Обработка персональных данных 1с 8

29 мая 2014 года в Москве в «1С:Лектории» (Москва, ул. Селезневская, 34) состоялась лекция . Наши читатели, которые не могли посетить лекцию, присылали свои вопросы в рамках одноименной интернет-конференции. В ходе мероприятия Юрий Контемиров, начальник управления по защите прав субъектов персональных данных Роскомнадзора и Ирина Баймакова, эксперт фирмы «1С» ответили на вопросы о защите персональных данных, а также проанализировали основные ошибки, выявляемые Роскомнадзором в ходе осуществления контрольных мероприятий.

Пользователь kot : 1С:Предприятие 8.2z для малых и средних предприятий. Медицина, Бюджетники, Военные...? Для кого и чего нужна эта платформа? В пользовательском режиме это должно зарываться правами доступа. От стороннего подключения средствами СУБД?

Уже как 4 года гадаю, что это простая выкачка денег по аналогии "проблемы 2000 года". Когда приходил, запускал на компьтере программку, она что-то делала, ты говорил что все нормально и тебе платили.

Ирина Баймакова : Требования Федерального закона "О персональных данных" касаются любых операторов персональных данных, т.е. любых организаций в которых обрабатываются персональные данные. Да, действительно, требования по защите ПДн в зависимости от категории данных и их объема могут существенно различаться.

: Что такого особенного в версия 8.2z? Почему именно в ней персональные данные защищены и что не так в плане защиты персональных данных в других версиях восьмерочных программ?

Ирина Баймакова : ЗПК "1С:Предприятие, версия 8.2z" - сертифицированная версия технологической платформы 1С:Предприятие 8.2. Функциональных отличий между сертифицированной версией и обычной нет. Доработки, сделанные с учетом требований ФСТЭК России, реализованы как обычной, так и сертифицированной версии технологической платформы.

Использование ЗПК "1С:Предприятие, версия 8.2z" позволяет выполнить требование, предусмотренное статьей п. 2 статьи 19 Федерального закона "О персональных данных" в части обязательности применения средств защиты информации, прошедших оценку соответствия, в отношении персональных данных, обрабатываемых с использованием программных продуктов 1С.

Незарегистрированный пользователь : Не очень представляю, как программа может стать панацеей в области защиты персональных данных. А как же пресловутый человеческий фактор? Ведь в программе работают люди.

Ирина Баймакова : В данном случае нельзя говорить, что программа является панацеей. Защищенный программный комплекс "1С:Предприятие, версия 8.2z" - один из "кирпичиков", который позволяет выстроить систему защиты информации и обеспечить соблюдение требований действующего законодательства РФ в области защиты персональных данных.

Незарегистрированный пользователь : Бывали ли случаи утечки данных защищенных 1с?

Ирина Баймакова : Такие данные у меня отсутствуют.

Незарегистрированный пользователь : Несет ли какую либо ответственность 1С за утрату данных и их утечку?

Ирина Баймакова : Ответственность за утрату данных возложена на оператора персональных данных.

Незарегистрированный пользователь : Кому необходимо применять ЗПК «1С:Предприятие, 8.2z»? Что входит в комплект поставки ЗПК?

Ирина Баймакова

В комплект ЗПК "1С:Предпрятие, версия 8.2z" входят дистрибутив технологической платформы, формуляр, документация.

Незарегистрированный пользователь : Какие другие программные продукты можно использовать с целью защиты персональных данных?

Ирина Баймакова : На рынке представлено значительное количество средств защиты информации. Необходимость применения того или иного продукта зависит от выявленных актуальных угроз и требований по защите персональных данных у конкретного оператора.

Незарегистрированный пользователь : Какие главные потенциальные опасности Вы видите для персональных данных? Что именно гарантирует или исключает защита?

Юрий Контемиров : Основной опасностью является утечка и незаконное распространение персональных данных, что может повлечь негативные последствия для человека, вторжение в его личную жизнь. Гарантировать действительную защиту ПДн можно только при комплексном подходе к организации защиты информации, уделяя особое внимание "человеческому" фактору.

Незарегистрированный пользователь : Как Вы считаете, часто ли малые компании сталкиваются с утечкой бухгалтерских данных?

Юрий Контемиров : Информация по данному вопросу, к сожалению, у меня отсутствует.

Незарегистрированный пользователь : А почему "1С:Предприятие 8.2z" называется защищенным? В чем его принципиальное отличие от других продуктов?

Ирина Баймакова : В данном случае "защищенный" - это название, т.е. проверенный испытательной лабораторией на отсутствие недекларированных возможностей и соблюдение иных требований, определенных ФСТЭК России.

ЗПК "1С:Предприятие, версия 8.2z" - это специальный продукт для обеспечения требований действующего законодательства о персональных данных организациями и предпринимателями, применяющими программные продукты 1С.

Пользователь Kaufen : Организация закупила ЗПК "1С:Предприятие 8.2z". В чем основные отличия платформы от 1С:Предприятие 8.2, кроме наличия сертификата ФСТЭК? Кто-то сталкивался с такой платформой?

Ирина Баймакова : ЗПК "1С:Предприятие, версия 8.2z" - сертифицированной версия технологической платформы 1С:Предприятие 8.2. Функциональных отличий между сертифицированной версией и обычной нет.

Основным отличием является, то что сертифицированный релиз проверен испытательной лабораторией и подтверждает соответствие приведенным в сертификате требованиями, а также содержит контрольные суммы, приведенные в формуляре ЗПК "1С:Предприятие, версия 8.2z".

Незарегистрированный пользователь : У нас бюджетное учреждение. Есть ли модификация ЗПК "1С:Предприятие 8,2z" специально для бюджетников и сколько стоит версия с сопровождением?

Ирина Баймакова : ЗПК "1С:Предприятие, версия 8.2z" - сертифицированная версия технологической платформы 1С:Предприятие 8.2, которая может быть использована с любыми типовыми конфигурациями, в том числе для бюджетных учреждений (напр. "1С:Зарплата и кадры государственного учреждения", "1С:Бухгалтерия государственного учреждения").

Порядок продажи и обновления ЗПК 1С:Предприятие версия 8.2z" определен в инфописьме фирмы 1С № 12891. Ознакомиться можно по следующей ссылке -http://1c.ru/news/info.jsp?id=12891

Незарегистрированный пользователь : В анонсе лекции и интернет-конференции говорится про основные ошибки, выявляемые Роскомнадзором в ходе осуществления контрольных мероприятий. Хотелось бы узнать об этом подробнее, какие ошибки чаще всего выявляет ведомство?

Юрий Контемиров : Наиболее типичные нарушения законодательства, выявляемые в ходе контрольных действий Роскомнадзора, отражаются в ежегодных отчетах, публикуемых на сайте ведомства.

Незарегистрированный пользователь : Расскажите, пожалуйста, о сертификации ЗПК «1С:Предприятие, версия 8.2z».

Ирина Баймакова : Вопросы о целях, порядке, результатах сертификации, проведенной фирмой "1С", подробно рассмотрены и изложены на сайте buh.ru, в том числе в статье "Сертификация программ с целью соответствия законодательству по защите персональных данных" о первичной сертификации 2010 года и в статье "Защита персональных данных - из 2011 в 2013 или изменения длиной в два года" о сертификации, проведенной в 2013 году и продлении сертификата.

