14 октября 2024
Поделиться
Трансграничный ЭДО нуждается в пространстве доверия 42 минуты на заключение двухстороннего трансграничного договора на поставку вместо двух недель. О преимуществах и нюансах реализации трансграничного ЭДО.
Трансграничный ЭДО нуждается в пространстве доверия

Анастасия Харыбина (AKTIVE.CONSULTING) провела очередной выпуск подкаста «Безопасный выход». В ходе беседы ведущая и приглашенный эксперт — Сергей Кирюшкин, советник генерального директора и начальник удостоверяющего центра (УЦ «ГазИнформСервис») обсудили сферы применения трансграничного юридически значимого электронного документооборота (ЭДО), порядок взаимодействия участников этого процесса, особенности развертывания и функционирования необходимой для этого инфраструктуры, безопасность, а также перспективы развития в России и мире.

Смотреть на:

Слушать на Podster

Кому и зачем нужен трансграничный ЭДО

Анастасия Харыбина (далее Анастасия): Прежде всего нам надо понять кому и зачем нужен трансграничный электронный документооборот нужен. Предлагаю рассмотреть эту технологию в трех плоскостях: что она дает государству, бизнесу и гражданину? Я вообще люблю использовать эту классическую триаду для оценки актуальности и значимости технологий.

Сергей Кирюшкин (далее Сергей): Я тоже люблю эту триаду: G-государство, B-бизнес и C-граждане. Возможность получить из-за границы электронный документ, заверенный электронной подписью, уметь отработать с этой электронной подписью и признать действительность документа время от времени бывает нужна всем.

Сейчас в роли драйвера трансграничного ЭДО выступает бизнес, потому что внешнеэкономическая деятельность, внешняя торговля, логистика — это сферы, где он востребован, где его ждут. Бизнес заинтересован в сокращении издержек, связанных с подготовкой и пересылкой бумажных документов. К тому же, надо помнить о «зеленой» повестке, для трансграничного ЭДО она такая же, как и для обычного, а отказ от бумаги дает экономию расходных материалов.

Но самое важное преимущество трансграничного ЭДО для бизнеса − это экономия времени. И тут есть действительно впечатляющие цифры. Возьмем для примера двусторонний трансграничный договор между Россией и Казахстаном. По данным наших партнеров, заключение такого договора в бумажном виде занимает до нескольких недель. А рекорд оператора ЭДО, тоже нашего партнера, который реализует сервис трансграничного юридически значимого документооборота и пользуется сервисом признания иностранных электронных подписей, − 42 минуты.

Анастасия: Это минимальное время? Двустороннее подписание трансграничного договора на поставку за 42 минуты?

Сергей: Да. Есть среднее время − несколько часов, а рекорд 42 минуты. Время − это деньги, я уже не говорю об экономии на логистике.

Анастасия: Это тоже очень важно.

Сергей: Есть финансовые вопросы, напрямую зависящие от оперативности решения этой задачи. Например, подтверждение нулевой ставки НДС при внешнеэкономической деятельности. Если этот налог заплачен в одной стране, и товар поставлен в другую, то в месте получения нет необходимости его платить, но это нужно подтвердить документально и чем быстрее такие документы придут в страну покупателя, тем лучше для его бизнеса. И тут у трансграничного ЭДО нет конкурентов.

Что касается граждан, приведу пример, гражданин работал всю жизнь в России, а после выхода на пенсию переехал в Беларусь или в Казахстан. И для получения пенсии по российскому законодательству от него требуется документально подтвердить факт нахождения в другой стране. Раньше гражданам нужно было лично предъявлять бумажные документы. Сейчас такой сервис доступен на портале госуслуг, и для того чтобы им воспользоваться, достаточно применить электронную подпись, полученную в стране пребывания, то есть белорусскую или казахскую.

Далее поговорим о государстве. Для него основной профит от перевода в «цифру» трансграничного документооборота состоит в повышении прозрачности взаимодействия, например, G2G. Об упрощении С2G-взаимодействия я говорил, когда о преимуществах для гражданина рассказывал.

Сергей: Есть широкая практика взаимодействия налоговых органов, таможенных органов, органов внутренних дел разных стран. Мы сами занимались его цифровизацией и знаем о проектах наших коллег. И, конечно, самый большой проект G2G на пространстве Евразийского экономического союза, − это интегрированная информационная система ЕАЭС, предназначенная для автоматизации трансграничных информационных процессов, которые начинаются в органе власти одной страны, а завершаются в органе власти другой или непосредственно в Евразийской экономической комиссии.

Как работает трансграничный ЭДО

Анастасия: А какова схема трансграничного юридически значимого электронного документооборота? Понятно, что есть, как минимум, две стороны-резиденты разных стран, которые должны обменяться электронными документами и подтвердить их юридическую значимость с помощью ЭЦП. Как происходит их взаимодействие?

