Меню
безкоштовно
Реєстрація
Головна  /  прошивка / Сертифікація програмного забезпечення ФСТЕК. Сертифікація засобів захисту інформації

Сертифікація програмного забезпечення ФСТЕК. Сертифікація засобів захисту інформації

Для чого потрібна сертифікація

Для чого потрібна сертифікація програмного забезпечення?

Питання захисту конфіденційної інформації тісно переплетені з інтересами суспільства, особистості, бізнесу і держави. В наш час, в умовах формування єдиного інформаційного простору, Вони є найважливішою складовою частиною завдань, що вирішуються державними органами, установами і організаціями при розробці, створенні, експлуатації інформаційних систем, баз і банку персональних даних інформаційних систем.

Будь-яка держава прагне забезпечити контроль над інформацією, пов'язаною із забезпеченням національної безпеки. І тому до програмного забезпечення, яке поставляється на ринок і використовується для побудови ключових систем інформаційної інфраструктури, Пред'являються особливі вимоги.


Ключові системи інформаційної інфраструктури

До таких ключових систем можна віднести:

  • інформаційні системи органів державної влади, органів управління і правоохоронних структур;
  • інформаційні системи фінансово-кредитної та банківської діяльності;
  • інформаційно-телекомунікаційні системи спеціального призначення;
  • мережі зв'язку правоохоронних структур;
  • мережі зв'язку загального користування на ділянках, які не мають резервних або альтернативних видів зв'язку;
  • автоматизовані системи управління енергопостачанням;
  • автоматизовані системи управління наземним і повітряним транспортом;
  • автоматизовані системи управління видобутком і транспортуванням нафти і газу;
  • автоматизовані системи попередження і ліквідації надзвичайних ситуацій;
  • автоматизовані системи управління екологічно небезпечними виробництвами;
  • автоматизовані системи управління водопостачанням;
  • географічні та навігаційні системи.

І це далеко не повний перелік. У зазначених системах накопичується, обробляється і передається інформація, пов'язана з виробничою, організаційно-економічної, науково-технічної, кредитно-фінансовою та іншою діяльністю держави. У ряді систем і мереж циркулює інформація оперативно-диспетчерського та технологічного управління, яка визначає надійність і безпеку функціонування всього господарського комплексу Росії і робить істотний вплив на забезпечення її національної безпеки в інформаційній сфері. Саме тому ці системи є ключовими.

У зв'язку з цим, виробники програмного забезпечення зобов'язані враховувати вимоги, що накладаються міжнародними та національними законами на інформаційні системи, призначені для роботи з такою інформацією.

Для перевірки відповідності програмного забезпечення цим вимогам і потрібні процедури сертифікації!

Хто зобов'язаний використовувати сертифіковані програмні засоби?

Всі державні організації, недержавні організації, що працюють з так званої «службовою інформацією державних органів», а також ряд інших організацій відповідно до російського законодавства (наприклад, організації, що підпадають під відповідні вимоги «Закону про персональні дані»).

Нижче наведені витяги із законодавчих та регулюючих документів, з яких в сукупності випливає необхідність застосування сертифікованих засобів захисту інформації:

  • У Федеральному законі 149 (ФЗ) ст.14 п.8 сказано про те, що «... технічні засоби, Призначені для обробки інформації, що міститься в державних інформаційних системах, В тому числі програмно-технічні засоби і засоби захисту інформації, повинні відповідати вимогам законодавства Російської Федерації про технічне регулювання »
  • У ФЗ 184 «Про технічне регулювання» в ст.4. «Федеральні органи виконавчої влади наділені правом видавати в сфері технічного регулювання акти обов'язкового характеру, у випадках, встановлених статтею 5»
  • Стаття 5 ФЗ 184 стосується, в тому числі, і продукції, що використовується в цілях захисту відомостей, що відносяться до охоронюваної відповідно до законодавства Російської Федерації до інформації обмеженого доступу (В тому числі «службова інформація держорганів»)
  • Уповноваженим органом, наділеним правом встановлювати обов'язкові вимоги щодо захисту інформації, в соотв. зі ст.15 ФЗ 149 є ФСТЕК Росії
  • Зокрема, в нормативному документі СТР-К (Спеціальні вимоги щодо захисту конфіденційної інформації) ФСТЕК Росії затверджується
    • п.2.3.«Вимоги та рекомендації цього документа поширюються на захист державних інформаційних ресурсів некріптографіческімі методами, спрямованими на запобігання витоку інформації, що захищається по технічними каналами, Від несанкціонованого доступу до неї і від спеціальних впливів на інформацію з метою її знищення, спотворення і блокування ».
    • п. 2.16. «Для захисту конфіденційної інформації використовуються сертифіковані за вимогами безпеки інформації засоби захисту інформації. Порядок сертифікації визначається законодавством Російської Федерації ».
    • п.2.17. «Об'єкти інформатизації повинні бути атестовані за вимогами безпеки інформації відповідно нормативними документами ФСТЕК Росії і вимог цього документа».
  • Закон РФ N 5485-1 від 21 липня 1993 р. ( «Закон про державну таємницю») визначає засоби захисту інформації, як « складову частину інформаційних систем або продуктів ».