Незарегистрированный пользователь : Нужны ли, на ваш взгляд, новые меры для предотвращения утечки персональных данных и повышения уровня их защиты? Если нужны, то какие?

Юрий Контемиров : Для предотвращения утечек персональных данных важен разумный комплексный подход и особое внимание должно быть уделено "человеческому" фактору.

Незарегистрированный пользователь : Есть ли смысл пользоваться ИП и малым предприятиям подобными программными продуктами?

Ирина Баймакова : В соответствии с подп. 3 п. 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации является одной из мер по обеспечению безопасности персональных данных при их обработке.

Согласно требованиям Постановления Правительства от 01.11.2012 № 1119 использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации обязательно, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Таким образом, определить необходимость или отсутствие необходимости применения средств защиты информации, прошедших оценку соответствия, в том числе ЗПК "1С:Предприятия, версия 8.2z" можно на основании модели угроз.

Применение ЗПК "1С:Предприятие, версия 8.2z" позволяет выполнить с наименьшими затратами требования действующего законодательства, описанные выше, а также ряд требований, предусмотренных Приказом ФСТЭК России от 18.02.2013 № 21.

Незарегистрированный пользователь : Какие неблагоприятные последствия может иметь утечка данных? Например, для ИП без наемных работников.

Ирина Баймакова : Основной опасностью является утечка и незаконное распространение персональных данных, что может повлечь негативные последствия для человека, вторжение в его личную жизнь.

Если у ИП нет наемных работников, а, соответственно, не осуществляется обработка ПДн ни работников, ни иных физических лиц, то в данном случае предполагать возможную утечки ПДн вряд ли возможно.

На страницах журнала мы уже неоднократно писали о необходимости проведения организационных мер в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных". С 1 января 2011 года этот закон вступит в полную силу, и, соответственно, на организации будут возложены дополнительные обязанности по обеспечению защиты персональных данных. Среди них - необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации. В предлагаемой статье И.А. Баймакова (методист фирмы "1С") ответит на наиболее часто возникающие у пользователей программных продуктов фирмы "1С" вопросы.

До 1 января 2011 года - даты вступления в полную силу "О персональных данных" (далее - Федеральный закон № 152-ФЗ) осталось не так много времени. Все больше операторов персональных данных, которыми являются практически все организации и предприниматели, планируют и проводят комплекс мероприятий во исполнение требований данного закона и нормативных правовых актов.

1) Какими нормативными правовыми актами предусмотрено проведение сертификации?
2) Кому и когда необходимо использовать сертифицированное программное обеспечение?
3) Кем может быть проведена сертификация программного обеспечения?
4) Достаточно ли использования сертифицированной программы для обеспечения защиты персональных данных?

Сертификация программ с целью соответствия законодательству по защите персональных данных

До 1 января 2011 года - даты вступления в полную силу Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ) осталось не так много времени. Все больше операторов персональных данных, которыми являются практически все организации и предприниматели, планируют и проводят комплекс мероприятий во исполнение требований данного закона и нормативных правовых актов.

Пользователей программных продуктов фирмы "1С" интересует, сертифицирован ли используемый ими программный продукт. В рамках данной статьи мы ответим на этот вопрос, но вначале попробуем взглянуть на проблему несколько глубже и рассмотрим следующие вопросы:

1) Какими нормативными правовыми актами предусмотрено проведение сертификации?
2) Кому и когда необходимо использовать сертифицированное программное обеспечение?
3) Кем может быть проведена сертификация программного обеспечения?
4) Достаточно ли использования сертифицированной программы для обеспечения защиты персональных данных?

В соответствии с Федеральным законом от 23.12.2010 № 359-ФЗ к 1 июля 2011 года необходимо привести информационные системы персональных данных в соответствии с требованиями Федерального закона от 26.06.2007 № 152-ФЗ "О персональных данных". Предлагаем вашему вниманию ответы на актуальные вопросы по этой теме.

В соответствии с данным Приказом различают средства защиты информации от несанкционированного доступа (система разграничения доступа к информации, антивирусная защита, межсетевые экраны, средства блокирования устройств ввода-вывода информации, криптографические средства и т. п.) и средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т. д.)

Комплекс необходимых мероприятий по защите прав субъектов персональных данных, в том числе выбор средств защиты информации определяется оператором ПДн на основании результатов проведенной классификации информационной системы персональных данных (далее - ИСПДн) исходя из объема обрабатываемых персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

В целях соблюдения требований законодательства о защите персональных данных (с учетом требований Приказа ФСТЭК России от 05.02.2010 № 58) были осуществлены специальные доработки технологической платформы «1С:Предприятие 8.2», в том числе в подсистеме управления доступом и подсистеме регистрации и учета. Начиная с версии 8.2.10, реализованы следующие возможности:

1) регистрация аутентификации и отказа в аутентификации (реализовано в версии 8.2.9);

2) регистрация изменений прав пользователей позволяет определить, когда какие роли назначались пользователю;

3) регистрация фактов отказа в доступе. Регистрируются все факты отказа в доступе пользователю. Например, для поиска массовых попыток обращения к недоступным для пользователя ресурсам;

4) регистрация доступа к защищаемым ресурсам:
- разработчик включает регистрацию для доступа к определенным полям по определенным объектам метаданных;
- разработчик описывает какую ключевую информацию необходимо включать в события журнала регистрации для поиска событий;
- система реализует отражение всех фактов доступа к указанной информации (например, сотрудника, к данным которого выполнялось обращение);
- система предоставляет возможность отбора зарегистрированных событий по метаданным и данным. Например, поиск всех обращений к защищаемым данным по конкретному физическому лицу.

С учетом сделанных доработок с целью соблюдения действующего законодательства в области защиты персональных данных создан защищенный программный комплекс «1С:Предприятие, версия 8.2z», который представляет собой сертифицированный релиз технологической платформы «1С:Предприятие 8.2».

Использование ЗПК «1С:Предприятие, 8.2z» позволяет соблюсти требования законодательства в части защиты ПДн, предусмотренные пунктом 5 Положения об обеспечении безопасности ПДн при их обработке в ИСПДн, утвержденного Постановлением Правительства РФ № 781, а также требования, предусмотренные Приказом ФСТЭК России от 05.02.2010 № 58 для ИСПДн 1 класса при многопользовательском режиме пользования и разных правах доступа в части подсистем управления доступом (идентификация и проверка подлинности пользователя), регистрации и учета (например, регистрация входа (выхода) субъекта доступа в систему), обеспечения целостности (напр., обеспечение целостности средств защиты с помощью контрольных сумм).

Говорить о том, что с применением ЗПК «1С:Предприятие, версия 8.2z» реализованы все требования, предусмотренные Приказом ФСТЭК России от 05.02.2010 № 58 , нельзя. Ряд обязательных мер относится к организационно-распорядительным (например, наличие средств восстановления системы защиты ПДн, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности должно быть обеспечено администратором сети, физическая охрана и учет защищаемых носителей информации - не имеет отношение к ЗПК и т. д.) Иные требования, предусмотренные Федеральным законом № 152-ФЗ и приказом ФСТЭК России № 58, должны быть соблюдены реализацией иных мер (антивирусные программы, межсетевое экраны и т. п.).