Сергей: Ты очень четко сказала, что в трансграничном ЭДО, как минимум, две стороны, это важно. Сейчас уже есть случаи, когда сторон больше. Пример — транспортная накладная. Товар загружен продавцом в одной стране, оттуда он транзитом проезжает по территории другой страны, а покупатель получает его в третьей. В таком случае в электронной транспортной накладной могут указываться и три разных стороны: логистическая компания в России, поставщик в Белоруссии, покупатель в Казахстане.

Обычно в профессиональной среде вопрос о взаимодействии сторон обсуждается применительно к задачам торговли, то есть трансграничному движению электронных документов, сопровождающих импортно-экспортные операции и некоторые другие процессы.

Но тут важно отметить, что такое взаимодействие требуется еще и в телемедицине, когда консилиум врачей находится в Москве, а больной − в Беларуси, например, в Гомеле. В ходе телемедицинского сеанса возникают электронные юридически значимые документы: анамнез, диагноз. Все фиксируется и заверяется электронной подписью.

Другой пример −дистанционное образование. Я недавно узнал, что наша платформа SkyEng во всем мире признана базовой для изучения иностранных языков. Тут может возникнуть необходимость в трансграничном приложении для граждан, регламентирующем, в том числе, ответственность сторон. И вообще говоря, многие университеты за пределами России сегодня обучают студентов дистанционно, а значит, заключают с ним договоры на оказание образовательных услуг. Это просто для понимания, что мы не замыкаемся только на торговле и смежных с ней сферах.

Анастасия: Мне еще больше хочется узнать о схеме.

Сергей: Да, возвращаюсь. В рамках торговой сделки должен быть хотя бы один электронный документ, к которому предъявляется требование юридической значимости. Это могут быть универсальные передаточные документы: счет-фактура, электронная транспортная накладная. Значит, эту задачу надо решить.

По данным исследований, которые проводят уважаемые организаций, а также по нашим собственным данным, порядка 90 стран мира для обеспечения юридической силы электронного документа применяют механизм электронной подписи. Это значит, что, где бы твой контрагент ни находился: в Китае, в Азербайджане, в Армении, в Российской Федерации, в Беларуси, в Казахстане − ему удобнее всего воспользоваться своей электронной подписью. А она, как правило, выполнена на основе национальной криптографии (мы говорим сейчас о российской усиленной квалифицированной электронной подписи и о видах иностранной электронной подписи, соответствующих ей по уровню надежности). Криптографические алгоритмы используются для того, чтобы подписать электронный документ, вычислить хэш, проверить подписи.

Во многих странах, в том числе и бывшего СССР, такие алгоритмы закреплены национальными стандартами и в национальном законодательстве, потому что в Советском Союзе была криптографической школа и во многих странах остались ее «выпускники» − наследники выдающихся ученых. Так что национальные стандарты есть, но напрямую они несовместимы друг с другом. И если ваш поставщик из Узбекистана подпишет счет-фактуру узбекской ЭП, то в России ее нельзя будет проверить криптографически. Это технологическая проблема.

Другая проблема − инфраструктура открытых ключей. В России она реализуется с помощью системы удостоверяющих центров, которые проходят процедуру аккредитации и выполняют свои функции по выдаче сертификатов, в том числе квалифицированных, по заявлениям клиентов. И в большинстве стран, использующих ЭП для обеспечения юридической значимости электронных документов, есть национальные системы удостоверяющих центров. Это второй барьер на пути трансграничного ЭДО.

Мы узбекскому или белорусскому государственному национальному удостоверяющему центру, даже самому правильному и аккредитованному в России, доверять не будем, просто потому, что так устроена организационная часть.

Анастасия: Ну, это же касается не только России? Любая страна сталкивается с теми же трудностями.

Сергей: Конечно. И потому принципы взаимодействия сторон при трансграничном ЭДО определены на уровне законодательства. И Россия, и те 90 стран, о которых я говорил, положили в основу своего национального законодательства в области электронной подписи типовой закон Комиссии Организации Объединенных Наций по международной торговле, ЮНСИТРАЛ, об электронных подписях от 2001 года.

В 1996 году ЮНСИТРАЛ опубликовала Типовой закон об электронной торговле, устанавливающий одинаковый режим для информации в бумажном и электронном виде, в 2001 году он был дополнен Типовым законом ЮНСИТРАЛ об электронных подписях.

Сформулированные в этом нормативно-правовом документе базовые принципы имплементированы в законодательство ряда стран с учетом национальных особенностей. В России на эти цели направлены поправки, внесенные в федеральный закон «Об электронной подписи» в августе 2023 года.

Федеральным законом № 457-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» от 04.08.2023 внесены изменения в Федеральный закон № 63-ФЗ «Об электронной подписи» от 06.04.2011.

Там много серьезных изменений, о которых еще далеко не все знают. Сейчас мы отслеживаем эти изменения.

Анастасия: Важно, чтобы на месте кто-то мог оценить валидность законодательства и его должный уровень, при котором электронная подпись соответствует всем требованиям по безопасности.

