Старые требования на новый лад

Давно известно, что ожидание определенного события порой имеет более сильный эффект, чем само событие.

Давно известно, что ожидание определенного события порой имеет более сильный эффект, чем само событие. Эффект от ожидания усиливается многократно, если важных событий несколько, а те, от кого зависит их наступление, создают и постоянно поддерживают напряженный «информационный фон», однако события не торопят.

Операторы персональных данных (ПДн) уже более полутора лет живут в таких условиях с момента вступления в силу новой редакции 152-ФЗ. Тема персональных данных регулярно выплывает на ТВ, в интернет-СМИ и блогах. Государственные регуляторы (Роскомнадзор, ФСТЭК и ФСБ) периодически «скармливают» общественности новые проекты своего нормотворчества. Масла в огонь подливают высказывания представителей Совета Федерации и Государственной Думы о том, что эти законодательные органы «вот-вот» займутся очередными «правками» и без того многострадального 152-го ФЗ.

Но жизнь не стоит на месте, и ПДн нужно защищать даже в условиях отсутствия полного набора подзаконных актов. Автору регулярно приходят письма от читателей, практически с одними и теми же вопросами: как выполнить требования того, чего пока нет, исходя из того, что уже есть или еще осталось?

Уведомить нельзя не уведомить

Театр, как известно, начинается с вешалки, а оператор ПДн — с «уведомления о намерении осуществлять обработку»: именно так записано в ст. 22 152-ФЗ. Согласно статистике число операторов, подпадающих под ч. 2 ст. 22, не так велико, и потому уполномоченный орган (Роскомнадзор) рассылает суровые, получившие в народе название «письма счастья» о непредоставлении операторами сведений, предусмотренных ч. 3 ст. 22 ст. 152-ФЗ.

Многие операторы, получив такое письмо, не понимают, о чем идет речь — ведь они уже подавали уведомление. Дело в том, что форма уведомления в новой редакции 152-ФЗ претерпела изменения: теперь необходимо указывать описание мер, предусмотренных ст. 18.1 и 19 152-ФЗ, сведения о лицах, ответственных за организацию обработки ПДн, о трансграничной передаче ПДн и об обеспечении безопасности ПДн в соответствии с требованиями к защите, установленными Правительством РФ.

Согласно ст. 25 недостающую в ранее поданном уведомлении информацию нужно было предоставить в Роскомнадзор до 01.01.2013 года, и с этим не было бы проблем, если бы не «требования, установленные Правительством РФ». С 27 ноября 2007 года эти требования успешно устанавливало постановление Правительства № 781 но, как известно, «новая» редакция 152-ФЗ привнесла иные подходы к обеспечению безопасности ПДн, во многом несовместимые с ПП-781. Постановление Правительства за номером 1119, устанавливающее требования, соответствующие «новому» законодательству и отменяющие «старое» ПП-781, вышло только 01.11.2012 года, а нормативные документы, раскрывающие состав и содержание этих требований, до сих пор в разработке. Получается своего рода парадокс: закон обязывает подать уведомление, но что в нем писать — пока не установлено.

Есть и второй парадокс. Дело в том, что форма подачи уведомлений, установленная Приказом Роскомнадзора № 706 от 19.08.2011 г., по-прежнему оперирует «старыми» понятиями вроде «класса информационной системы», хотя приказ № 55/86/20 от 13.02.2008, утверждавший порядок проведения классификации, равно как и приказ ФСТЭК РФ № 58, утверждавший «Положение о методах и способах...» защиты ПДн, отменены вместе с ПП-781. Не верите? Посмотрите текст самих приказов: первый разработан «в соответствии с пунктом 6», второй — «в соответствии с пунктом 3» ПП-781.

Тем не менее до 1 ноября 2012 года и «классификация», и «приказ № 58» формально действовали, операторы продолжали по ним «жить», а регуляторы не гнушались проверять выполнение указанных в них требований. Именно поэтому некоторые юристы полагают, что тем, у кого информационная система была построена в соответствии со старой нормативной базой, ничего менять не придется: закон, по их мнению, обратной силы не имеет. К такому же мнению, видимо, склоняется и Роскомнадзор, оставивший возможность указания (или не указания) классов в уведомлении.

Как следует поступить оператору, получившему «письмо счастья»? Операторам, ранее не предоставлявшим уведомление, придется составить новый документ (это можно сделать на сайте Роскомнадзора http://www.pd.rsoc.ru/operators-registry/notification/form/), содержащий все необходимые сведения. Операторам, уже предоставившим уведомление, оформлять новое не нужно: необходимо составить «информационное письмо о внесении изменений в уведомление», указав дату его первой подачи и регистрационный номер оператора (можно найти на сайте Роскомнадзора http://www.rsoc.ru/personal-data/register/). В этом письме необходимо указать только сведения, установленные пунктами 5, 7.1, 10 и 11 ч. 3 ст. 22 152-ФЗ.