Платформа 8.2z обеспечивает все те же возможности, что и 1С:Предприятие 8.2, в том числе поддерживает работу с СУБД: MS SQL, PostgreSQL, DB2 Oracle.

Фирмой «1С» была проведена сертификация ЗПК «1С:Предприятие 8.2z» на соответствие требованиям руководящих документов:

• «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) - по 5 классу защищенности;
• «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (Гостехкомиссия России, 1999) - по 4 уровню контроля.

По результатам проведенной сертификации ЗПК «1С:Предприяти, 8.2z» признан программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну. Также подтверждена возможность использования ЗПК для защиты информации в информационных системах ПДн до 1 класса включительно.

Согласно условиям проведенной сертификации какие либо специальные требования к конфигурациям («Бухгалтерия предприятия», «Зарплата и управление предприятием» и т. п.) не предъявлены. Действующим законодательством в части защиты ПДН также не предусмотрены требования к ПО, не являющемуся средством защиты информации. В связи с вышеизложенным ЗПК «1С:Предприятие 8.2» может быть использован с любыми конфигурациями, разработанными на платформе 8.2.

Пунктом 2.12 Положения, утвержденного Приказом ФСТЭК России от 05.02.2010 № 58 , предусмотрено, что ПО средств защиты информации, применяемое в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей, при этом пунктом 7 данного приказа определено, что необходимо применять ПО средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей. Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

С учетом изложенного, обязательное применение СЗИ с проведенным контролем отсутствия недекларированных возможностей предусмотрено только для ИСПДн 1 класса. Таким образом, ЗПК «1С:Предприятие, 8.2z» может быть использован для организации защиты ПДн в ИСПДн любого класса.

Порядок продажи ЗПК «1С:Предприятие, версия 8.2z» определен в инфописьме от 29.12.2010 № 12891.

ЗПК «1С:Предприятие, версия 8.2z» может использоваться как для файл-серверного, так и клиент-серверного режима работы.

К продаже предлагается два варианта защищенного программного комплекса. Отличие между двумя продуктами в дистрибутивах программных продуктов, входящих в комплект поставки. ЗПК «1С:Предприятие, версия 8.2z» (Х86-32) предназначен для локальных компьютеров и 32-х разрядных серверов.

ЗПК «1С:Предприятие, версия 8.2z» (x86-64) предназначен для 64-разрядного сервера. При этом следует учитывать, что данный вариант комплекса содержит дистрибутивы обоих продуктов.

Комплект поставки ЗПК включает:

• непосредственно дистрибутив сертифицированной платформы;
• формуляр с голографической наклейкой ФСТЭК и контрольной суммой;
• спецификацию;
• описание применения;
• описание программы;
• копию сертификата ФСТЭК.

Документом, подлежащим систематическому заполнению оператором ПДн, является формуляр. Именно в формуляре подлежит делать записи об установке, результатах периодических проверок целостности ЗПК «1С:Предприятие, 8.2z», а также при установке вновь выходящих сертифицированных релизов.

С целью проведения сертификации вновь выходящих релизов заключен договор инспекционного контроля. В соответствии с условиями договора предусматривается ежеквартальное проведение инспекционного контроля с выдачей заключения о распространении действия сертификата на соответствующую новую версию с указанием ее контрольной суммы.

Деятельность по обслуживанию программных продуктов, не являющихся средствами защиты информации (в том числе конфигурации, разработанные на платформе «1С:Предприятие»), не относятся к деятельности по технической защите конфиденциальной информации.

Для осуществления работ по настройке управления ЗПК «1С:Предприятие, 8.2z», а также проведения комплекса работ по технической защите информации, рекомендуется привлекать организации, имеющие лицензии ФСТЭК России.

Для оказания услуг по защите ПДн, включающих мероприятия по технической защите, необходимо наличие соответствующей лицензии ФСТЭК России.

Если организация ограничивается организационно-распрорядительными документами, то лицензии на техническую защиту конфиденциальной информации не нужна.

Также необходимо помнить, что каких-либо специальных лицензий на осуществление деятельности по защите персональных данных действующим законодательством не предусмотрены.

Действующие нормативные правовые акты в области защиты ПДн не содержат каких либо ограничений в части разработки необходимой внутренней документации собственными силами оператора ПДн. Исключения составляют лишь работы по формированию модели угроз. В соответствии с руководящими документами ФСТЭК России модель угроз должна быть составлена экспертами. Вместе с тем в настоящее время имеется неопределенность в признании того или иного специалиста - экспертом.

Доступ представителей третьих организаций (аудиторов, программистов, обслуживающих ПО и т. п.) к ПДн должен быть жестко регламентирован внутренними документами оператора ПДн. Порядок обеспечения безопасности ПДн определяется организационными мерами, в том числе условиями договоров. В случае, если имеется необходимость в рамках выполнения договора между двумя юридическими лицами предоставлять доступ к персональным данным оператора или их передавать, то, обговаривая условия такого договора, следует определять условия соблюдения конфиденциальности при организации работы с ПДн и предусматривать мероприятия по защите персональных данных (например, определять условия хранения, допуск лиц и т.п.) Может быть рекомендовано заключение договора о конфиденциальности с заказчиками, а также соглашения о неразглашении сведений персонального характера с работниками исполнителя. Кроме того порядок предоставления данных и передачи ПДн и доступа третьих лиц в необходимых случаях должен быть определен в Положении о защите ПДн.

Информационная безопасность , как и защита информации - задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач.

Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных, особо остро данная проблема стоит в области финансовых учетных систем. Наиболее популярной системой бухгалтерского учета, ведения продаж, CRM процессов в России является система 1С Предприятие.

Рассмотрим потенциальные угрозы безопасности при использовании программы 1С.

