Что такое персональные данные
Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В соответствие требованиям Федерального Закона № 152-ФЗ должны быть приведены как новые, так и уже существующие информационные системы, обрабатывающие персональные данные.
Постановление Правительства РФ от 1 ноября 2021 г №1119 вводит требования к обеспечению безопасности персональных данных и определяет порядок классификации систем защиты.
Контроль за исполнением Требований к защите персональных данных при их обработке в информационных системах персональных данных возложен на оператора (пункт 17 Требований). Оператором в соответствии с положениями пункта 2 статьи 3 Федерального Закона № 152-ФЗ является «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
ФСБ России и ФСТЭК России разработали и утвердили методические документы, содержащие требования к защите персональных данных. Так, в информационных системах персональных данных должно быть обеспечено:
- предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации
- своевременное обнаружение фактов несанкционированного доступа к персональным данным
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
- постоянный контроль обеспечения уровня защищенности персональных данных
За нарушение требований по защите персональных данных статьей 24
предусматривается гражданская, уголовная, административная, дисциплинарная и иная ответственность. (В частности, величина максимального наказания может составить в денежном выражении от 5÷20 тысяч рублей (например, за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – ст.13.
11 КоАП штраф может достигать 10 тысяч рублей). Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), – влечет приостановление деятельности на срок до 90 суток (ст.13.12 КоАП) и даже штрафа размером 500 тысяч рублей (невыполнение в установленный срок законного предписания органа, уполномоченного в области экспортного контроля – ст.19.5 КоАП, т.е. при повторной проверке решения).
Основные понятия информационной безопасности
В целях обеспечения защиты конституционных прав и свобод человека и гражданина при обработке его персональных данных в июле 2006 года был принят, а в январе 2007 года вступил в силу Федеральный Закон от 27 июля 2006 г. №152-ФЗ «О персональных данных».
Предметом регулирования данного закона являются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий, совершаемых с персональными данными с использованием средств автоматизации.
Статьей 19 данного закона предусмотрено, что «оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных».
Во исполнение указанной нормы закона Правительство Российской Федерации 1 ноября 2021 года приняло Постановление №1119, которым были утверждены Требования к защите персональных данных в информационных системах персональных данных (далее – Требования).
Данное Постановление заменило собой Постановление Правительства Российской Федерации от 17 ноября 2007 года №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Пунктом 2 Требований определено, что «безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных». При этом «система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах».
Под актуальными угрозами безопасности персональных данных в соответствии с Требованиями понимается «совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия».
Требования устанавливают типы актуальных угроз для информационной системы и уровни защищенности информационной системы от этих угроз. Пунктом 4 Требований предусмотрено, что выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.
Ниже представлены основные нормативные и методологические документы по технической защите информации:
“Методический документ. Меры защиты информации в государственных информационных системах”, утвержден ФСТЭК России 11.02.2021 г.
- «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» – утвержден Заместителем директора ФСТЭК России 15 февраля 2008 года
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» – утверждена Заместителем директора ФСТЭК России 15 февраля 2008 года
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» – утверждена Заместителем директора ФСТЭК России 14 февраля 2008 года
- «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» – утвержден Заместителем директора ФСТЭК России 15 февраля 2008 года
- «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России 21.02.2008 г. № 149/54-144
- «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены ФСБ России 21.02.2008 г. № 149/6/6-622
Правила по обеспечению информационной безопасности на рабочем месте
Аксиком | о компании | лицензии и сертификаты
Лицензия ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств
Лицензия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на оказание телематических услуг связи
Лицензия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на оказание услуг связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации
Лицензия Федеральной службы по техническому и экспортному контролю на деятельность по технической защите конфиденциальной информации
Свидетельство о государственной регистрации СЗЭД «АксиСофт»
Выписка из реестра операторов, осуществляющих обработку персональных данных
Сертификат партнера ООО «КРИПТО-ПРО»
Сертификат партнера ОАО «ИнфоТеКС Интернет Траст»
Сертификат партнера компании «Актив»
Сертификат партнера компании «Аладдин Р.Д.»