Згідно з наведеними законами відповідні організації (зокрема, державні) зобов'язані використовувати програмні і апаратні засоби з сертифікованими засобами захисту інформації.

органи сертифікації

Ким здійснюється сертифікація ПЗ в Російській Федерації?

У нашій країні існують кілька різних систем сертифікації, орієнтовані на різні типи програмного забезпечення (ФСТЕК, ФСБ, Міноборони та ін.).

Основними системами сертифікації для більшої частини ПО є системи сертифікації ФСБ і ФСТЕК.

  • Сертифікація ФСБ призначена для перевірки підсистем ПО, що використовують криптографічний захист (в нашій країні допускаються тільки російські криптоалгоритми). Вимоги систем сертифікації ФСБ не є публічними, Ознайомлення з ними передбачає наявність спеціальних допусків.
  • Сертифікація ФСТЕК призначена перевірки забезпечення технічного захисту інформації некріптографіческімі методами. Вимоги системи сертифікації ФСТЕК є відкритими і опубліковані на офіційному сайті .

поточні програмні продукти «1С-Бітрікс» не містять вбудованих інструментів криптографічного захисту, Тому сертифікація ФСБ для них не потрібно. Далі по тексту йдеться тільки про сертифікацію ФСТЕК.

Що таке сертифікований продукт в РФ?

Російська система сертифікації докорінно відрізняється від систем, прийнятих в інших країнах, причому в кращу сторону . Кожна претендує на сертифікат копія ПО перевіряється на відповідність тієї, яка безпосередньо загартовувалась при сертифікації, т. Е. На бінарному рівні все сертифіковані копії повністю ідентичні. Служби, відповідальні за цілісність цих продуктів, можуть в будь-який час проконтролювати у користувача наявність всіх необхідних сертифікованих патчів і оновлень, а також перевірити продукти на відсутність несертифікованих змін.

А ось за умовами міжнародної системи сертифікації Common Сriteria сертифікованим вважається будь-який ліцензійний примірник ПО, що пройшов сертифікацію, - ідентичність кожного продаваного примірника того, який безпосередньо проходив сертифікацію, не перевіряється. Але ж регулярно випускаються патчі і нові версії програм, і варіанти ПО, що поставляється на ринок сьогодні, просто можуть відрізнятися від протестованого свого часу примірника, поданого для отримання сертифіката.

Кожен екземпляр сертіфіцірованнго продукту «1С-Бітрікс» має пакет документів державного зразка, які підтверджують те, що даний продукт є сертифікованим. Крім того, є голографічний знак відповідності ФСТЕК з унікальним номером, який ідентифікує даний екземпляр в системі державного обліку сертифікованих продуктів.

Кожна організація, яка придбала сертифіковані продукти, має захищений доступ до персональної для цієї організації сторінці на спеціалізованому сайті, звідки ця організація буде отримувати сертифіковані поновлення і іншу інформацію.

Що таке ФСТЕК Росії і які його функції?

ФСТЕК Росії (до 2004 року - Гостехкомиссией Росії) - це федеральний орган виконавчої влади, що володіє такими повноваженнями:

  • забезпечення безпеки інформації в ключових системах інформаційної та телекомунікаційної інфраструктури;
  • протидія іноземним технічним розвідкам;
  • забезпечення технічного захисту інформації некріптографіческімі методами;
  • здійснення експортного контролю.