	Использование 1С с базами в файловом формате. Файловые базы 1С являются наиболее уязвимые к физическому воздействию. Связано это с особенностями архитектуры такого типа баз – необходимостью держать открытыми (с полным доступом) все файлы конфигурации и самих файловых баз для всех пользователей операционной системы. В результате, любой пользователь, имеющий право работать в файловой базе 1С, теоретически может скопировать или даже удалить информационную базу 1С двумя кликами мышки.
	Использование 1С с базами в СУБД формате. Данный тип проблем возникает, если в качестве хранилища баз 1С используется СУБД (PosgreSQL, MS SQL), а в качестве промежуточной службы связи 1С и СУБД используется сервер 1С предприятия. Такой пример – во многих компаниях практикуется доработка конфигураций 1С под свои нужды. В процессе доработки, в условиях проектной «суеты», постоянных испытаний нового доработанного функционала – ответственные специалисты зачастую пренебрегают правилами сетевой безопасности. В результате, некоторые личности, которые имеют прямой доступ к базе данных СУБД или имеют права администратора на сервере 1С Предприятие, пусть даже на временный тестовый период – могут либо сделать резервную копию на внешние ресурсы, либо вовсе удалить базу данных в СУБД.
	Открытость и доступность серверного оборудования. При наличии несанкционированного доступа к серверному оборудованию сотрудники компании или третьи лица могут использовать этот доступ для кражи или порчи информации. Проще говоря – если злоумышленник получает доступ непосредственно к корпусу и консоли сервера 1с – круг его возможностей расширяется в десятки раз.
	Риски кражи, утечки персональных данных. Под актуальными угрозами безопасности персональных данных здесь понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, например, ответственными сотрудниками, операторами ПК, бухгалтерией и т.д. Результатом этого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия ответственных лиц.
	Сетевая безопасность. Информационная система предприятия, построенная с нарушением ГОСТ, требований к безопасности, рекомендаций, либо не имеющая надлежащей ИТ-поддержки – изобилует дырами, вирусным и шпионским программным обеспечением, множеством бэкдоров (несанкционированных доступов во внутреннюю сеть), что напрямую влияет на сохранность корпоративных данных в 1С. Это приводит к легкому доступу злоумышленника к коммерчески значимой информации. К примеру, свободный доступ к резервным копиям, отсутствие пароля на архивы с резервными копиями злоумышленник может использовать в корыстных целях. Не говоря уже об элементарном повреждении базы 1С вирусной активностью.
	Взаимосвязь 1С с внешними объектами. Еще одной потенциальной угрозой является необходимость (а иногда и специальная маркетинговая особенность) учетной базы 1С связываться с «внешним миром». Выгрузки/загрузки клиент-банков, обмен информацией с филиалами, регулярная синхронизация с корпоративными сайтами, порталами, другими программами сдачи отчетности, управления клиентами и продажами и многое другое. Поскольку в данной области 1С не приветствуются соблюдения стандартов безопасности и унифицированности сетевого обмена информации – утечка вполне реальна на любом отрезке пути ее следования. В результате потребностей в нестандартных доработках автоматизации процессов или сокращения бюджета на необходимые меры по защите трафика – в учетной системе мгновенно растет количество уязвимостей, дыр, небезопасных соединений, открытых портов, легкодоступных файлов обмена в незашифрованном виде и т.д. Можно смело представить себе, к чему это может привести – начиная от элементарного вывода из строя базы 1С на определенное время, заканчивая подделкой платежного поручения на несколько миллионов.

Что можно предложить для решения подобных проблем?

1. При работе с файловыми базами 1С обязательно внедрить ряд мер по обеспечению безопасности баз:

• Используя разграничения доступа NTFS, дать необходимые права только тем пользователям, которые работают с этой базой, тем самым обезопасив базу от кражи или порчи недобросовестными сотрудниками или злоумышленником;
• Всегда использовать авторизацию Windows для входа на рабочие станции пользователей и доступ к сетевым ресурсам;
• Использовать шифрованные диски или шифрованные папки, которые позволят сохранить конфиденциальную информацию даже при выносе базы 1С;
• Установить политику автоматической блокировки экрана, а также провести обучение пользователей для разъяснения необходимости блокировки профиля;
• Разграничение прав доступа на уровне 1С позволит пользователям получать доступ только к той информации, на которую они имеют соответствующие права;
• Необходимо разрешить запуск конфигуратора 1С только тем сотрудникам, которым он необходим.

2. При работе с СУБД базами 1С требуется обратить внимание на следующие рекомендации:

• Учетные данные для подключения к СУБД не должны иметь административных прав;
• Необходимо разграничивать права доступа к базам СУБД, например, создавать для каждой информационной базы свою учетную запись, что позволит минимизировать потерю данных при взломе одной из учетных записей;
• Рекомендуется ограничить физический и удаленный доступ к серверам баз данных и 1С предприятия;
• Рекомендуется использовать шифрование для баз данных, это позволит сохранить конфиденциальные данные, даже если злоумышленник получит физический доступ к файлам СУБД;
• Также одним из важных решений является шифрование либо установка пароля на резервные копии данных;
• Обязательным является создание администраторов кластера 1С, а также сервера 1С, так как по умолчанию если не созданы пользователи, полный доступ к информационным базам абсолютно все пользователи системы.

3. Требования к обеспечению физической безопасности серверного оборудования:
(согласно ГОСТ Р ИСО/МЭК ТО – 13335)

• Доступ к зонам, где обрабатывается или хранится важная информация, должен управляться и быть ограничен только полномочными лицами;
• Cредства управления аутентификацией, например, карточка управления доступом плюс персональный идентификационный номер , должны использоваться, чтобы разрешать и подтверждать любой доступ;
• Контрольный журнал всего доступа должен содержаться в надежном месте;
• Персоналу вспомогательных служб третьей стороны должен быть предоставлен ограниченный доступ в зоны безопасности или к средствам обработки важной информации только тогда, когда требуется;
• этот доступ должен быть разрешен и должен постоянно контролироваться;
• Права доступа в зоны безопасности должны регулярно анализироваться и обновляться, и отменяться, если необходимо;
• Должны быть учтены соответствующие нормы и стандарты по технике безопасности и охране труда;
• Ключевые средства должны быть расположены так, чтобы избежать доступа к ним широкой публики;
• Там, где это применимо, здания и комнаты должны быть скромными и должны давать минимальное указание на их цель, без ярких надписей, снаружи здания или внутри него, указывающих на наличие видов деятельности по обработке информации;
• Указатели и внутренние телефонные книги, указывающие на местоположения средств обработки важной информации, не должны быть легко доступны широкой публике.

4. Конфиденциальность персональных данных. Основной целью при организации защиты персональных данных является нейтрализация актуальных угроз в информационной системе, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» , перечнем государственных стандартов и требований международных сертификаций по ИТ-безопасности (ГОСТ Р ИСО/МЭК 13335 2-5, ISO 27001) . Достигается это путем ограничения доступа к информации по ее типам, разграничение доступа к информации по ролям пользователей, структурирование процесса обработки и хранения информации.
Вот ряд ключевых положений:

• Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;
• Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным;
• Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• Обработке подлежат только персональные данные, которые отвечают целям их обработки;
• Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
• Фотографическое, видео, аудио или другое записывающее оборудование, такое как камеры на мобильных устройствах, не должны допускаться, если только не разрешено;
• Накопители со сменным носителем должны быть разрешены только в том случае, если для этого есть производственная необходимость;
• Чтобы исключить злонамеренные действия в отношении конфиденциальной информации, требуется бумажные и электронные носители информации, когда они не используются, хранить в надлежащих запирающихся шкафах и/или в других защищенных предметах мебели, особенно в нерабочее время;
• Носители с важной или критичной служебной информацией, когда они не требуются, следует убирать и запирать (например, в несгораемом сейфе или шкафу), особенно когда помещение пустует.

5. Сетевая безопасность - это набор требований, предъявляемых к инфраструктуре компьютерной сети предприятии и политикам работы в ней, при выполнении которых обеспечивается защита сетевых ресурсов от несанкционированного доступа. В рамках рекомендуемых действий по организации и обеспечению сетевой безопасности, помимо базовых, можно рассмотреть следующие особенности:

• В первую очередь, в компании должен быть внедрен единый регламент информационной безопасности с соответствующими инструкциями;
• Пользователям должен быть максимально закрыт доступ к нежелательным сайтам, в том числе файлообменникам;
• Из внешней сети должны быть открыты только те порты, которые необходимы для корректной работы пользователей;
• Должна присутствовать система комплексного мониторинга действий пользователей и оперативного оповещения нарушения нормального состояния всех общедоступных ресурсов, работа которых важна для Компании;
• Наличие централизованной антивирусной системы и политик очистки и удаления вредоносных программ;
• Наличие централизованной системы управления и обновления антивирусным ПО, а также политик регулярных обновлений ОС;
• Возможность запуска съемных флэш носителей должна быть максимально ограничена;
• Пароль должен быть не менее 8 символов, содержать цифры, а также буквы верхнего и нижнего регистров;
• Должна быть защита и шифрование ключевых папок обмена информацией, в частности файлов обмена 1с и системы клиент-банк;
• Силовые линии и линии дальней связи, входящие в средства обработки информации, должны быть подземными там, где это возможно, или должны подлежать адекватной альтернативной защите;
• Сетевые кабели должны быть защищены от неразрешенного перехвата или повреждения, например, путем использования кабельного канала или избегания маршрутов, пролегающих через общедоступные зоны.