Аксиком | поддержка клиентов | глоссарий
— любое юридическое лицо или индивидуальный предприниматель, заключивший договор на подключение и абонентское обслуживание.
Аккредитация удостоверяющего центра
— признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона от 06.04.2021 г. № 63-ФЗ “Об электронной подписи”.
Аутентификация — процедура проверки подлинности данных и субъектов информационного взаимодействия исключительно на основе внутренней структуры самих данных.
Вебинар — онлайн-семинар, позволяющий участвовать и получать аудио-видео информацию от ведущих лекторов в режиме реального времени посредством интернет соединения.
Владелец сертификата ключа проверки электронной подписи — лицо, которому в установленном Федеральным законом от 06.04.2021 г. № 63-ФЗ “Об электронной подписи” порядке выдан сертификат ключа проверки электронной подписи.
Выписка (информационная выписка об исполнении налоговых обязательств перед бюджетом) — электронный документ, информирующий налогоплательщика, представляющего налоговые декларации и бухгалтерскую отчетность в электронном виде, с полнотой отражения его расчетов с бюджетом на определенную дату.
Диспетчерский центр — подразделение оператора электронного документооборота, оказывающее услуги подключения новых абонентов, установки программного обеспечения на рабочее место абонента, а также консультации и поддержку пользователей по телефону и электронной почте.
Дополнительный абонент — любое юридическое лицо или индивидуальный предприниматель, отчетность которого представляет бухгалтер основного абонента. Документооборот дополнительного абонента ведется с компьютера, на котором уже установлено все необходимое программное обеспечение. Для подписи документов используется электронно-цифровая подпись данного абонента.
Единый государственный реестр юридических лиц (ЕГРЮЛ) — Государственный реестр Российской Федерации, содержащий данные обо всех юридических лицах, зарегистрированных на территории РФ, а также данные о внесении изменений в учредительные документы юридических лиц, их перерегистрации или ликвидации.
Закрытый ключ электронной подписи (по законодательству РФ) — уникальная последовательность символов:
- Известная только владельцу сертификата ключа подписи;
- Предназначенная для создания в электронных документах электронной подписи с использованием средств электронной подписи.
Запрос — электронный документ, посредством которого налогоплательщик запрашивает информационную выписку о расчетах с бюджетом.
Информационная система общего пользования — информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.
Квалифицированный сертификат ключа проверки электронной подписи — сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (далее — уполномоченный федеральный орган).
Квитанция — документ, подписанный ЭП участника системы электронного документооборота (СЭД) госучреждения. Наличие квитанции свидетельствует о том, что получателем был получен электронный документ. Отправка квитанций предусмотрена в документообороте с ФНС, ПФР, РОССТАТ,ФCC.
Ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи.
Ключ проверки электронной подписи — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее — проверка электронной подписи).
Комплект абонента — набор необходимых и достаточных компонентов для организации работы пользователя по сдаче отчетности через Интернет. Включает в себя бухгалтерские документы, комплект пользовательской документации, установочный компакт-диск, лицензию на СКЗИ, ключевой носитель с сертификатом ЭП.
Корпоративная информационная система (КИС) — информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц.
Корпоративный абонент — абонент, имеющий возможность:
Вести электронный документооборот нескольких организаций в рамках одной учетной записи на сервере;
Настройки одновременной работы любого количества пользователей абонента с территориально распределенных рабочих мест.
Режим предназначен для структур и предприятий с большим количеством дочерних организаций и филиалов, в том числе территориально распределенных.
Онлайн-семинар — семинар, позволяющий участвовать и получать информацию от ведущих лекторов в режиме реального времени посредством интернет соединения.
Основной абонент — любое юридическое лицо или индивидуальный предприниматель, получивший необходимое для работы программное обеспечение для установки на один компьютер. Для подписи документов используется электронная подпись данного абонента.