Відповідно до положення про ФСТЕК Росії однією з її основних завдань є організація діяльності державної системи протидії технічним розвідкам та технічного захисту інформації на федеральному, міжрегіональному, регіональному, галузевому та об'єктовому рівнях, а також керівництво зазначеної державної системою.

Всі нормативно-правові акти та методичні документи, видані з питань діяльності ФСТЕК Росії, обов'язкові для виконання апаратами федеральних органів державної влади та органів державної влади суб'єктів Російської Федерації, федеральними органами виконавчої влади, органами виконавчої влади суб'єктів Російської Федерації, органами місцевого самоврядування та організаціями.

Яким чином здійснюється сертифікація ФСТЕК?

ФСТЕК є тільки організатором сертифікації та службою контролю верхнього рівня. Безпосередні дії виконують ліцензії будуть ФСТЕК - випробувальні лабораторії і експертні організації. Перші безпосередньо проводять дослідження ПО, а другі займаються перевіркою якості цих випробувань.

Замовник має право вибирати випробувальної лабораторії (за згодою ФСТЕК), але ФСТЕК самостійно призначає експертну організацію на перевірку результатів.

Таким чином, з одного боку є конкурентне середовище, коли випробувальні лабораторії борються за клієнта (вартістю перевірок, термінами і т.п.), з іншого - якість випробувань чітко перевіряється незалежними експертами.

За аналогією працює і система сертифікації ФСБ.

Крім того, в системі сертифікації ФСТЕК існує ще інститут заявників. Ці компанії безпосередньо працюють з випробувальними лабораторіями та експертними організаціями, саме вони проводять порівняння продаваних копій продуктів на відповідність їх зразком, який пройшов сертифікацію. Вони ж видають документи встановленого зразка для кожної копії минулих таке порівняння продуктів, ведуть облік таких продуктів.

Заявники несуть витрати на перевірку продукту, на виписку відповідних документів, на постійний облік сертифікованих продуктів (де і в якому стані ці продукти знаходяться), в ряді випадків, за домовленістю з власниками продукту, вони також за свій рахунок проводять сертифікацію всіх патчів.

Сертифікація продуктів 1С-Бітрікс

З якими організаціями співпрацює «1С-Бітрікс» в процесі сертифікації і в якому форматі?

В наразі компанія «1С-Бітрікс» співпрацює з компанією. Дана компанія виступила в наступній ролі:

заявник, Котрий

a. виконує всі організаційні заходи, пов'язані з сертифікацією;

b. несе витрати на постійний облік сертифікованих копій продуктів;

c. безпосередньо продає сертифіковані програмні продукти «1С-Бітрікс».

Чи достатньо використання сертифікованих продукту «1С-Бітрікс» для підсумкової атестації інформаційної системи?

Звичайно ж ні. Використання сертифікованого софту є необхідною, але недостатньою умовою для підсумкової атестації інформаційної системи замовника.

По-перше, як правило сертифікований продукт працює в умовах ІТ-інфраструктури. Для продуктів «1С-Бітрікс» це операційна система веб-сервера і сервера бази даних, сервер СУБД, веб-сервер, інтерпретатор PHP, прекомпілятора PHP і т.п. Відповідно безпеку всієї системи може бути досягнута тільки при Раді національної безпеки всіх її компонентів, що також визначається наявністю на них відповідних сертифікатів.

По-друге, на етапі впровадження в продукт можуть вноситися зміни, які також можуть знизити безпеку системи в цілому, і ці зміни необхідно також тестувати і атестувати.

По-третє, в комплект сертифікованих версій продуктів входить список рекомендацій по їх інсталяції і використання. Ці рекомендації готуються в випробувальної лабораторії і їх дотримання гарантує найкращий і адекватний вимогам замовників рівень захисту. Ці рекомендації є обов'язковими до використання.

Таким чином, в будь-якому випадку необхідна підсумкова атестація інформаційної системи на відповідність вимогам ФСТЕК і (або) ФСБ.

Використання сертифікованих версій дозволяє істотно економити на процедурі підсумкової атестації інфомаційно системи і (або) робочих місць на їх відповідність вимогам захисту інформації певної категорії, хоча і не тягне за собою автоматичну атестацію. У разі, якщо використовується сертифікований софт, потрібно закуповувати і впроваджувати додаткові сертифіковані інструменти захисту, що може дуже сильно підвищити вартість атестації.