Сергей: В конкретный момент времени. Понимаешь? В этом суть. Технология сводится к тому, чтобы, получив в другой стране электронный документ с иностранной ЭП, обратиться к уполномоченному оператору (в России — к доверенной третьей стороне) в стране его происхождения и получить документ, подтверждающий, что электронная подпись была поставлена правильно, она действительна и соответствовала законодательству на момент подписания документа.

Анастасия: Тогда у меня вопрос: на основании чего доверенная третья сторона в одной стране начинает доверять такой же ДТС в другой стране, не просто же за красивые глаза? Это же должно быть и криптографически подкреплено.

Сергей: Это очень хороший вопрос, прямо корневой. Задача сводится к тому, чтобы такие уполномоченные операторы подтверждали, что электронная подпись как механизм безопасности в стране происхождения эквивалентна по уровню надежности той электронной подписи, которая обеспечивает юридическую силу в стране получателя, и брали на себя ответственность за результат этого подтверждения.

Для того, чтобы быть уверенным изначальной надежности ЭП в стране происхождения, есть несколько критериев. Они изложены в трех статьях уже упомянутого типового закона об электронных подписях 2001-го года: 6, 9 и 10. В них с разных сторон рассматривается «надежность» электронной подписи, а также приводятся требования к уполномоченным операторам. Согласно документу, достаточно проверить, что электронная подпись отвечает этим нормам с точки зрения математических основ, технологий, законодательства и требования к операторам, или поставщикам сертификационных услуг для подкрепления электронной подписи.

Такой же подход применяется к УЦ и смежным сервисам. В этом случае важно убедиться в том, что они отвечают простым принципам, изложенным в типовом законе, а затем имплементированным в национальное законодательство.

Для этого, к примеру, в Российско-Белорусском международном соглашении о взаимном признании электронных подписей предусмотрен механизм обзорных визитов. Как это будет работать, мы еще посмотрим: пока это только на бумаге написано. Искали эти формулировки долго, и получилось следующее: для того, чтобы третьи стороны разных государств друг другу доверяли, они должны провести взаимное обследование: приехать в страну, проверить по заранее оговоренным критериям, заполнить чек-лист, возможно, сделать замечания, записать их в протокол встречи, доложить регуляторам о том, что следует поправить. Затем все приводится в соответствие требованиям проверяющей стороны. После документального подтверждения обе ДТС начинают доверять друг другу и нести ответственность.

Анастасия: Не всякая же организация может стать доверенной третьей стороной? Она должна быть аккредитована государством?

Сергей: Во всех странах, с которыми сейчас так или иначе ведется работа, государства такую аккредитацию проводят. Более того, в типовом законе об электронных подписях тоже говорится, что уполномоченный государством регулятор несет ответственность за то, что оператор того или иного сервиса доверия отвечает за корректное выполнение этой функции.

В Федеральном законе «Об электронной подписи» от 06.04 2011 № 63-ФЗ дается определение доверенной третьей стороны (статья 18.1) и описывается процедура аккредитации ДТС (статья 18.2).

В 2022 году мы трижды ее пытались пройти, но, к сожалению, безуспешно. Надеюсь, что с четвертого раза получится: все для этого делаем. В других странах тоже есть очень интересные прецеденты, и к ним, кстати, стоит присмотреться. Это хорошие практики, в которых аккредитация проводится не по требованиям отдельной страны, а по требованиям того или иного международного объединения.

И самый масштабный пример − это Европейский союз, где принят общеевропейский регламент с требованиями к сервисам доверия, eIDAS.

eIDAS — общеевропейский регламент (1 июля 2016 года), который устанавливает правовую базу для электронных подписей. Его цель − обеспечение удобных и безопасных электронных транзакций через границы ЕС.

Документом предусмотрен не только сервис проверки ЭП, в нем прописаны роли уполномоченных организаций, международных аудиторов, в том числе тех, которые проводят обследование на соответствие этим требованиям.

Таким образом достигается эквивалентный уровень надежности, который обеспечивается операторами. Если мне память не изменяет, к концу 2023-го года в Европейском союзе операторов, аккредитованных в соответствии с нормативными требованиями 31 или 32.

У нас далеко не все из этого реализуется. И это еще один повод присмотреться.

Анастасия: К тому, что сейчас происходит в мире с трансграничным ЭДО мы чуть позже вернемся. А сейчас я предлагаю осветить важный аспект, связанный с инфраструктурой.

Инфраструктура трансграничного ЭДО

Анастасия: Если говорить об инфраструктуре, которую необходимо развернуть на территории страны для реализации трансграничного ЭДО, то нужно принимать во внимание три аспекта, требующие серьезной проработки: правовой, технологический и организационный. Расскажи, пожалуйста, поподробнее, в чем там соль, на что нужно обратить внимание и что обязательно должно быть сделано?