При заполнении «проблемного» пункта 11, описывающего «требования, установленные Правительством», оператору предоставляются на выбор два варианта: либо указать класс ИСПДн и перечислить требования, реализованные в соответствие со «старой» нормативной базой (только для ИСПДн, введенных в эксплуатацию до 01.11.12), либо перечислить то, что указано в п.п. А-В п. 13 постановления Правительства № 1119. Оператор в любом случае обязан выполнять требования, установленные для минимального (4) уровня защищенности, и, поскольку Роскомнадзор проверяет соответствие сведений, указанных в уведомлении, тому, что реально сделано, никакого нарушения не будет — то, что оператор делает «сверх» заявленного идет ему «в плюс». «Автор, как же так? — спросите вы. — А как быть с остальными уровнями защищенности?» Об этом мы поговорим чуть позже, а сейчас...

Полная автоматизация

Читатели, возможно, помнят, сколько копий было поломано во времена «старого» Закона вокруг «автоматизированной» (регулируемой ПП-781) и «неавтоматизированной» (регулируемой постановлением Правительства № 687 от 15.09.2008 г.) обработки ПДн. Отнесение определенных процессов, использующих средства вычислительной техники, к «неавтоматизированной» обработке позволяло «изворотливому» оператору сэкономить уйму денег на создание системы защиты и обойтись только организационными, не отягощающими бюджет, мерами.

Об этом прекрасно знали регуляторы и, видимо, для исключения «двойных толкований», добились внесения в ч. 3 новой редакции 152-ФЗ определения автоматизированной обработки: теперь таковой считается «обработка с использованием средств вычислительной техники». Но стало ли от этого легче, и если да — то кому?

Согласно п. 1 ПП-687, фактически единственного оставшегося в «добром здравии» документа «старой формации», обработка ПДн, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.

Определение ИСПДн дается в той же ст. 3 152-ФЗ: это совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств. Само определение является сокращенным вариантом того, что было приведено в п. 1 ПП-781, с небольшим исключением: в «новой» редакции Закона была «отрезана» фраза «позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации». ПП-1119 обилием слов тоже не отличается: как следует из п. 1, он «устанавливает требования к защите ПДн при их обработке в ИСПДн». И все — ни слова об «автоматизации» или «автоматизированной обработке»!

Учитывая размытость определения «базы данных», приведенного в ч. 2 ст. 1260 Гражданского Кодекса РФ, под него, разве что, не подпадает компьютер, используемый в качестве печатной машинки, без функций поиска. Получается, что «фокус» с неавтоматизированной обработкой у «хитрых» операторов больше «не пройдет»: для ПДн, обрабатываемых в ИСПДн, будьте добры выполнить требования ПП-1119, для ПДн, извлеченных из этой ИСПДн, — требования ПП-687, для биометрических ПДн — требования постановления Правительства № 512 (п. 3 ч. 3, ч. 10 152-ФЗ), а если вы государственный или муниципальный орган — еще и требования постановления Правительства № 211 от 21.03.2012 года (ч. 3 ст. 18.1 152-ФЗ). Такая вот, понимаете, конструкция.

Концепция моделирования

Как уже говорилось выше, пункт 6 канувшего в Лету ПП-781 предписывал проводить классификацию ИСПДн. В зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства, все ИСПДн делились на два вида: типовые (с классами с 1 по 4) и специальные. Тем, кто хоть раз проводил классификацию, должно быть хорошо известно, что ни о каких «угрозах безопасности интересам личности» в нормативной документации для этого процесса речи не велось. «Типовые» информационные системы классифицировались на основании «исходных данных», по сути, отражавших технические характеристики ИСПДн. Классификация «специальных» ИСПДн воспринималась многими как «шаманство»: разработка «модели угроз» по методикам ФСТЭК позволяла понижать класс специальной ИСПДн относительно типовой, рассчитанной по аналогичным параметрам, и корифеи моделирования многократно проворачивали этот трюк.

Вопросы «угроз безопасности жизненно важных интересов» в «методике определения актуальных угроз безопасности ПДн при их обработке в ИСПДн», разработанной ФСТЭК в 2008 году, также не рассматривались. Угрозы были чисто техническими, а их актуальность определялась двумя показателями: опасностью и возможностью возникновения. Последний показатель зависел от технических характеристик, определявших так называемый «уровень исходной защищенности» ИСПДн. С выходом ПП-1119 и отменой ПП-781, «методические рекомендации» ФСТЭК по той же причине, что и приказ № 58, утратили свою актуальность (см. введение к документу), чего нельзя сказать о моделировании угроз в целом.