Як і в які терміни замовники отримують оновлення сертифікованих продуктів?

При виході будь-якого оновлення продукту необхідна його сертифікація, інакше, встановивши несертифікований оновлення, кінцевий користувач порушує цілісність СЗІ та СЗІ втрачає статус сертифікованого.

Всі оновлення проходять перевірку у випробувальній лабораторії. Далі все сертифіковані оновлення стають доступні на Порталі сертифікованих оновлень компанії "СІС груп". Як правило, дана процедура займає від кількох днів до кількох тижнів.

Однак, як правило, з огляду на консерватизм замовників сертифікованих версій і їх внутрішні процедури узгодження, така затримка не є критичною, і сертифікація оновлень якраз встигає до моменту прийняття рішення.

У сертифікованих версіях продуктів «1С-Бітрікс» не використовується стандартна система оновленьSiteUpdate через Інтернет, Оскільки дані оновлення не є сертифікованими. Сертифіковані оновлення можна за захищеного розділу веб-сайту компанії «Сертифіковані інформаційні системи груп», на якому кожен покупець має особистий кабінет з доступними оновленнями.

Завантажуючи сертифіковані поновлення, замовник завантажує їх у вигляді файлів в спеціальному діалозі системи оновлень

Сертифіковані програмні продукти, процедура сертифікації програмного забезпечення, вимоги безпеки, завдання ФСТЕК і ФСБ.

Згідно вимоги Федерального закону (Ф3) №781 та Постанови уряду РФ 17.11.07г., Всі питання в сфері захисту персональних даних покладено на ФСТЕК Росії і ФСБ Росії. Так само є ряд уповноважених представників *, які можуть сертифікувати програмне забезпечення (ПО). Згідно з вимогами нормативних документів, використання сертифікованих засобів захисту інформації обов'язково у всіх інформаційних системах обробки персональних даних з 1-го по 3-й клас включно (Всі робочі станції і сервери з обробки персональних даних).

Процедура сертифікації програмного забезпечення

Процедура сертифікації ПО необхідна в двох випадках:
  1. сертифікація розробниками за власним бажанням (Цілі сертифікації можуть бути різними);
  2. обов'язкова сертифікація програмного забезпечення (Якщо ПЗ обробляє дані, втрата / витік яких може завдати шкоди / збитків приватним особам, компаніям, державним і іншим структурам).
Повідомлення про обробку персональних даних і, відповідно, використання сертифікованих засобів захисту інформації не обов'язково в разі:
  • захисту персональних даних суб'єктів, з якими у оператора є трудові відносини (наприклад, кадровий відділ в рамках одного юридичної особи);
  • дані використовуються для виконання договору з Суб'єктом персональних даних (наприклад, Договору надання послуг та ін.);
  • персональні дані є знеособленими (тобто відсутня можливість точно ідентифікувати суб'єкта персональних даних, наприклад вага, зріст, дата народження та ін. параметри, не прив'язані до якихось унікальним ідентифікаторів (Паспорт, ІПН та ін.));
  • персональні дані є загальнодоступними (тобто дані, які визначені загальнодоступними даними або іншими законами, наприклад дані про кандидатів на виборні посади та ін.).

Сертифіковане ПО (вимоги з безпеки)

