02. 2017 nr 13-FZ laiendas tööandja haldusvastutusele võtmise aluste loetelu isikuandmete kaitse valdkonnas ning suurendas ka haldustrahvide suurust. Käesolev seadus jõustub 1. juulil 2017. aastal. Ütleme kohe ära, et haldusvastutust isikuandmete valdkonnas on oluliselt karmistatud. Samal ajal on oluline: Vene Föderatsiooni haldusõiguserikkumiste seadustiku artiklis 13.11 kirjeldatud ainsa haldusvastutuse liigi asemel ilmub seitse. Seega saab tööandjate erinevate rikkumiste eest isikuandmete valdkonnas kohaldada erinevaid trahve. Kui erinevate rikkumiste puhul tuvastatakse mitu rikkumist, võib trahvide arv vastavalt suureneda. Selgitagem uusi õigusrikkumisi üksikasjalikumalt.

Rikkumine 1: isikuandmete töötlemine „muudel“ eesmärkidel

Alates 1. juulist 2017 on isikuandmete töötlemine seaduses sätestatud juhtudel või isikuandmete kogumise eesmärkidega vastuolus olev isikuandmete töötlemine iseseisvad haldusõiguserikkumise liigid (haldusseadustiku artikli 13.11 1. osa). Vene Föderatsiooni süüteod). Toome näite: tööd andev organisatsioon kogub töötajate isikuandmeid ja edastab need reklaami eesmärgil kolmandatele ettevõtetele (edastatakse täisnimi, telefoninumbrid, elukohapiirkonnad, sissetulekute tase). Seejärel hakkavad reklaamifirmad saatma töötajatele erinevaid rämpsposti ja reklaampakkumisi telefoni, e-posti ja koduaadresside kaudu. Kui tööandja sellisest tegevusest ei ilmne kuritegu, saab rakendada haldusvastutust. Alates 1. juulist 2017 võivad halduskaristused olla järgmised:

  • või hoiatus;
  • või trahvid.

Rikkumine 2: isikuandmete töötlemine ilma nõusolekuta

Isikuandmete töötlemine tööandja poolt on üldreeglina võimalik ainult töötajate kirjalikul nõusolekul. Selline nõusolek peab sisaldama järgmist teavet (27. juuli 2006. aasta seaduse nr 152-FZ artikli 9 4. osa):

  • Töötaja täisnimi, aadress, passi andmed (muu isikut tõendav dokument), sealhulgas andmed dokumendi väljaandmise kuupäeva ja väljastanud asutuse kohta;
  • töötaja nõusoleku saanud tööandja (operaatori) nimi või täisnimi ja aadress;
  • isikuandmete töötlemise eesmärk;
  • isikuandmete loetelu, mille töötlemiseks antakse nõusolek;
  • tööandja nimel isikuandmeid töötleva isiku nimi või täisnimi ja aadress, kui töötlemine usaldatakse sellisele isikule;
  • isikuandmetega tehtud toimingute loetelu, milleks nõusolek antakse, tööandja poolt isikuandmete töötlemiseks kasutatavate meetodite üldine kirjeldus;
  • periood, mille jooksul töötaja nõusolek kehtib, ja selle tagasivõtmise viis, kui föderaalseadusega ei ole sätestatud teisiti;
  • töötaja allkiri.

Alates 1. juulist 2017 on isikuandmete töötlemine ilma töötaja kirjaliku nõusolekuta või juhul, kui kirjalik nõusolek ei sisalda ülalnimetatud andmeid, haldusõiguserikkumiste seadustiku artikli 13.11 2. osas sätestatud iseseisev haldusrikkumine. Vene Föderatsiooni. Selle eest on võimalikud karistused:

Rikkumine 3: juurdepääs isikuandmete töötlemise poliitikale

Isikuandmete haldur (näiteks tööandja või veebileht) on kohustatud avaldama või muul viisil võimaldama piiramatu juurdepääsu dokumendile, mis määratleb tema isikuandmete töötlemise poliitika, teabele rakendatud isikuandmete kaitse nõuete kohta. Internetis isikuandmeid koguv operaator (näiteks veebisaidi kaudu) on kohustatud avaldama Internetis dokumendi, mis määratleb tema isikuandmete töötlemise poliitika ja teabe rakendatud isikuandmete kaitse nõuete kohta, samuti võimaldama juurdepääsu määratud dokumendile. See on sätestatud 27. juuli 2006. aasta seaduse nr 152-FZ artikli 18.1 lõikes 2.

Paljud Interneti-kasutajad seisavad praktikas silmitsi selle kohustuse täitmisega. Nii et näiteks jättes veebilehtedele suvalise taotluse ja märkides oma täisnime ja e-posti aadressi, võite pöörata tähelepanu sarnaste dokumentide lingile: „Isikuandmete töötlemise eeskirjad“, „Isikuandmete töötlemise eeskirjad“ , jne. . Siiski tasub tunnistada, et mõned saidid jätavad selle tähelepanuta ega paku linke. Ja selgub, et inimene jätab saidile päringu, ei tea, millistel eesmärkidel sait isikuandmeid kogub.

Mõned tööandjad kuvavad vabad töökohad ka oma veebisaitidel ja kutsuvad kandidaate täitma vormi „Minust”. Sellistel juhtudel peab veebisait võimaldama juurdepääsu ka “Isikuandmete töötlemise poliitikale”.

Alates 1. juulist 2017 on Vene Föderatsiooni haldusõiguserikkumiste seadustiku artikli 13.11 3. osas tuvastatud iseseisev õigusrikkumine – käitaja ei täida kohustust avaldada dokumenti või võimaldada sellele piiramatu juurdepääs töötlemise poliitikaga. isikuandmeid või teavet nende kaitse kohta. Selle artikli kohane vastutus võib tunduda hoiatuse või haldustrahvina:

Rikkumine 4: teabe varjamine

Isikuandmete subjektil (st isikul, kellele need andmed kuuluvad) on õigus saada teavet oma isikuandmete töötlemise kohta, sealhulgas teavet, mis sisaldab (27. juuli 2006. aasta seaduse nr 14 artikli 14 7. osa). 152-FZ) :

  1. käitaja isikuandmete töötlemise fakti kinnitus;
  2. isikuandmete töötlemise õiguslikud alused ja eesmärgid;
  3. operaatori kasutatavad isikuandmete töötlemise eesmärgid ja meetodid;
  4. operaatori nimi ja asukoht, teave isikute kohta (välja arvatud operaatori töötajad), kellel on juurdepääs isikuandmetele või kellele võib operaatoriga sõlmitud lepingu või föderaalseaduse alusel isikuandmeid avaldada;
  5. asjaomase isikuandmete subjektiga seotud töödeldud isikuandmed, nende saamise allikas, välja arvatud juhul, kui föderaalseadusega on ette nähtud erinev kord selliste andmete esitamiseks;
  6. isikuandmete töötlemise tingimused, sealhulgas nende säilitamise perioodid;
  7. isikuandmete subjekti käesoleva föderaalseadusega sätestatud õiguste kasutamise kord;
  8. teave lõpetatud või kavandatud piiriüleste andmeedastuste kohta;
  9. operaatori nimel isikuandmeid töötleva isiku ees- või perekonnanimi, eesnimi, isanimi ja aadress, kui töötlemine on või tehakse sellisele isikule;
  10. muu föderaalseaduses või teistes föderaalseadustes sätestatud teave.


Võib-olla olete huvitatud