Сергей: Давай начнем с уровня, вокруг которого идут основные споры, — нормативно-правового. Во-первых, необходимо принять закон был об электронной подписи. Во-вторых, нужно, чтобы в этом законе была зафиксирована норма, определяющая, так же, как в типовом законе об электронных подписях, инвариантность. Должно было сказано, что неважно, каким УЦ выдан сертификат, неважно, в какой стране документ или информация подписаны электронной подписью.

И в нашем законе об ЭП первые два пункта статьи 7 как раз об этом. Так что в российском законодательстве базовый нормативный уровень заложен на уровне международных договоров, которые являются частью правовой системы страны, а также на уровне нормативно-технического регулирования. Это первое, что должно быть.

Второе − это технологии. Технология, которая позволяет использовать электронную подпись: создавать ее и проверять. И технология, которая при выявлении средством проверки подписи ее иностранного происхождения обеспечит соблюдение принципов инвариантности. «Да, я не могу, но я знаю, кто может», − вот так она должна отработать.

И последняя составляющая − организационная. В стране должны быть компании, которые обеспечивают трансграничный ЭДО, квалифицированные кадры и система, которая обеспечивает надежность этих организаций. Система образования обеспечивать подготовку таких специалистов. Также необходима система аккредитации таких организаций, в рамках которой государство берет на себя часть ответственности за тех, кого она на этот рынок пустила.

Ну, пожалуй, к оргвопросам я бы еще отнес очень важный аспект − страхование ответственности.

Анастасия: Со стороны кого, чьей ответственностью и перед кем?

Сергей: Ответственности оператора, проверяющего иностранную подпись, перед клиентом, который берет на себя такие риски, доверяя результатам этой проверки. Да, я доверяю результату его проверки, упаковываю этот результат в свою квитанцию. А затем моя квитанция идет к моему клиенту, и мой клиент доверяет этой квитанции. И если кто-то в этой цепочке ошибся перед клиентом, ответственность я несу, поэтому я страхуюсь. Страховые компании очень сильно удивлялись, когда к ним пришли.

И сказали: «Давайте». Они стали искать какие-то похожие правила страхования: автогражданская ответственность не подошла, строительство тоже, а вот удостоверяющие центры оказались ближе всего к правде. И первые проекты договоров страхования ДТС были основаны прямо на договорах страхования УЦ.

Тогда была проделана большая работа. А сейчас есть типовые договоры, и Минцифры даже их валидировало. Так что эта работа — тоже элемент организационного обеспечения.

Анастасия: Если ты помнишь, наш подкаст посвящен информационной безопасности. В любом юридически значимом электронном документообороте всегда стоит вопрос безопасного обмена сообщениями и безопасности всей инфраструктуры, о которой мы сейчас говорили, особенно в технологических аспектах. Каковы проблемы и вопросы информационной безопасности в разрезе трансграничного ЭДО?

Сергей: Электронная подпись − это технология безопасности, потому что она обеспечивает аутентичность и целостность документа. Но когда мы говорим о трансграничной передаче, появляются свои нюансы в области ИБ, и о них обязательно надо сказать.

Самый базовый и самый дискуссионный вопрос и в России, и на международной арене − эквивалентный уровень надежности. Это вопрос безопасности. Приведу очень простой пример: все стороны должны быть уверены в том, что криптостойкость алгоритмов хеширования электронной подписи по существу эквивалентна, по сути, это криптографические исследования.

Анастасия: И кто должен такие исследования провести?

Сергей: На PKI форуме 2022 года по нашей просьбе об этом делал доклад специадист-криптограф Станислав Владиленович Кутузов.

PKI-Форум — международная конференция по проблематике инфраструктуры открытых ключей и электронной подписи.

Он упомянул о том, что Россия и Беларусь такие исследования проводили взаимно и с другими странами. Есть международные организации, которые криптографические алгоритмы изучают и стандартизируют. Так что это, в принципе, решабельная задача из области ИБ, специфическая.

Второй очень важный и близкий к теме нашего обсуждения аспект безопасности состоит в том, что валидация ЭП − это сервис, который клиенту нужен в режиме онлайн, практически в режиме реального времени. Он, в общем-то, стоит в ряду с сервисами PCI, такими, как изготовление сертификата удостоверяющим центром, Certification Authority. Они называются в соответствии с международными стандартами ISO X.842: то, что у нас УЦ, в стандартах − CA.

Для того, чтобы зарегистрировать пользователя, который получит сертификат, у нас нужно обратиться в центр регистрации. В технических стандартах это Registration Authority. А сервис проверки подписи, который у нас называется ДТС, в ISO Х.842, − Validation Authority, то есть уполномоченный оператор сервиса проверки электронной подписи.

Так вот единственный в этом ряду сервис, который должен работать в режиме онлайн, − это сервис валидации ДТC, потому что и зарегистрировать, и выдавать сертификат можно в оффлайне. А проверять подпись надо всегда в онлайне.