  • ПО, що минув перевірку відповідності в Системі сертифікації засобів захисту інформації за вимогами державних стандартів і нормативних документів щодо захисту інформації ФСТЕК Росії і ФСБ Росії, що підтверджується Сертифікатом відповідності.
  • Копія сертифіката відповідності (завірена печаткою заявника) повинна входити в комплект поставки сертифікованого ПЗ;
ПО, дистрибутив, якого відповідає еталонному примірнику, піддають сертифікаційних випробувань, що підтверджується відповідними записами в супровідній документації на сертифіковане ПО (формулярі), і спеціальним голографічним знаком відповідності з унікальним номером, який ідентифікує даний екземпляр в системі державного обліку сертифікованих продуктів.
  • Верифікований дистрибутив ПЗ, формуляр із зазначенням контрольної суми дистрибутива і спеціальний голографічний знак відповідності повинні входити в комплект поставки сертифікованого ПЗ;
ПО, механізми захисту розгорнутої версії якого налаштовані відповідно до сертифікованими параметрами. ПО сертифікується на відповідність технічним документам (РД, ТУ або ЗБ) і з параметрами, зазначеними в цій документації.
  • Комплект поставки сертифікованого ПО повинен включати в себе документацію та матеріали для настройки ПО відповідно до сертифікованими параметрами, наведеними в технічній документації;
ПО, все доопрацювання (поновлення) якого, критичні для безпеки, піддаються сертифікаційних випробувань, і доводяться до кінцевого користувача. При випуску оновлень і виправлень в системі безпеки сертифікованого продукту виробник зобов'язаний надати поновлення на сертифікацію і довести інформацію до споживача.
  • Комплект поставки сертифікованого ПО повинен включати в себе все необхідні інструменти для отримання споживачем оновлень безпеки;
ПО, контрольоване в процесі експлуатації. ПО повинно мати засоби контролю цілісності, обліку подій впровадження в ПО оновлень безпеки, контролю захищеності в процесі експлуатації. У споживача повинні бути механізми перевірки цілісності оновлень засобів захисту з використанням контрольних сум.
  • Комплект поставки сертифікованого ПО повинен включати в себе необхідні програмні засоби (Вбудовані або накладені), призначені для виконання даних вимог;
ПО, кожен сертифікований екземпляр , якого врахований в реєстрі сертифікованих продуктів. Виробник зобов'язаний маркувати засоби захисту і забезпечувати безперешкодний доступ посадових осіб органів, які здійснюють контроль за сертифікованими засобами захисту до облікової інформації.
  • Кожен екземпляр сертифікованого ПЗ супроводжується унікальними номерами, які ідентифікують засіб захисту відповідно до порядків, встановлених для даної системи сертифікації ** .

Завдання ФСТЕК і ФСБ

Основними завданнями ФСТЕК в сфері сертифікації ПЗ є:
  • реалізація в межах своєї компетенції державної політики в галузі забезпечення безпеки інформації в ключових системах інформаційної інфраструктури, протидії технічним розвідкам та технічного захисту інформації;
  • здійснення самостійного нормативно-правового регулювання питань:
  1. забезпечення безпеки інформації в ключових системах інформаційної інфраструктури;
  2. протидії технічним розвідкам;
  3. технічного захисту інформації.
  • здійснення в межах своєї компетенції контролю діяльності щодо забезпечення безпеки інформації в ключових системах інформаційної інфраструктури, з протидії технічним розвідкам і по технічний захист інформації в апаратах федеральних органів державної влади та органів державної влади суб'єктів Російської Федерації, у федеральних органах виконавчої влади, органах виконавчої влади суб'єктів Російської Федерації, органах місцевого самоврядування та організаціях ***;

Ліцензування ПЗ ФСБ Росії

Ліцензуванню, що здійснюється центром ФСБ Росії, підлягають:
  • діяльність, пов'язана з використанням відомостей, що становлять державну таємницю;
  • діяльність по здійсненню заходів і (або) надання послуг в області захисту державної таємниці;
  • діяльність, пов'язана зі створенням засобів захисту інформації ****;

Відомості про систему сертифікації програмного забезпечення

Всі дані про систему сертифікації засобів захисту інформації за вимогами безпеки можна знайти на офіційному сайті ФСТЕК *****.

сертифіковані продукти

На даний момент кількість сертифікованих продуктів налічує 3154 позиції ******. Практично всі ці продукти ви можете знайти на нашому сайті в розділі «

Політика конфіденційності персональних даних

Справжня Політика конфіденційності персональних даних (далі - Політика конфіденційності) діє відносно всієї інформації, яку сайт компанії КАСЛ, (далі - Сайт ТОВ «КАСЛ») розташований на доменному імені (а також його доменах), може отримати про Користувача під час використання сайту (а також його субдоменів), його програм та його продуктів.