Подведя итог всего вышеизложенного хотелось бы отметить, что основными правилом при защите информации является ограничение прав и возможностей пользователей, а также контроль над ними при использовании информационных систем. Чем меньше пользователь имеет прав при работе с информационной системой, тем меньше шанс утечки или порчи информации по злому умыслу или по неосторожности.

Комплексным решением для защиты данных предприятия, в том числе баз 1С – является решение «Сервер в Израиле» , в котором собраны актуальные средства по обеспечению высокого уровня конфиденциальности информации.

Системная интеграция. Консалтинг

С 1 июля 2017 года вступили в силу поправки в статью 13.11 КоАП РФ, в соответствии с которыми были значительно повышены штрафы за нарушение законодательства в области персональных данных (ПД).

Делая покупки в интернет-магазинах, покупатели оставляют некоторые сведения о себе - ФИО, адрес доставки и другие контактные данные. Поэтому владельцам интернет-магазинов следует внимательно изучить данный вопрос и обеспечить исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при осуществлении торговли в сети интернет.

Подскажем, какая касса из нашего каталога подойдет под ваш бизнес.

Что относится к персональным данным физического лица, который является посетителем интернет-магазина

Персональные данные - это любая информация, которая прямо или косвенно относится к конкретному физическому лицу либо позволяет идентифицировать его (п. 1 ст. 3 Закона «О персональных данных» № 152-ФЗ).

В контексте организации работы интернет-магазина к персональным данным, в принципе, могут быть отнесены даже файлы Cookie – применяемые, в частности, для персонификации товарных предложений конкретным пользователям. Есть судебные прецеденты, подтверждающие отнесение таких файлов к персональным данным - например, Решение Арбитражного суда г. Москвы от 11.03.2016 года по делу № А40-14902/2016-84-126 11.

Персональные данные могут быть:

• обработаны;
• распространены;
• изменены;
• предоставлены тем или иным лицам (раскрыты);
• удалены.

Указанные действия совершает оператор персональных данных. Им может быть любое физлицо, организация либо государственный или муниципальный орган власти. В том числе, безусловно, и интернет-магазин - учрежденный физлицом (ИП) либо принадлежащий юридическому лицу.

Поэтому, становясь оператором персональных данных, интернет-магазин обязан соблюдать нормы Закона № 152-ФЗ. Но в каких случаях он приобретает такой статус?

Чтобы приобрести статус оператора персональных данных, хозяйствующему субъекту достаточно совершить любую процедуру, которая характеризует их обработку, в частности:

• сбор;
• запись;
• систематизацию;
• накопление;
• уточнение;
• применение;
• распространение.

То есть, осуществив хотя бы первую процедуру - сбор данных (на практике - получение от клиента через онлайн-форму) интернет-магазин становится оператором, и у него возникают обязательства по исполнению норм Закона № 152-ФЗ.

Отдельный сегмент правоотношений, в которых требуется соблюдение законодательства о персональных данных - взаимодействие интернет-магазина как работодателя и его наемных сотрудников (работающих как удаленно, так и в офлайновых подразделениях интернет-магазина). Однако, такие правоотношения, в целом, осуществляются в юрисдикции тех правовых норм, которые актуальны для взаимодействия работодателей и работников (удаленного или офлайнового) вне зависимости от вида осуществляемой ими деятельности.

В свою очередь, обмен данными именно между интернет-магазином и его клиентами образует отдельный и, фактически, уникальный - в части применения норм Закона № 152-ФЗ, сегмент правоотношений, в котором у хозяйствующего субъекта образуется широкий спектр прав и обязанностей в соответствии с законодательством.

Рассмотрим подробнее, какие именно обязательства должен выполнять интернет-магазин в связи с необходимостью исполнения норм Закона № 152-ФЗ.

Подпишись на наш канал в Яндекс Дзен - Онлайн-касса !
Получай первым горячие новости и лайфхаки!

Что нужно сделать интернет-магазину для соблюдения требований Федерального закона № 152-ФЗ

Главная обязанность любого оператора персональных данных (и интернет-магазин - не исключение) заключается в соблюдении порядка их обработки. Главное условие данного порядка - получение от субъекта персональных данных (то есть, покупателя) согласия на такую обработку.

Такое согласие может быть получено в любом достоверном виде (п. 1 ст. 9 Закона № 152-ФЗ). Но в предусмотренных законом случаях требуется такое согласие в письменном виде - то есть, на бумаге или с применением электронного документа, который заверен электронной подписью (п. 4 ст. 9 Закона № 152-ФЗ).

Покупка товаров в интернет-магазине прямо не отнесена законом к тем операциям, которые требуют письменного согласия субъекта персональных данных . Поэтому, получение такого согласия возможно, в принципе, в любом виде - который, однако, должен позволять однозначно удостоверить факт одобрения физлицом передачи персональных данных оператору.

Следующая обязанность оператора персональных данных - выполнение действий, направленных на реализацию законных прав субъектов персональных данных. В частности, речь идет о праве:

• на подтверждение факта получения ПД интернет-магазином и начала их обработки;
• на получение сведений о целях и способах обработки ПД;
• на ознакомление с лицами (исключая лиц, которые работают в штате оператора), которые участвуют в обработке ПД).

К числу иных важнейших обязанностей операторов персональных данных правомерно отнести соблюдение конфиденциальности данных. Если клиент интернет-магазина не дал согласия на распространение своих данных другим лицам, то хозяйствующий субъект не вправе этого делать - как и иным образом раскрывать персональные данные (ст. 7 Закона № 152-ФЗ). При этом, даже если согласие получено, то за действия третьих лиц, которые получили персональные данные клиента интернет-магазина, ответственность несет сам интернет-магазин (п. 5 ст. 6 Закона № 152-ФЗ).

Важный нюанс, характеризующий обработку персональных данных - обязанность оператора размещать данные на серверах, расположенных в России - если законом не определено иного (п. 5 ст. 18 Закона № 152-ФЗ). Российские интернет-магазины не попадают под исключения, и потому должны выполнять указанную норму закона.

Отдельный вопрос - необходимость оператора персональных данных подавать уведомление о том, что осуществляется их обработка, в Роскомнадзор - в соответствии с предписанием п. 1 ст. 22 Закона № 152-ФЗ. В общем случае такое уведомление подавать требуется. Но положениями п. 2 ст. 22 Закона № 152-ФЗ предусмотрен широкий спектр исключений из указанного правила.

В частности, подп. 2 п. 2 ст. 22 Закона № 152-ФЗ предусматривает, что уведомление вправе не подавать операторы при исполнении договора, заключенного с субъектом персональных данных и при условии неосуществления передачи персональных данных третьим лицам без согласия субъекта. Под такие критерии вполне попадает договор купли-продажи, заключаемым между магазином и покупателем. Поэтому, интернет-магазину в общем случае не нужно - при взаимодействии с заказчиками, подавать уведомления, о которых идет речь (но возможны и исключения из этого правила - далее в статье мы рассмотрим их).