Это означает, что нарушитель присутствует в Интернете в режиме онлайн, поэтому этот режим и характерен, прежде всего, для сервиса ДТС. И все сложные вопросы, связанные с выводом в продакшн и оказанием этих услуг, давно сводятся к обеспечению безопасности этого сервиса.

Модель нарушителя определена приказом регулятора. Осталась производителям и испытательным лабораториям показать, что сделано, что приказу соответствует и может противостоять угрозам, которые в нем определены.

Анастасия: Спасибо за разговор об информационной безопасности. Он важный, базовый в контексте нашего подкаста. Еще одна тема, которая мне кажется очень значимой, − что уже сделано? Сегодня уже говорилось о сотрудничестве России с близлежащими странами. А что происходит в мире? Насколько зрелая эта технология, каков уровень ее проникновения? Какие страны занимаются трансграничным ЭДО, в какой стадии развития он у них находится? Есть ли где-то уже работающая в промышленной эксплуатации такая система?

Развитие трансграничного ЭДО

Сергей: В рамках европейского регламента действует более 30 операторов таких сервисов в разных странах, но интересно даже не то, что их количество с каждым годом растет, а то, что не было ни года, когда бы оно уменьшилось.

Есть известные паневропейские проекты, для которых на прикладном уровне этот сервис нужен. Ну, например, значит, пан европейский государственный заказ. К примеру, это проект PEPPOL.

PEPPOL — общеевропейские государственные закупки онлайн — проект нацелен на внедрение общих стандартов для проведения государственных электронных закупок по всему ЕС.

Он уже реализован, задача паневропейских госзакупок решается, и процесса взаимно признаются электронные подписи.

Еще один пример приведу. Европейский таможенный кодекс предполагает, что экспортная декларация подписывается электронной подписью европейского таможенника.

Хороший очень пример − это Азиатско-Тихоокеанский регион, и действующее там рамочное соглашение об упрощении процедуры международной торговли. Россия к нему присоединилась в июле прошлого года. А готовился этот шаг с 2014-го.

Анастасия: У меня есть отдельный вопрос о ратификации этого соглашения, в котором участвуют более 50 стран. Чем это нам грозит? Понятно, что мы присутствуем в АТРе и что Владивосток − один из ключевых городов, нами заявленных. Но не со всеми у нас сейчас в этом регионе хорошие отношения.

Сергей: Это рамочное соглашение. Оно нужно для того, чтобы определить базовые принципы и правила международной торговли в регионе, возможно, еще договориться о каких-то общих подходах.

Основные правила, подходы, мероприятия, дорожную карту определяет специально созданный орган − постоянно действующий совет. Россия, после ратификации, входит в его состав и участвует в работе. При этом результаты — дальнейшие шаги, правила игры, не обязательно распространяются на все страны-участницы соглашения, некоторые из них действуют в двустороннем порядке.

Кстати, на пространстве СНГ есть страны, которые тоже присоединились к этому рамочному соглашению. Они для нас ключевые партнеры для выстраивания отношений в рамках этого международного соглашения. Это Азербайджан и Кыргызстан, который присоединился относительно недавно. Армения находится на пути находится на ратификации, они тоже входят в ЭСКАТО.

Я бы перефразировал твой вопрос: что ратификация рамочного соглашения нам позволяет? Оно упрощает нам торговые процедуры. Общие правила игры, базовые принципы определены, (то, которое непосредственно касается нашего сегодняшнего разговора, содержится в 5 статье). Там написано: развитие трансграничного пространства доверия — это базовый принцип. А это значит, что стороны, которые присоединились к этому соглашению, договорились о том, что для упрощения торговых процедур им нужно пространство доверия друг к другу, и они его будут развивать.

Анастасия: А мы, в первую очередь, надеемся на взаимодействие в области трансграничного ЭДО с теми странами, которые примерно в одно время с Россией ратифицировали рамочное соглашение.

Сергей: Мне хочется сказать, с кем мы уже работаем. Сейчас, если говорить в контексте рамочного соглашения, практическая работа — пилотный проект — ведется с Китайской Народной Республикой. Надеемся, что не за горами тот день, когда это электронное взаимодействие будет в продуктив переведено. Там, по большому счету, технология отлажена, и осталось только договорную цепочку выстроить. Отношения между ДТС-ми, между операторами ЭДО.

Индия тоже понятный, привлекательный в современной геополитической ситуации экономический партнер. С ними, правда, пока ведутся переговоры. Но мы активно в рабочей группе в ЭКАТО с коллегами из Индии общались, как, кстати, и с коллегами из Китая. Еще один из ведущих экспертов, который наряду с нами занимается этой темой в ЭСКАТО, это коллега из Южной Кореи.

По большому счету, в этом регионе договорились об общих правилах упрощения процедур торговли, и в том числе о том, чтобы в рамках этих процедур развивать трансграничное пространство доверия, это дорогого стоит. Я бы вообще назвал ратификацию Россией рамочного соглашения об упрощении процедур трансграничной безбумажной торговли в Азиатско-Тихоокеанском регионе (АТР) событием 2023 года.