Что несет в себе новая концепция моделирования? Во-первых, новое определение «актуальной угрозы»: фактически это старая «угроза безопасности» из методических рекомендаций ФСТЭК (перетекшая в ч. 11 ст. 19 152-ФЗ), создающая «актуальную» опасность вместо обычной. Во-вторых, новый метод использования ранее известного понятия «уровень защищенности» (УЗ) вместо «класса ИСПДн». Теперь «УЗ» — это не «исходный», а «требуемый» — тот, который оператор должен обеспечить путем реализации соответствующих мер (та же ч. 11 ст. 19 152-ФЗ).

Есть и сходство: уровней защищенности, как и классов, по-прежнему четыре и определяются они по параметрам, частично схожим с параметрами для классификации типовых ИСПДн. Основная «новелла» заключается в параметре «тип актуальной угрозы», который необходимо определить путем «шаманского» (видимо, без этого моделирование угроз невозможно в принципе) соотнесения двух величин.

Первая величина — оценка возможного вреда, проведенная в соответствии с п. 5 ч. 1 ст. 18.1 152-ФЗ и с нормативными правовыми актами, принятыми во исполнение ч. 5 ст. 19 152-ФЗ. При анализе первой ссылки становится понятно, что речь идет о вреде, который может быть причинен субъектам ПДн в случае нарушения оператором 152-ФЗ. Кроме того, оператор должен сопоставить оцененный им вред и принимаемые меры для выполнения обязанностей, предусмотренных законодательством. Закон не говорит, для чего именно это нужно, но вывод очевиден: чтобы принять решение об экономической целесообразности различных защитных мер и выбрать наиболее адекватные по соотношению стоимость/эффективность, для чего нужно всего лишь разработать модель угроз!

Однако анализ ч. 5 и 6 ст. 19 152-ФЗ «сбивает» эйфорию: во-первых, в Законе в явном виде сказано только об актуальных угрозах, определяемых федеральными органами исполнительной власти, органами государственной власти субъектов Российской Федерации, Банком России, органами государственных внебюджетных фондов и иными государственными органами в пределах своих полномочий. Исходя из контекста ч. 5 и 6 ст. 19 получается, что актуальные угрозы из ч. 5 являются «основными», в ч. 6 ассоциации, союзы и иные объединения операторов определяют угрозы «дополнительные», и ровным счетом ничего не сказано о том, должен ли сам оператор что-то моделировать. Возникает очередной парадокс: требования к определению актуальных угроз есть, но методика их определения, равно как и перечни актуальных угроз, установленные ч. 5 и 6 ст. 19 152-ФЗ, отсутствуют!

Как быть оператору? Эксперты склоняются к следующему мнению (и регуляторы неявно, но поддерживают): если законодатель в явном виде не запрещает оператору определять актуальные угрозы, значит, ничто не мешает ему сделать это самостоятельно путем традиционного «моделирования», тем более в отсутствие нормативных актов, указанных в предыдущем абзаце. И все бы ничего, если бы не самая главная «новелла» — вторая величина параметра «тип актуальной угрозы» под названием «угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном (прикладном) программном обеспечении, используемом в информационной системе», сокращенно НДВ.

Декларированные невозможности

Принято считать, что официальная история отечественного термина НДВ начинается в 90-х годах прошлого века — с момента выхода руководящего документа (РД) ФСТЭК РФ с длинным названием «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия НДВ». Именно там приведено наиболее часто употребляемое определение НДВ, позднее «перетекшее» в ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения». Согласно РД под НДВ следует понимать «функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации».

Некоторые эксперты склонны полагать, что понятия «НДВ» и «уязвимости ПО» тождественны, однако это не совсем так: наличие НДВ может являться причиной появления уязвимости, создающей связанную с НДВ угрозу. Следует помнить также, что прикладное и системное ПО не работает само по себе — оно является частью ИС, и потому наличие НДВ создает предпосылки к появлению «слабостей» (ГОСТ Р ИСО 7498-2-1999) или «брешей» (ГОСТ Р 50922-2006) как новых «свойств» ИС. Таким образом, не каждое НДВ может создать угрозу уязвимости ИС и не каждая уязвимость ИС является следствием НДВ в ПО.