Открытый ключ ЭП — криптографический ключ, который связан с секретным (закрытым, личным) ключом специальным математическим соотношением. Открытый ключ известен всем пользователям системы и предназначен для проверки ЭП.
Открытый ключ электронной подписи (по законодательству РФ) — уникальная последовательность символов:
Соответствующая закрытому ключу электронной подписи;
Доступная любому пользователю информационной системы;
Предназначенная для подтверждения с использованием средств электронной подписи подлинности электронной подписи в электронном документе.
Открытый ключ позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить секретный ключ.
Отчетность предприятия — единая система показателей, отражающих имущественное и финансовое положение экономического субъекта и результаты его хозяйственной деятельности, составляемая по установленным формам.
Пенсионный фонд России (ПФР) — Государственный внебюджетный фонд Российской Федерации, создан для государственного управления средствами пенсионной системы и обеспечения прав граждан РФ на пенсионное обеспечение. Крупнейшая организация России по оказанию социально значимых государственных услуг гражданам. УПФР — Управление Пенсионного фонда России.
Письмо — электронное сообщение или электронный документ, который передается по распределенной компьютерной сети (в том числе интернет) при помощи технологии электронной почты.
Пользователь — уполномоченное лицо с правом подписи передаваемых отчетов абонента (абонентов) системы. Пользователь осуществляет свою деятельность на рабочем месте системы. Пользователь является владельцем сертификата ЭП.
Рабочее место системы — персональный компьютер, отвечающий минимальным требованиям для работы, на котором установлено все программное обеспечение необходимое для работы в системе и с которого бухгалтер отправляет отчетность.
Сервер специализированного оператора связи — главный компонент системы. Через сервер оператора проходят все информационные потоки между участниками документооборота. На сервере оператора формируются учетные записи абонентов при регистрации в системе.
Сертификат ключа подписи — электронный файл, содержащий открытый ключ абонента, информацию об абоненте (название, адрес) и о владельце сертификата (ФИО, паспортные данные). Сертификат подписи выдается Удостоверяющим центром и служит для подтверждения подлинности ЭП в электронном документе и идентификации владельца открытого ключа абонента.
Сертификат ключа проверки электронной подписи — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
СКЗИ — средство криптографической защиты информации.
Скриншот — снимок экрана. Чтобы сделать скриншот экрана:
Нажмите клавишу PrintScreen (PrtScr) (в верхнем правом углу клавиатуры), после того, как Вы нажали эту клавишу – в память Вашего компьютера будет сохранен снимок экрана.
Откройте программу любого редактора. Нажмите правой кнопкой мыши по пустому листу документа и выберите пункт «Вставить» (или на клавиатуре можно нажать одновременно клавиши Ctrl V).
«Снимок экрана» появится в виде изображения. Сохраните файл.
Средства электронной подписи — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
Средства удостоверяющего центра — программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра.
Сопровождение сертификата — услуга, позволяющая в течение текущего периода абонентского обслуживания неограниченное количество раз производить смену и отзыв сертификата ЭП.
Операторэлектронного документооборота (ОЭД) — организация, имеющая соответствующие лицензии, уполномоченная региональным контролирующим органом на организацию системы защищенного электронного документооборота хозяйствующих субъектов и этого контролирующего органа.
Специализированной оператор поддерживает работоспособность сервера, на котором установлено все программное обеспечение, необходимое для работы в системе, и обеспечивает своевременное обновление этого программного обеспечения. Осуществляет подключение и абонентское обслуживание пользователей и контролирующих органов на определенной территории.
Средство криптографической защиты информации(СКЗИ) — программное обеспечение, предназначенное для работы с ключами шифрования и электронной подписи, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.
Тарифный план — набор сервисов, получаемых абонентом при подключении на один год.