Анастасия: В этом же году произошло еще одно важное событие: принятие поправок в Федеральный закон «Об электронной цифровой подписи» № 63-ФЗ. Оно позволило не только в рамках соглашения между странами действовать, но и напрямую между доверенными сторонами участников. И если я правильно понимаю, изменение закона стало бустером этого процесса, поскольку до этого ни одного соглашения не было, а после сразу пошли пилоты.

Давай поговорим о пилотных проектах, которые идут сейчас и которые уже готовы к промышленной эксплуатации.

Сергей: Каковы критерии готовности? Сервис оказывается в режиме 24/7, техническая поддержка организована и осуществляется на коммерческой основе, то есть за получение квитанции клиент платит. В таком режиме работает сейчас трансграничное пространство доверия в интересах процедур международной торговли между Россией, Казахстаном. Там и договорная база выстроена, вся технология отлажена. Между Россией и Беларусью тоже взаимодействие выстроено на основе соглашений между участниками электронного взаимодействия.

В сегменте b2b этих стран все выстроено, все находится в промышленной эксплуатации. Но пока нельзя сказать, что российско-белорусский трафик такой же насыщенный, как российско-казахстанский, хотя там есть реальные заказчики, которые работают на направлении Россия — Беларусь. Я думаю, что сейчас трафик и здесь начнет увеличиваться просто потому, что там регуляторы. Драйверами трансграничного ЭДО по линии Россия — Беларусь активно выступают налоговые органы.

Анастасия: Есть еще пилоты в Армении, в Азербайджане.

Сергей: Замечу, что говоря о таких проектах, обязательно надо упоминать, в интересах каких органов власти развивается трансграничный ЭДО. По направлениям Беларусь — Россия и Россия — Армения проводились пилоты, которые курировали налоговые органы этих стран по товарно-сопроводительным документам. Пилот в России и Беларуси был сделан по такому международному транспортному документу, как электронная транспортная накладная в формате CMR, определенном СЕФАКТ ООН.

Правила международных грузоперевозок подпадают под действие Конвенции ООН КДПГ (Конвенции о договоре международной перевозки грузов автомобильным транспортом), известной также как CMR.

Опыт этого пилотного проекта способствовал дальнейшему развитию самого формата этого закрепленного в международном законодательстве транспортного электронного документа. В него были внесены поля для электронных подписей всех участников перевозки.

Пилотный проект по внедрению международной автомобильной транспортной накладной e-CMR между Россией и Беларусью завершен. Результаты эксперимента показали техническую и практическую возможность осуществления «безбумажных» международных автоперевозок.

Соответственно, в СЕФАКТ ООН была внесена такая инициатива.

Продолжались пилотные проекты довольно долго: в электронном виде передавались первичные документы, необходимые при импортно-экспортных операциях: договоры, акты, счета фактуры, универсальные передаточные документы. И только потом состоялся ввод в промышленную эксплуатацию.

Сейчас пилот по такой же первичной документации, сопровождающий внешнеэкономическую деятельность, ведется с Китайской Народной республикой. Коллеги из Китая называли нам объем электронных документов, который нас ждет: 1 млн, и мы, конечно, с удовольствием ждем эту нагрузку.

Анастасия: А мы готовы к этой нагрузке?

Сергей: Инфраструктура готова. С организационной точки зрения, всему этому нужна техническая поддержка. Так что мы рады, что постепенно от месяца к месяцу наращиваем объем. Пока 1 млн документов нет. Но мы готовимся, чтобы подойти к такому объему всеоружии.

Что мешает трансграничному ЭДО

Анастасия: В завершение нашего подкаста предлагаю обсудить проблемы. Что тормозит процесс проникновения трансграничного ЭДО в России? Что, на твой взгляд, нужно исправить, скорректировать? Что новое можно привнести? Какие конкретные шаги необходимо предпринять для того, чтобы технологии трансграничного ЭДО имели более широкое, нежели сейчас, применение?

Сергей: Я начну с большой победы над барьером, которая была одержана 15 апреля. Это действительно историческое событие − подписание международного договора о взаимном признании электронных подписей между Россией и Беларусью.

Недавно, готовясь к одной из конференций, я задал себе вопрос: будет ли это достижение масштабироваться? И сам на него ответил: масштабировать это очень хочется. Понятно, что, в таком каноническом виде, как между Россией и Беларусью, масштабирования не будет. Скорее всего, оно пойдет с неким допущениями, потому важную роль в той победе сыграли близость России и Белоруссии, а также особый формат союзного государства.

Но вернемся к проблемам, которые нам предстоит решить, барьерам, которые придется преодолеть. Над поиском решений сегодня работают множество организаций и регуляторы. Это отсутствие сертифицированного программно-аппаратного комплекса доверенной третьей стороны. Такой ПАК — непременное условие для аккредитации организации в качестве доверенной третьей стороны. Я оптимист по жизни, поэтому мы занимаемся этим с 2014 года.