визначення термінів
1.1 У цій Політиці конфіденційності використовуються такі терміни:
1.1.1. «Адміністрація сайту» (далі - Адміністрація) - уповноважені співробітники на управління сайтом компанії КАСЛ, що діють від імені ТОВ «КАСЛ», які організовують і (або) здійснюють обробку персональних даних, а також визначає цілі обробки персональних даних, склад персональних даних, які підлягають обробці, дії (операції), що здійснюються з персональними даними.
1.1.2. «Персональні дані» - будь-яка інформація, що стосується прямо або побічно певного, або визначається фізичній особі (суб'єкту персональних даних).
1.1.3. «Обробка персональних даних» - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних.
1.1.4. «Конфіденційність персональних даних» - обов'язкове для дотримання Оператором або іншим отримав доступ до персональних даних особою вимога не допускати їх поширення без згоди суб'єкта персональних даних або наявності іншого законного підстави.
1.1.5. «Сайт компанії КАСЛ» - це сукупність пов'язаних між собою веб-сторінок, розміщених в мережі Інтернет за унікальним адресою (URL):, а також його доменах.
1.1.6. «Субдомени» - це сторінки або сукупність сторінок, розташовані на доменах третього рівня, що належать сайту компанії КАСЛ, а також інші тимчасові сторінки, внизу який вказана контактна інформація Адміністрації
1.1.5. «Користувач сайту компанії КАСЛ» (далі Користувач) - особа, яка має доступ до сайту компанії КАСЛ, за допомогою мережі Інтернет і використовує інформацію, матеріали і продукти сайту компанії КАСЛ.
1.1.7. «Cookies» - невеликий фрагмент даних, відправлений веб-сервером і зберігається на комп'ютері користувача, який веб-клієнт або веб-браузер кожен раз пересилає веб-серверу в HTTP-запиті при спробі відкрити сторінку відповідного сайту.
1.1.8. «IP-адреса» - унікальний мережева адреса вузла в комп'ютерної мережі, Через який Користувач отримує доступ на Сайт ТОВ «КАСЛ».
Загальні положення 2.1. Використання сайту компанії КАСЛ Користувачем означає згоду з цією Політикою конфіденційності та умовами обробки персональних даних Користувача.
2.2. У разі незгоди з умовами Політики конфіденційності Користувач повинен припинити використання сайту компанії КАСЛ.
2.3. Справжня Політика конфіденційності застосовується до сайту компанії КАСЛ. Сайт ТОВ «КАСЛ» не контролює і не несе відповідальність за сайти третіх осіб, на які Користувач може перейти по посиланнях, доступним на сайті компанії КАСЛ.
2.4. Адміністрація не перевіряє достовірність персональних даних, що надаються Користувачем.

Предмет політики конфіденційності

3.1. Справжня Політика конфіденційності встановлює зобов'язання Адміністрації щодо нерозголошення та забезпечення режиму захисту конфіденційності персональних даних, які Користувач повинен за вимогою надати Адміністрації при реєстрації на сайті компанії КАСЛ, при підписці на інформаційну e-mail розсилку або при оформленні замовлення.
3.2. Персональні дані, дозволені до обробки в рамках цієї Політики конфіденційності, надаються Користувачем шляхом заповнення форм на сайті компанії КАСЛ і включають в себе наступну інформацію:
3.2.1. Ім'я користувача;
3.2.2. контактний телефон користувача;
3.2.3. адреса електронної пошти (E-mail)
3.3. Сайт ТОВ «КАСЛ» захищає Дані, які автоматично передаються при відвідуванні сторінок:
IP адреса
інформація з cookies
інформація про браузер
час доступу
реферер (адреса попередньої сторінки).
3.3.1. Відключення cookies може спричинити неможливість доступу до частин сайту, що вимагають авторизації.
3.3.2. Сайт ТОВ «КАСЛ» здійснює збір статистики про IP-адреси своїх відвідувачів. Дана інформація використовується з метою запобігання, виявлення і вирішення технічних проблем.
3.4. Будь-яка інша персональна інформація не обговорені вище (історія відвідування, використовувані браузери, операційні системи і т.д.) підлягає надійному зберіганню і нерозповсюдження, за винятком випадків, передбачених в п.п. 5.2. і 5.3. цієї Політики конфіденційності.