Тонкий клиент — организация рабочего места абонента, при котором основная часть программного обеспечения, необходимого для работы в системе и требующего обновления, находится на сервере специализированного оператора связи. На рабочем месте абонента устанавливается минимальный комплект клиентского программного обеспечения, необходимый для работы в системе. Тонкий клиент требует для работы постоянное подключение к сети интернет.
Толстый клиент — организация рабочего места абонента, при котором основная часть программного обеспечения, необходимого для работы в системе находится на рабочем месте пользователя и не требует постоянного подключения к сети интернет. Пользователь может подготавливать и хранить отчетность автономно, после чего подсоединившись к сети передавать ее по телекоммуникационным каналам связи. Все обновления можно скачивать с сервера специализированного оператора связи, после соответствующего уведомления оператора.
Инспекция Федеральной налоговой службы(ИФНС) — территориальный орган федерального органа исполнительной власти, осуществляющий контроль за соблюдением законодательства о налогах и сборах. Подотчетен Федеральной налоговой службе Российской Федерации.
Удостоверяющий центр(УЦ) — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 06.04.2021 г. № 63-ФЗ “Об электронной подписи”.
Установка и настройка рабочего места — услуга, подразумевающая настройку рабочего места абонента (установка всех компонентов системы, сертификатов ЭП), обучение пользователя основным принципам работы в системе и передача тестового отчета.
Участники электронного взаимодействия — осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане.
Электронный документ(ЭД) — документ, в котором информация представлена в электронной форме и который подписан ЭП.
Электронный документооборот(ЭДО) — защищенный юридически значимый обмен документами в электронном виде на основе средств криптографической защиты информации.
Электронная подпись (ЭП) — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Аналогом на бумажном носителе является подпись уполномоченного лица и печать организации в документе.
Электронная подпись (ЭП) делится на:
Простую электронную подпись (ПЭП), которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Неквалифицированную электронную подпись (НЭП) — электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа подписи; позволяет определить лицо, подписавшее электронный документ; позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания; создается с использованием средств электронной подписи.
Квалифицированную электронную подпись (КЭП) — электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи. Кроме того, ключ проверки такой подписи указан в квалифицированном сертификате, а для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом от 06.04.2021 г. № 63-ФЗ “Об электронной подписи”.
Аксиком | услуги и цены
Вы только начали свою деятельность и, как вам кажется, не успели даже шагу ступить, и вдруг оказывается, что вы уже должны сдать целую кипу отчетов? Вам бы не хотелось ездить в инспекции и фонды и терять время в очередях, поэтому вы решили сдавать отчетность в электронном виде? Вы в растерянности и не знаете, с чего начать? Вы внимательно изучили все инструкции по заполнению отчетных форм, но все-таки сомневаетесь, как именно нужно указать код из 13-ти символов при длине шаблона в 15 символов? В деятельности вашей компании произошли изменения, с которыми вы прежде не сталкивались, и вы бы хотели обсудить различные варианты отражения этих операций со специалистом данного профиля?
Развитие экономики и повсеместное усложнение деятельности юридических лиц стимулирует бухгалтеров к постоянному росту профессионального уровня, повышению квалификации, посещению тематических семинаров и тренингов.
Это не удивительно, ведь профессия бухгалтера сейчас – одна из наиболее сложных профессий. Высококвалифицированный бухгалтер занимается не только своей непосредственной работой, бухгалтерским, налоговым, управленческим учетом, он каждый день учится, читает массу профессиональной литературы, он должен свободно ориентироваться в законодательстве и отслеживать его постоянные изменения, иметь навыки юриста, аналитика, внутреннего аудитора и разбираться в специализированном программном обеспечении.
Наши специалисты окажут вам всю необходимую помощь по бухгалтерскому сопровождению и налоговому учету, от консультирования до аутсорсинга.
Компания «Аксиком» предлагает юридическим лицам широкий спектр продуктов и услуг:
Мы работаем в Москве и Московской области.
Наши координаты:
115114, г. Москва, ул. Летниковская, д. 10, стр. 4,