Итак, основные обязанности оператора персональных данных сводятся:

• к получению согласия на их обработку;
• к обеспечению конфиденциальности ПД;
• к выполнению прочих требований законодательства (о размещении ПД на территории России, о выполнении запросов субъектов ПД, касающихся того, каким образом они используются).

Изучим подробнее, каким образом указанные обязанности могут быть технически выполнены интернет-магазином.

Онлайн-кассы для всех видов бизнеса! Доставка по всей России.

Оставьте заявку и получите консультацию в течение 5 минут.

Как получить согласие на обработку персональных данных через интернет

Итак, поскольку в отношении деятельности интернет-магазинов законом не установлено требований по письменному получению согласия на обработку персональных данных, такое согласие может быть получено любым достоверным способом. Но каким именно?

Варианты здесь возможны следующие:

1. Когда интернет-магазин запрашивает персональные данные через форму заказа.

В этом случае согласие на обработку данных может быть получено посредством задания условия, при котором отправка данных по заказу через форму возможна только при условии проставления галочки (или иного элемента формы, выполняющего аналогичную функцию) напротив строки, в которой написана формулировка наподобие «Даю согласие на обработку персональных данных, передаваемых оператору посредством настоящей формы».

В Согласии, как правило, отражаются:

• цель предоставления документа оператору (в случае с интернет магазином - для доставки товара и иных целей, определенных процедурой купли-продажи);
• перечень передаваемых оператору ПД;
• сроки и порядок хранения ПД;
• порядок передачи ПД тем или иным сторонним лицам (например, службе доставки товаров).

При этом, рядом с галочкой и ссылкой на Согласие следует прикрепить ссылку на особый документ, подробно разъясняющий порядок обработки интернет-магазином персональных данных в соответствии с Законом № 152-ФЗ - Политику конфиденциальности. Ее можно оформить как приложение к форме заказа. В описании ссылки должна присутствовать формулировка, которая может звучать как «С приложением к настоящей форме, в котором отражен порядок обработки персональных данных в соответствии с законодательством, ознакомлен».

Политика конфиденциальности - документ, который должен быть обязательно опубликован в общем доступе. Кроме того, она может рассматриваться как часть локальной нормативной базы организации, которая учреждает интернет-магазин. Сотрудники хозяйствующего субъекта, таким образом, должны быть обязаны следовать утвержденной Политике.

В состав Политики обычно входят:

• общие положения;
• формулировки, отражающие цели сбора хозяйствующим субъектом ПД;
• положения о юридических основаниях для сбора ПД;
• классификация используемых ПД, порядок и условия работы с ними;
• порядок обеспечения реализации субъектами ПД прав, установленных законом.

В Политике можно отразить:

• то, каким образом интернет-магазин обеспечивает права пользователей по запросу сведений об обработке ПД;
• то, каким образом организуется хранение данных (в данном случае могут быть приведены сведения, позволяющие установить факт размещения серверов с ПД покупателей в России).

1. Когда интернет-магазин запрашивает персональные данные через форму рекламной рассылки (подписки на тематические материалы с сайта - например, буклеты со скидками, промокодами).

Сбор персональных данных здесь возможно осуществить по аналогичной схеме - с применением галочки напротив пункта «Согласен», файлом Согласия и ссылкой на Политику конфиденциальности с формулировкой, отражающей факт прочтения Политики покупателем интернет-магазина.

В среде IT-специалистов и экспертов в области законодательства о персональных данных распространена точка зрения, по которой получение согласия человека на обработку персональных данных следует осуществлять в режиме, предполагающем установление «повышенной достоверности» его волеизъявления. Общераспространенная схема с применением галочки с Согласием и ссылки на Политику конфиденциальности рассматривается такими экспертами с критических позиций - и, надо сказать, небезосновательно, поскольку, по мнению экспертов:

• галочка может быть проставлена случайно;
• онлайн-форма может загрузиться с ошибкой - как вариант, без ссылки на Политику конфиденциальности, с отсутствием галочки или сопровождающих ее формулировок;
• случайно или намеренно пользователь может вписать в форму чужие персональные данные.

С учетом данных нюансов предлагается дополнить рассматриваемую систему - с сохранением ее основных элементов в виде галочки, Согласия и ссылки на Политику конфиденциальности, механизмом вторичного получения согласия. Вариантами организации такого механизма в случае с интернет-магазином могут быть:

1. Обязательная регистрация пользователя перед оформлением покупки.

Такая регистрация предполагает заполнение, фактически, той же формы с галочкой, Согласием и ссылкой на Политику конфиденциальности, при последующей отправке интернет-магазином на указанный пользователем e-mail письма с подтверждением регистрации (и одновременно для удостоверения факта предоставления согласия на обработку персональных данных и ознакомления с Политикой конфиденциальности).

В форме при этом предполагается указание логина и пароля, которые пользователь будет задействовать для последующего входа в свой аккаунт на сайте интернет-магазина.

Если пользователь не подтвердит регистрацию письмом, то согласие на обработку персональных данных не будет считаться полученным (но, вместе с тем, будет считаться, что пользователю предложено ознакомиться с Политикой конфиденциальности).

Рассматриваемый способ получения согласия на обработку данных с «повышенной достоверностью» может быть задействован магазином и в маркетинговых целях. Через персональный аккаунт покупателя его можно информировать о различных скидках и акциях, обмениваться с ним сообщениями и решать иные задачи, характерные для взаимодействия продавца и покупателя.

1. Подтверждение совершения отдельного заказа по e-mail (без обязательной регистрации аккаунта на сайте интернет-магазина).

Алгоритм такого подтверждения, в принципе, будет схож с тем, что характеризует процедуру регистрации аккаунта покупателя, за исключением применения логина и пароля пользователя. В данном случае подтверждение будет производиться, фактически, с единственной целью - получения согласия на обработку персональных данных и удостоверения факта ознакомления человека с предложением о прочтении Политики конфиденциальности.

Следующая масштабная задача интернет-магазина - обеспечение конфиденциальности персональных данных на практике.

1. Задай вопрос нашему специалисту в конце статьи.
2. Получи подробную консультацию и полное описание нюансов!
3. Или найди уже готовый ответ в комментариях наших читателей.

Как интернет-магазину обеспечить конфиденциальность ПД

В соответствии с п. 1 ст. 18.1 Закона № 152-ФЗ оператор персональных данных должен принимать меры, достаточные для исполнения обязанностей, предусмотренных законом. При этом, оператор определяет перечень соответствующих мер самостоятельно - если законом не предусмотрено иного.

Очевидно, что речь идет, прежде всего, о мерах, которые призваны обеспечивать конфиденциальность персональных данных - то есть:

• недопущение доступа к ним лиц, не имеющих разрешения к прочтению соответствующих ПД;
• недопущение несанкционированного использования, видоизменения, распространения ПД;
• обеспечение необходимой защиты ПД от различных кибер-угроз, видоизменения, распространения и совершения иных несанкционированных операций с ПД в силу технических сбоев.

Законом предлагаются следующие меры, направленные на решение указанных задач:

1. Назначение оператором, имеющим статус юридического лица, ответственного работника - который организует обработку ПД на предприятии.