Профессионалы в области разработки ПО все как один твердят: полностью избавиться от НДВ в ПО невозможно. Ни один из методов, включая «безопасное» проектирование, контроль исходного кода и среды функционирования не дает 100%-ной гарантии их отсутствия. Помимо этого, среди всего многообразия НДВ нужно выделить только те, что создают «связанные угрозы» для конкретной среды эксплуатации, а значит, задача серьезно усложняется. Для «близкого к идеальному» результату, помимо «общего» контроля отсутствия НДВ, необходимо еще проводить контроль «частный», применительно к каждой ИС — а это, по понятным причинам, не в состоянии сделать ни один оператор ПДн.

Если оператор достоверно не знает о наличии НДВ в системном и прикладном ПО, а разработчики не дают 100%-ной гарантии их отсутствия, значит, все ИСПДн попадают в 1-й уровень защищенности? Вовсе нет. Прежде всего, следует помнить, что бороться нужно не с наличием НДВ, а с угрозами, связанными с их наличием, понижая вероятность их реализации до приемлемого уровня. Угроза реализуется через уязвимости ИС, следовательно, комплексное обеспечение безопасности ИСПДн в общем и наличие процесса управления уязвимости в частности (включая управление жизненным циклом ПО, patch management, pentesting и т. д.) способно комплексно снизить вероятность реализации угроз ИС, в том числе создаваемых НДВ.

Кроме того, в соответствии с п.п. «Г» п. 13 ПП-1119 одной из мер, предлагаемых оператору для снижения вероятности актуальных угроз, в том числе связанных с НДВ, является «использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации». Речь идет, прежде всего, о сертификации СЗИ но, исходя из формулировки указанного пункта, оператор самостоятельно принимает решение о необходимости использования им сертифицированных средств защиты информации.

Возвращаясь к предыдущей главе, стоит отметить один важный момент: для выбора нужного типа в соответствии с ПП-1119, оператор должен обосновать актуальность угроз, связанных с наличием НДВ, путем разработки модели угроз. Для этого, профессионалы «моделирования» рекомендуют оператору экспертным путем определить три параметра: ценность информации для потенциального злоумышленника (производная от возможного вреда субъекту), квалификацию злоумышленника и его технические возможности, и соотнести их с полнотой и качеством организационных и технических мероприятий, предпринимаемых для борьбы с уязвимостями.

И вот здесь возникает последний на сегодня «шаманский» парадокс. Предположим, некий бессовестный оператор обрабатывает сведения о состоянии здоровья 100000 граждан РФ, смело пользуется нелицензионным ПО с «кряками», ни о какой антивирусной защите не идет и речи, а база данных размещена на публичном компьютере в интернет-кафе. Конечно же, такой случай подпадает под УЗ-2 или даже УЗ-1, со всеми вытекающими последствиями. Но вдруг оператору скромно намекнули на то, что он не прав, тот образумился, перешел на лицензионное ПО от официального поставщика, приобрел комплексное решение для защиты рабочих станций, настроил пароли, «прибрал» базу данных — словом, сделал все то, что нужно для УЗ-3. Затем оператор разрабатывает модель угроз, в которой показывает, что принятых мер достаточно для признания угроз, связанных с наличием НДВ, неактуальными, и спокойно «живет» себе на 3 уровне защищенности, вместо...

Вместо злоключения

Хоть и не без иронии, автор статьи со сдержанным оптимизмом отмечает определенные улучшения в сфере защиты набивших оскомину персональных данных. Увеличивая штрафы за несоблюдение законодательства, правительство и некоторые регуляторы идут по пути пусть и не явной, но либерализации требований для негосударственного сектора и наведения порядка в «своей епархии». Проект постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки ПДн требованиям 152-ФЗ», четко определяющий границы области контроля Роскомнадзора в этой сфере — хороший тому пример. Сюда же следует отнести и проекты документов от ФСТЭК, устанавливающие «требования к защите информации в государственных информационных системах» и «состав и содержание организационных и технических мер по обеспечению безопасности ПДн», а также привлечение экспертного сообщества для их разработки.

К огромному сожалению, автор ровным счетом ничего не может сказать о третьем регуляторе — ФСБ, просто потому, что нормотворческая деятельность этой службы никогда не отличалась открытостью. Остается только надеяться, что регулятор учтет общий «тренд» при разработке своей части нормативной базы, но, как говорится, поживем — увидим, тем более что ждать, судя по всему, осталось не так уж долго.

Журнал IT Manager

Опубликовано 26.03.2013

Безопасность Внешние угрозы

Предыдущая
Нужны ли банкам танки?

Следующая
Про уязвимый код и картонные бронежилеты

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30