Цілі збору персональної інформації користувача

4.1. Персональні дані Користувача Адміністрація може використовувати в цілях:
4.1.1. Ідентифікації Користувача, зареєстрованого на сайті компанії КАСЛ для його подальшої авторизації, оформлення замовлення та інших дій.
4.1.2. Надання Користувачеві доступу до персоналізованих даними сайту компанії КАСЛ.
4.1.3. Встановлення з Користувачем зворотнього зв'язку, Включаючи напрямок повідомлень, запитів, що стосуються використання сайту компанії КАСЛ, надання послуг і обробки запитів і заявок від Користувача.
4.1.4. Визначення місця знаходження Користувача для забезпечення безпеки, запобігання шахрайства.
4.1.5. Підтвердження достовірності та повноти персональних даних, наданих Користувачем.
4.1.6. створення облікового запису для використання частин сайту компанії КАСЛ, якщо Користувач дав згоду на створення облікового запису.
4.1.7. Повідомлення Користувача по електронній пошті.
4.1.8. Надання Користувачеві ефективної технічної підтримки при виникненні проблем, пов'язаних з використанням сайту компанії КАСЛ.
4.1.9. Надання Користувачеві з його згоди спеціальних пропозицій, інформації про ціни, розсилки новин та інших відомостей від імені сайту компанії КАСЛ.
4.1.10. Здійснення рекламної діяльності за згодою Користувача.

Способи і терміни обробки персональної інформації

5.1. Обробка персональних даних Користувача здійснюється без обмеження терміну, будь-яким законним способом, в тому числі в інформаційних системах персональних даних з використанням засобів автоматизації або без використання таких засобів.
5.2. Користувач погоджується з тим, що Адміністрація має право передавати персональні дані третім особам, зокрема, кур'єрським службам, організаціями поштового зв'язку (в тому числі електронної), операторам електрозв'язку, виключно з метою виконання замовлення Користувача, оформленого на сайті компанії КАСЛ, включаючи доставку Товару, документації або e-mail повідомлень.
5.3. Персональні дані Користувача можуть бути передані уповноваженим органам державної влади Російської Федерації тільки на підставах та в порядку, встановленим законодавством Російської Федерації.
5.4. При втраті або розголошення персональних даних Адміністрація має право не інформувати Користувача про втрату або розголошення персональних даних.
5.5. Адміністрація вживає необхідних організаційних і технічних заходів для захисту персональної інформації Користувача від неправомірного або випадкового доступу, знищення, перекручення, блокування, копіювання, поширення, а також від інших неправомірних дій третіх осіб.
5.6. Адміністрація спільно з Користувачем вживає всіх необхідних заходів щодо запобігання збиткам або інших негативних наслідків, викликаних втратою або розголошенням персональних даних Користувача.

Права та обов'язки сторін

6.1. Користувач має право:
6.1.1. Приймати вільне рішення про надання своїх персональних даних, необхідних для використання сайту компанії КАСЛ, і давати згоду на їх обробку.
6.1.2. Оновити, доповнити надану інформацію про персональні дані в разі зміни даної інформації.
6.1.3. Користувач має право на отримання у Адміністрації інформації, що стосується обробки його персональних даних, якщо таке право не обмежене відповідно до федеральними законами. Користувач має право вимагати від Адміністрації уточнення його персональних даних, їх блокування або знищення в разі, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки, а також вживати передбачених законом заходів для захисту своїх прав.
6.2. Адміністрація зобов'язана:
6.2.1. Використовувати отриману інформацію виключно для цілей, зазначених у п. 4 цієї Політики конфіденційності.
6.2.2. Забезпечити зберігання конфіденційної інформації в таємниці, не розголошувати без попередньої письмової згоди Користувача, а також не здійснювати продаж, обмін, опублікування, або розголошення іншими можливими способами переданих персональних даних Користувача, за винятком п.п. 5.2 і 5.3. цієї Політики Конфіденційності.
6.2.3. Вживати заходів обережності для захисту конфіденційності персональних даних Користувача згідно з порядком, який зазвичай використовується для захисту такого роду інформації в існуючому діловому обороті.
6.2.4. Здійснити блокування персональних даних, що відносяться до відповідного Користувачеві, з моменту звернення або запиту Користувача, або його законного представника або уповноваженого органу з захисту прав суб'єктів персональних даних на період перевірки, в разі виявлення недостовірних персональних даних або неправомірних дій.