1. Разработка оператором локальных нормативных актов, регулирующих порядок обработки ПД в соответствии с требованиями законодательства.

1. Применение технических средств для обеспечения защиты ПД.

1. Проведение внутреннего контроля процедур в рамках обработки ПД.

1. Проведение оценки вреда, который может быть нанесен субъектам ПД вследствие нарушений законодательства об обработке персональных данных и устранение последствий таких нарушений.

1. Проведение необходимой работы с сотрудниками на предмет повышения уровня их знаний в области защиты ПД.

По принципу правовой аналогии все указанные нормы применимы и в отношении индивидуальных предпринимателей, ведущих продажу онлайн. В том числе - если ИП работает самостоятельно, без привлечения работников. В потенциале у него, так или иначе, может появиться штат сотрудников, и к тому моменту у него должны быть действующие локальные нормативы, регулирующие порядок организации обработки персональных данных.

Следует знать, что в соответствии с п. 4 ст. 18.1 Закона № 152-ФЗ те документы, которые интернет-магазин должен издать в рамках исполнения указанных выше предписаний и рекомендаций, могут быть запрошены Роскомнадзором при проведении проверки хозяйствующего субъекта.

Так или иначе, меры, направленные на обеспечение оператором персональных данных исполнения требований закона (прежде всего, в части обеспечения конфиденциальности персональных данных) можно разделить на 2 группы:

• организационные (по сути, и в основе своей правовые);
• технические.

Организационные (правовые) меры касаются, главным образом, документальной регламентации применения указанных механизмов взаимодействия интернет-магазина (в лице владельца или его работников) с покупателем.

Отметим, что при реализации организационных и правовых мер предполагается разработка

договора купли-продажи (оферты) между магазином и покупателем, на основании которого согласие на обработку персональных данных оформляется в виде, отличном от письменного - с применением галочки в форме заказа и ссылки на Политику конфиденциальности.

Технические меры могут быть представлены в самом широком спектре - рассмотрим их подробнее.

Техническое сопровождение оборудования. Решим любые проблемы!

Оставьте заявку и получите консультацию в течение 5 минут.

В чем заключается техническая сторона обеспечения конфиденциальности ПД

Основной источник правовых норм, которым нужно следовать при решении технических задач по обеспечению конфиденциальности персональных данных - положения ст. 19 Закона № 152-ФЗ.

В ней сказано, в частности, что обеспечение безопасности персональных данных может быть осуществлено за счет:

1. Установления угроз безопасности данных в рамках их обработки с использованием информационных систем .

На практике, реализация такой меры подразумевает применение различных антивирусных и дополняющих их решений - которые предполагается внедрить в систему управления сайтом. Такие решения призваны вовремя обнаруживать попытки автоматического или осуществляемого хакерами вручную несанкционированного доступа к персональным данным, собираемым с помощью форм заказов на сайте или хранящимся на серверах, которые администрируются интернет-магазином.

1. Применением технических средств для повышения уровня защищенности персональных данных .

Речь идет, прежде всего, о различных инструментах шифрования данных - так, чтобы при получении доступа к ним они были представлены в виде, при котором их прочтение без последующей дешифровки невозможно при условии, что сама дешифровка должна санкционироваться интернет-магазином.

1. Применением технических средств для восстановления удаленных, поврежденных или несанкционированным образом видоизмененных персональных данных .

Здесь речь может идти о решениях, которые применяются в целях:

• дублирования персональных данных на случай их удаления с исходного носителя (повреждения либо видоизменения);
• собственно, восстановления удаленных (поврежденных либо видоизмененных) данных с имеющихся носителей.

1. Применением технических средств, позволяющих разграничить доступ (определить уровни доступа) к персональным данным в зависимости от статуса лица, которое имеет полномочия на обработку персональных данных .

Так, например, менеджер интернет-магазина может иметь доступ лишь к контактным данным покупателя (для того, чтобы связаться с ним в случае возникновения тех или иных вопросов), а менеджер по доставке - еще и к адресу. Либо - у первого могут быть полномочия лишь на прочтение контактов, а у второго - и на их изменение.

1. Применением систем контроля над лицами, производящими обработку персональных данных .

Действительно, одних лишь локальных регламентов для обеспечения конфиденциальности персональных данных мало - нужен механизм контроля их исполнения. Решения здесь могут задействоваться самые разные - от выборочного мониторинга действий конкретных работников интернет-магазина до внедрения инструментов сплошного анализа трафика на предмет несанкционированной передачи персональных данных.

То, насколько защищенной должна быть информационная система для обработки персональных данных, определяется исходя из потенциального вреда, который может быть нанесен системе в силу влияния типичных для нее угроз. Перечни таких угроз и требования к защищенности системы, соответствующие степени угроз, определены в Постановлении Правительства России от 01.11.2012 № 1119.

Рассмотрим их подробнее.

Насколько защищенным должен быть интернет-магазин для безопасной обработки ПД

Владельцу интернет-магазина для того, чтобы определить, какие конкретно меры нужны для обеспечения необходимого уровня защиты персональных данных, следует воспользоваться таблицей по Приложению к Составу и содержанию организационных и технических мер, который утвержден приказом № 21.

Отметим, что данный перечень касается, прежде всего, все тех же кадровых нюансов организации работы интернет-магазина. Но даже если его владелец - ИП, работающий без штата работников, то ему, в частности, для обеспечения защиты персональных данных покупателей хотя бы на 1 уровне, придется:

• применять средства идентификации и аутентификации пользователей;
• управлять учетными записями пользователей;
• контролировать доступ к серверу, на котором располагаются ПД;
• использовать антивирус;
• выявлять инциденты, связанные с несанкционированным доступом к ПД.

Безусловно, значительную часть такой работы ИП (и юрлицу, конечно, тоже) имеет смысл делегировать стороннему партнеру - например, владельцу хостинга, на котором размещен сайт интернет-магазина. Но передача таких полномочий должна быть правильно закреплена юридически - с применением детально проработанных соглашений, которые грамотно разграничивают ответственность интернет-магазина и его партнера, обеспечивающего защиту персональных данных покупателей в соответствии с законодательством.

На практике многие из современных CMS-систем управления сайтами имеют необходимый функционал для обеспечения соответствия работы интернет-магазина указанным выше требованиям, касающимся установления уровней безопасности обработки персональных данных.

Но, безусловно, во многих случаях требуется их доработка и дополнение. Как правило, крупнейшие поставщики решений для управления сайтами и хостинговых услуг стараются предлагать своим клиентам продукты, максимально соответствующие по характеристикам тем требованиям, что установлены законом № 152 и ведомственными стандартами. Тем не менее, при выборе определенной CMS-системы всегда полезно запрашивать дополнительные консультации специалистов по поводу ее соответствия нормам законодательства о защите персональных данных.

Таковы основные нюансы, характеризующие выполнение интернет-магазином предписаний Закона № 152-ФЗ и сопутствующих ему правовых актов в части взаимодействия с покупателями товаров. Однако, такое взаимодействие может осуществлять и в иных правовых контекстах. В частности - отражающих расчеты между магазином и покупателем с применением инновационного типа ККТ

Как мы уже отметили в начале статьи, по Закону № 152-ФЗ к персональным данным относятся любые сведения, которые могут прямо или косвенно относиться к определенному человеку (или идентифицировать человека). Очевидно, что e-mail или телефон могут быть, как минимум, косвенными идентификаторами.