И в очередной раз говорю, что сегодня мы достаточно близко подошли к результату. Понятно, что нужно делать для того, чтобы его достичь. И тогда барьер, о котором знают все, кто этой темой занимается в России, знают все наши внешние партнеры, будет преодолен. И тогда оказание этой услуги станет таким, как надо.

Впрочем, хоть это и барьер, но голь на выдумку хитра.

Анастасия: Удостоверяющий центр нам в помощь.

Сергей: Да. Когда поправки принимались, обсуждалась тема, а надо ли эту услугу, также оставить Удостоверяющим центрам? В результате было принято решение оставить, поэтому те пилоты и те решения, которые уже в коммерческой эксплуатации с участием операторов из России, сейчас работают именно по этой схеме. УЦ тоже могут эту услугу оказывать.

Но все равно мы понимаем, что правильно это делать именно ДТС. Так что очень хочется, и мы для этого, повторюсь, все делаем, чтобы в этом году процедура сертификации была положительно завершена. Там есть планы продолжения, есть новые версии, новые договоренности.

И тем не менее, она будет продолжена, потому что вокруг этой темы есть много новых задач, сервисов и идей, которые необходимо в сертифицированные решения вложить.

Анастасия: Я правильно понимаю, что аккредитоваться как ДТС будут все-таки Удостоверяющие центры? Вряд ли с нуля будут строиться какие-то ДТС.

Сергей: Я думаю, что будут аккредитоваться две категории организаций: это Удостоверяющие центры и операторы ЭДО. Мы в прошлом году, где-то по осени, проводили опрос в PCI клубе, в канале, где удостоверяющий центр и операторы ЭДО участвуют. По-моему, 68% участников опроса ответили, что планируют аккредитоваться как ДТС.

Анастасия: Как ты думаешь, через год сколько у нас будет ДТС? Через два года? Через пять лет?

Сергей: Думаю, что через год в России будет, скорее всего, 2 оператора. Один будет широко работать на пространстве В2В, а второй − обеспечивать интеграцию пространства В2В с органами власти. Он тоже будет ДТС, но в случаях, когда нужно очень правильно трансграничные документы в органы государственной власти занести.

Если говорить о перспективе трех лет, то я думаю, что тогда уже будет, скорее всего, 5-10 операторов. Ну, а дальше будет все зависеть от того, насколько это будет рынком востребовано и насколько эта первая очередь сможет удовлетворить такой спрос.

На самом деле, для трансграна 5-10 операторов для России достаточно. Но дело в том, что этот сервис, вообще говоря, только для проверки трансграничной электронной подписи, он позволит правильно проверить любую электронную подпись.

Анастасия: Сейчас же это удостоверяющие центры делают, верно?

Сергей: УЦ это делают для клиентов, в том числе в России, которым нужно проверить электронную подпись с гарантией, со страховкой, на всякий случай переложив ответственность на специализированного оператора. Но вообще говоря, правильно проверять электронную подпись не умеет никто. Точка.

Так что в случаях, когда использовались сложные форматы электронной подписи или ретродокументы с электронной подписью, которая вот-вот «протухнет», когда электронной подписью заверены документы с очень большой финансовой ответственностью, не надо пытаться самостоятельно проверять ЭП в рамках системы документооборота. Где нет уверенности, что все процедуры проверки выполняются корректно, надо сходить в ДТС, получить квитанцию и спать спокойно.

Анастасия: По сути, это передача риска. Спасибо огромное, Сергей. Мне было очень интересно, и я уверена, что нашим зрителям и слушателям тоже. Даже если вы не занимаетесь внешнеэкономической деятельностью, все равно эта технология может и облегчить жизнь граждан, и повлиять на наш бизнес. Вот почему мы как ИБ-шники интересуемся вопросами электронной подписи и трансграничной передачи документов с использованием доверенных признанных международных электронных подписей.

Смотреть на:

Слушать на Podster

Поделиться
Читайте также
Чем пользуются этичные хакеры для пентеста и сбора информации о своей цели. Артем Храмых
12 ноября 2024 Законодательное регулирование ИИ в России Какие документы регламентируют сферу искусственного интеллекта в нашей...
12 ноября 2024 Никита Козин
17 октября 2024 Что такое OSINT, и в чем секрет его популярности И как злоумышленники используют OSINT для атаки на цепочку поставок
17 октября 2024 Владислав Крылов
Рассматриваем различные подходы к политике применения прикладного ПО, необходимого для штатного функционирования ключевых... Владислав Крылов
10 октября 2024 Место пентеста в ИБ-процессах Эксперт AKTIV.CONSULTING рассмотрел виды и методы пентеста, а также объяснил, когда тестирование на проникновение...
10 октября 2024 Артем Храмых
24 сентября 2024 Важное о Регламенте Европейского Союза об искусственном интеллекте Основные моменты документа, когда начнет действовать и какие положения вызвали критику со стороны экспертного...
24 сентября 2024 Никита Козин
Не пропустите самые
важные
новости
и мероприятия
Если у Вас остались вопросы,
свяжитесь с нами
Заполните,
пожалуйста, форму

и мы с вами свяжемся
Отправить
Спасибо,

ваша подписка

оформлена.
Назад
Спасибо, что обратились

к нам. В ближайшее время

мы с вами свяжемся.
Назад
Спасибо за ваш интерес.