Відповідальність сторін

7.1. Адміністрація, яка не виконала свої зобов'язання, несе відповідальність за збитки, понесені Користувачем у зв'язку з неправомірним використанням персональних даних, відповідно до законодавства Російської Федерації, за винятком випадків, передбачених п.п. 5.2., 5.3. і 7.2. цієї Політики Конфіденційності.
7.2. У разі втрати або розголошення Конфіденційної інформації Адміністрація не несе відповідальність, якщо дана конфіденційна інформація:
7.2.1. Стала публічним надбанням до її втрати або розголошення.
7.2.2. Була отримана від третьої сторони до моменту її отримання Адміністрацією Ресурсу.
7.2.3. Була розголошена за згодою Користувача.
7.3. Користувач несе повну відповідальність за дотримання вимог законодавства РФ, в тому числі законів про рекламу, про захист авторських і суміжних прав, про охорону товарних знаків і знаків обслуговування, але не обмежуючись перерахованим, включаючи повну відповідальність за зміст і форму матеріалів.
7.4. Користувач визнає, що відповідальність за будь-яку інформацію (в тому числі, але не обмежуючись: файли з даними, тексти і т. Д.), До якої він може мати доступ як до частини сайту компанії КАСЛ, несе особа, яка надала таку інформацію.
7.5. Користувач погоджується, що інформація, надана йому як частина сайту компанії КАСЛ, може бути об'єктом інтелектуальної власності, права на який захищені і належать іншим Користувачам, партнерам або рекламодавцям, які розміщують таку інформацію на сайті компанії КАСЛ.
Користувач не має права вносити зміни, передавати в оренду, передавати на умовах позики, продавати, розповсюджувати або створювати похідні роботи на основі такого Змісту (повністю або в частині), за винятком випадків, коли такі дії були письмово прямо дозволені власниками такого Змісту відповідно до умовами окремої угоди.
7.6. У відношення текстових матеріалів (статей, публікацій, які перебувають у вільному публічному доступі на сайті компанії КАСЛ) допускається їх поширення за умови, що буде дано посилання на Сайт ТОВ «КАСЛ».
7.7. Адміністрація не несе відповідальності перед Користувачем за будь-який збиток або збиток, понесений Користувачем в результаті видалення, збою або неможливості збереження будь-якого Змісту та інших комунікаційних даних, що містяться на сайті компанії КАСЛ або переданих через нього.
7.8. Адміністрація не несе відповідальності за будь-які прямі або непрямі збитки, які сталися через: використання або неможливості використання сайту, або окремих сервісів; несанкціонованого доступу до комунікацій Користувача; заяви або поведінку будь-якої третьої особи на сайті.
7.9. Адміністрація не несе відповідальність за будь-яку інформацію, розміщену користувачем на сайті компанії КАСЛ, включаючи, але не обмежуючись: інформацію, захищену авторським правом, без прямої згоди власника авторського права.

Вирішення суперечок

8.1. До звернення в суд з позовом у спорах, що виникають із відносин між Користувачем і Адміністрацією, обов'язковим є пред'явлення претензії (письмового пропозиції або пропозиції в електронному вигляді про добровільне врегулювання спору).
8.2. Одержувач претензії протягом 30 календарних днів з дня отримання претензії, письмово або в електронному вигляді повідомляє про це заявника претензії про результати розгляду претензії.
8.3. При не досягненні угоди суперечка буде переданий на розгляд арбітражного суду м Москва.
8.4. До цій Політиці конфіденційності та відносин між Користувачем і Адміністрацією застосовується чинне законодавство Російської Федерації.

Додаткові умови

9.1. Адміністрація має право вносити зміни в справжню Політику конфіденційності без згоди Користувача.
9.2. Нова Політика конфіденційності вступає в силу з моменту її розміщення на сайті компанії КАСЛ, якщо інше не передбачено новою редакцією Політики конфіденційності.
9.3. Всі пропозиції або питання щодо цієї Політики конфіденційності слід повідомляти за адресою: [Email protected]сайт
9.4. Діюча Політика конфіденційності розміщена на сторінці за адресою
Оновлено: 06 Апреля 2018 року
Головний офіс в м Москва, ТОВ «КАСЛ», Бутирський вал 5 Представництво в м Санкт-Петербург, ТОВ «КАСЛ», Ленінський проспект 160