Что касается e-mail, то он может принимать вид наподобие [email protected], и при утечке такого электронного адреса из баз данных интернет-магазина сторонние лица могут без труда понять, что покупки в магазине совершал Степан Петров, родившийся в 1976 году в Москве и обучающийся в Массачусетском университете.

С телефоном сложнее - но и его при желании можно посчитать за косвенный идентификатор. Например, лицо, несанкционированно получившее номер от интернет-магазина, может позвонить по нему и, представившись человеком из курьерской службы, попросить абонента уточнить ФИО и адрес доставки - но на самом деле для оформления навязчивой рекламной рассылки.

Таким образом, несмотря на то, что по Закону № 54-ФЗ, регулирующему применение онлайн-касс , покупатели интернет-магазинов оставляют свои контакты для получения чеков добровольно, речь идет о передаче продавцу персональных данных.

Означает ли это, что в отношении операций с такими данными будут действовать те же требования, что характеризуют обработку прочих персональных данных?

Отметим, что часть таких требований сохраняет актуальность. Например, интернет-магазин, проводящий оплату через онлайн-кассу , обязан:

• гарантировать покупателям права на получение сведений об обработке ПД;
• обеспечить конфиденциальность данных;
• соблюсти прочие требования Закона № 152-ФЗ (в частности, о размещении ПД на российских серверах).

Самое примечательное - в число таких требований не будет входить получение согласия на обработку персональных данных.

Дело в том, что в п. 1 ст. 6 Закона № 152-ФЗ перечислен ряд исключений из правила о необходимости получения согласия. К таким исключениям относится обработка данных в рамках исполнения оператором функций и обязанностей, которые возложены на него законодательством. К таким функциям и обязанностям интернет-магазина правомерно отнести предписания Закона № 54-ФЗ - о формировании кассовых чеков при расчетах с покупателями.

Таким образом, согласие на получение e-mail и телефона - как разновидностей персональных данных, интернет-магазин запрашивать у покупателя не обязан.

Конечно, нет никаких правовых препятствий, чтобы запрашивать у покупателей согласие на обработку персональных данных, представленных e-mail и телефоном, одновременно с запросом согласия на обработку прочих персональных данных. То есть, в Согласии - которое скачивается при подтверждении формы заказа, и в сопутствующей ему Политике персональных данных, можно отразить, что часть данных - e-mail и телефон покупателя, будет использоваться интернет-магазином в целях исполнения положений Закона № 54-ФЗ. То есть - для отправки электронных кассовых чеков покупателю.

Но эта процедура, строго говоря, необязательна с точки зрения законодательства - хотя и несложна совершенно.

При этом, продавцу следует иметь в виду, что получение персональных данных в целях выполнения норм Закона № 54-ФЗ не попадает под исключения, прописанные в п. 2 ст. 22 Закона № 152-ФЗ - те, что относятся к обязательству по информированию Роскомнадзора о получении персональных данных. То есть - при приеме оплаты онлайн такое уведомление потребуется подать . Ведомство, получив от интернет-магазина уведомление, вносит его в реестр операторов персональных данных.

В уведомлении должны быть указаны:

1. Наименование документа - «Уведомление об обработке персональных данных».

1. Наименование оператора, его юридический адрес.

1. Правовые обоснования, цели обработки данных.

1. Типы обрабатываемых данных.

1. Категории лиц, которые становятся субъектами персональных данных.

1. Способы обработки данных.

1. Меры обеспечения безопасности обработки данных.

1. Сведения о расположении серверов, на которых хранятся персональные данные.

1. Сроки начала обработки данных.

1. Условия прекращения обработки данных.

Указывается ФИО и должность составителя уведомления. Он проставляет дату составления документа, подписывает его.

Таким образом, закон накладывает на владельцев интернет-магазинов внушительный объем обязательств. И санкции за их невыполнение - достаточно серьезные. Изучим их.

Ответственность и новые штрафы

За нарушение требований законодательства по данному вопросу предусмотрены следующие санкции:

1. Административные штрафы .

Основной их перечень определен в ст. 13.11 КоАП РФ. Но некоторые прописаны в корреспондирующих статьях Кодекса.

К числу типичных штрафов можно отнести:

• за обработку ПД без согласия их владельца - до 20 тыс. рублей на должностных лиц и ИП, до 75 тыс. рублей - на юридических лиц (ст. 13.11 КоАП РФ);
• за отказ в предоставлении физлицу информации, с которой он вправе ознакомиться по закону - до 10 тыс. рублей на должностных лиц и ИП (ст. 5.39 КоАП РФ);
• за неправомерную (не предусмотренную обозначенными целями) обработку ПД - до 10 тыс. рублей на должностных лиц и ИП, до 50 тыс. рублей на юридических лиц (ст. 13.11 КоАП РФ);
• за отсутствие опубликованной Политики конфиденциальности - до 6 тыс. рублей на должностных лиц, на ИП - до 10 тыс. рублей, на юрлиц - до 30 тыс. рублей (ст. 13.11 КоАП РФ);
• за отказ в ознакомлении физлица со сведениями об обработке его ПД - до 6 тыс. рублей на должностных лиц, до 15 тыс. рублей - на ИП, до 40 тыс. рублей - на юрлиц (ст. 13.11 КоАП РФ).

1. Уголовная ответственность .

В соответствии со ст. 137 УК РФ незаконный сбор персональных данных, составляющих личную тайну гражданина, может привести к штрафу до 200 тыс. рублей либо назначению исправительных работ, дисквалификации, лишению свободы на срок до 2 лет.

1. Определяемая в порядке гражданского судопроизводства .

Здесь речь может идти о самых разных санкциях, но к числу типичных можно отнести:

• обязательство по возмещению убытков, причиненных субъекту ПД вследствие нарушения оператором положений Закона № 152-ФЗ;
• обязательство по компенсацию морального ущерба субъекта ПД.

Так или иначе, с наибольшей вероятностью при нарушении интернет-магазином норм Закона № 152-ФЗ в отношении него будут применены административные санкции. При этом, следует иметь в виду, что самые строгие из них - в частности, штраф за неосуществление получения согласия на обработку данных (до 75 тыс. рублей) применяются при нарушении требований о письменном получении согласия на обработку персональных данных. Если допустимо получение согласия в любом достоверном виде, то при неосуществлении получения такого согласия применяется санкция в виде штрафа за неправомерную обработку данных (до 50 тыс. рублей).

Есть вероятность применения ряда дополнительных административных санкций к оператору. Например:

• в виде штрафа за несоблюдение требований по защите данных - до 2 тыс. рублей на должностных лиц и ИП, до 15 тыс. рублей - на юрлиц (ст. 13.12 КоАП РФ);
• в виде штрафа за непредоставление уведомления в Роскомнадзор - до 500 рублей на должностных лиц и ИП, до 5 000 рублей - на юрлиц (ст. 19.7 КоАП РФ).

Теоретически возможна блокировка сайта интернет-магазина - по решению суда. Например - если он допустит неправомерное публикование персональных данных покупателей без их согласия в отзывах о покупках.

В зависимости от конкретного нарушения и сферы правоотношений, в котором нарушение допущено, в отношении оператора персональных данных могут быть, таким образом, инициированы разные санкции.