Мы будем оповещать вас

о встречах дискуссионного клуба.
Назад
Заявка
на дегустационную

консультацию
ПОЛИТИКА АО «АКТИВ-СОФТ» в отношении обработки персональных данных

1. Общие положения

Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в АО «Актив-софт» (место нахождения: 115088, г. Москва, ул. Шарикоподшипниковская, д.1, этаж 4, пом. IX, комн.11, ИНН 7729361030, ОГРН 1037700094541), далее — Оператор с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. Термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Обезличивание персональных данных — действия, в результате которых без использования дополнительной информации невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Пользователь сайта (Пользователь) — лицо, имеющее доступ к сайту, посредством сети Интернет и использующее данный сайт для своих целей.

Cookies — фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

Сайт — интернет-ресурсы АО «Актив-софт», включая (не ограничиваясь) www.rutoken.ru, www.guardant.ru, www.aktiv-company.ru, aktiv.consulting.ru.

АО «Актив-софт» обязано опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч.2 ст.18.1. ФЗ-152.

3. Принципы и условия обработки персональных данных

3.1. Принципы обработки персональных данных

Обработка персональных данных у Оператора осуществляется на основе следующих принципов:

  • законности и справедливой основы;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки только тех персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
  • обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
  • уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
3.2. Условия обработки персональных данных

Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные);
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.3. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.4. Общедоступные источники персональных данных

В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных субъектов персональных данных, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.

3.5. Специальные категории персональных данных

Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

  • субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; персональные данные сделаны общедоступными субъектом персональных данных;
  • обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  • обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
  • обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных пунктом 4 статьи 10 ФЗ-152, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

3.6. Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные — могут обрабатываться Оператором только при наличии согласия субъекта персональных данных в письменной форме.

3.7. Поручение обработки персональных данных другому лицу

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152 и настоящей Политикой

3.8. Обработка персональных данных граждан Российской Федерации

В соответствии со статьей 2 Федерального закона от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
  • обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
  • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
3.9. Трансграничная передача персональных данных

Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

  • наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
  • исполнения договора, стороной которого является субъект персональных данных.

4. Права субъекта персональных данных

4.1. Согласие субъекта персональных данных на обработку его персональных данных

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своих интересах.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Использование сайта означает согласие субъекта персональных данных на обработку его персональных данных в целях повышения осведомленности посетителей сайтов о продуктах и услугах, предоставления рекламной информации и оптимизации рекламы. Такое согласие вступает в силу с момента перехода субъекта персональных данных на сайт и действует в течение сроков, установленных действующим законодательством РФ.

Сайт осуществляет сбор статистики об IP-адресах пользователей. Данная информация используется с целью выявления и решения технических проблем, для контроля корректности проводимых операций. Отключение cookies может повлечь невозможность доступа к сайту.

АО «Актив-софт» принимает усилия по защите персональных данных, которые автоматически передаются в процессе посещения страниц сайта:

  • источника захода на сайт и информации поискового или рекламного запроса;
  • данных о пользовательском устройстве (среди которых ip-адрес, разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
  • пользовательских кликов, просмотров страниц, заполнения полей, показов и просмотров баннеров и видео;
  • данных, характеризующие аудиторные сегменты;
  • параметров сессии;
  • данных о времени посещения;
  • идентификаторов пользователя, хранимых в cookies;
  • иной пользовательской информации.
4.2. Права субъекта персональных данных

Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.

Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.

5. Обеспечение безопасности персональных данных

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение состава лиц, допущенных к обработке персональных данных;
  • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
  • организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • разработка на основе модели угроз системы защиты персональных данных;
  • проверка готовности и эффективности использования средств защиты информации;
  • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
  • регистрация и учет действий пользователей информационных систем персональных данных;
  • использование антивирусных средств и средств восстановления системы защиты персональных данных;
  • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
  • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

6. Заключительные положения

Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.

Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.


Полное наименование: Акционерное общество «Актив-софт»
Сокращенное наименование: АО «Актив-софт»
Юридический адрес: 115088, г. Москва, ул. Шарикоподшипниковская, дом 1, этаж 4, пом. IX, комн. 11
Почтовый (фактический) адрес: 115088, г. Москва, Шарикоподшипниковская ул.,д.1
ИНН 7729361030
ОГРН 1037700094541
Телефон/факс: +7 (495) 925-77-90
Адрес электронной почты: info@aktiv-company.ru