Подсистема «Логическое разграничение доступа» — Документация ИСТИНА (руководство пользователя) RU.2067089.4041701-03 32 01
Этот подраздел посвящен описанию подсистемы логического разграничения доступа к данным ИАС «ИСТИНА».
Права и обязанности ответственных по организациям и подразделениям
Каждый из пользователей ИАС «ИСТИНА» самостоятельно вносит в систему информацию о своих результатах научно исследовательской деятельности, и имеет права редактировать информацию, внесенную в систему им самим. В ряде случаев, однако, необходимо вмешательство пользователей, имеющих особые права доступа для исправления ошибок, допущенных пользователями в процессе добавления информации. Примером такой ошибки может быть указание в качестве соавтора статьи не того сотрудника, либо дублирование статьи в результате ее внесения сразу двумя соавторами. Исправлением таких ошибок в системе занимается выделенная категория пользователей, называемых ответственными по подразделению. Эти пользователи имеют полные права доступа ко всем результатам научно-исследовательской деятельности сотрудников подконтрольных им подразделений.
- Ответственный за сопровождение общей информации. Данный пользователь имеет право редактировать все результаты научно исследовательской деятельности сотрудников подконтрольного ему подразделения, а также выдавать административные полномочия в рамках подразделения другим пользователям. Пользователь, связанный с подразделением этим отношением, также имеет все права доступа в рамках данного подразделения, указанные для других видов ответственных.
- Ответственный за подтверждение должностей сотрудников.
- Ответственный за сопровождение информации по научному отчету подразделения.
- Ответственный за редактирование смет научно-исследовательских работ. Данный сотрудник имеет право редактировать сметы всех научно-исследовательских проектов, ассоциированных с подконтрольным ему подразделением.
- Ответственный за подсчет персональных рейтингов сотрудников.
- Ответственный за сопровождение информации по конкурсам на замещение вакантных должностей.
- Ответственный за сопровождение информации по конкурсам работников и
научных проектов.
Данная роль пользователей будет добавлено в системе при ее дальнейшей
доработке. В настоящее время только администраторы системы имеют право
добавлять в систему новые конкурсы и редактировать права доступа к
существующим.
- Ответственный за сопровождение информации по диссертационным советам.
- Ответственный за сопровождение информации по оборудованию. Данный пользователь имеет право редактировать все учетные записи научных приборов, относящихся к подконтрольному ему подразделению. Следует заметить, что существует также возможность назначения ответственных за сопровождение информации отдельно для определенного прибора.
- Ответственный за создание конкурсов на замещение вакантных должностей. Данная роль пользователя в настоящее время является глобальной, то есть дает пользователю соответствующие полномочия в рамках всех зарегистрированных в системе организаций. В перспективе планируется изменить данное правило таким образом, чтобы роль ответственного за создание новых конкурсов могла быть ассоциирована отдельно с каждой из зарегистрированных в системе организаций. При этом назначение ответственного за создание конкурсов в рамках отдельных подразделений по прежнему будет невозможно.
Инструкция по управлению доступом к объектам ИАС «ИСТИНА»
Назначение ответственных по подразделениям
Система предоставляет два способа назначения ответственных по подразделению. Один из этих способов заключается в использовании специально разработанной для этой цели страницы и является более удобным. Для пользователей, обладающих административными привилегиями в системе также возможно добавление ответственных по подразделениям с использованием механизмов администрирования, встроенного в библиотеку Django, используемую ИАС «ИСТИНА» в качестве «слоя-посредника» при обращении к базе данных системы. Второй способ предоставляет несколько больше возможностей для управления полномочиями пользователей, однако требует использования значительно менее дружественного интерфейса. Для большинства задач по управлению полномочиями пользователей ИАС «ИСТИНА» предпочтительным является использование интерфейса, разработанного специально для этой системы. В настоящем разделе инструкции рассматриваются способы управления доступом к объектам системы с использованием приложения, разработанного специально для нее.
Для назначения пользователя ответственным по подразделению необходимо
войти на страницу управления правами доступа, находящуюся по адресу https://istina.msu.ru/unified_permissions
, после чего выбрать
пункт «назначить ответственного по подразделению». После этого появится
экран назначения ответственных по подразделению, представленный на
рисунку 177. Заметим, что в
графу «пользователь» необходимо ввести полное имя пользователя, а не
имя, используемое для входа в систему (логин). После ввода в данное поле
нескольких первых символов фамилии пользователя появится возможность
выбрать пользователя из выпадающего списка. Затем необходимо указать
подразделение, для которого пользователь должен быть назначен
ответственным. Каждый пользователь имеет право назначать новых ответственных
по подразделениям, для которых сам является ответственным.
Рис. 177 Диалог добавления ответственного по подразделению
Далее необходимо ввести контактную информацию ответственного, которая необходима сотрудникам данного подразделения в случае необходимости обращения к ответственному по вопросам, связанным с системой. Среди этих сведений можно указать адрес электронной почты и рабочий телефон.
Кроме того, при добавлении нового ответственного необходимо указать начальную и конечную даты срока действия его полномочий. Поля для ввода этих дат находятся внизу экрана, как показано на рисунке 177.
Выдача разрешений в рамках подразделения
В пределах достаточно больших организаций и подразделений имеет смысл разделение полномочий ответственных пользователь не только между подразделениями, но и между разными сферами ответственности в рамках одного подразделения. Например, может иметь смысл выделение отдельных пользователей, ответственных за формулу расчета персональных рейтингов сотрудников, отдельных пользователей, ответственных за сопровождение информации о научном оборудовании подразделения и отдельных пользователей, обязанностью которых является исправление ошибок при добавлении сотрудниками своих результатов научно-исследовательской деятельности. Такие ошибки возможны, например, если статья будет добавлена в систему сразу двумя соавторами, один из которых допустит опечатку в ее названии.
При этом в системе окажется две учетные записи одной и той же статьи.Таким образом, может возникнуть необходимость предоставить пользователю
некоторые права доступа к объектам в рамках определенного подразделения,
не предоставляя ему полных прав ответственного по этому подразделению.
Для этого в системе предусмотрено несколько различных видов отношений между
пользователем и подразделением, каждое из которых дает свои права доступа
к результатам научно-исследовательской деятельности сотрудников этого
подразделения. Для этого на странице управления правами доступа, находящейся
по адресу https://istina.msu.ru/unified_permissions
, необходимо нажать
на ссылку «добавить разрешение в рамках подразделения» после этого на
экран будет выведено диалоговое окно, представленное на рисунке
178.
Рис. 178 Диалог добавления разрешения в рамках подразделения
- Отдел кадров (подтверждение должностей).
- Доступ к заявлениям на конкурс замещения должностей. Данное разрешение означает назначение ответственного за сопровождение конкурсов на замещение вакантных должностей, полномочия которого рассматриваются в соответствующем разделе настоящей инструкции. В настоящее время ответственный по подразделению не имеет права самостоятельно предоставлять доступ к заявлениям на конкурс замещения должностей в рамках подразделения. Это решение связано с тем, что предоставление этого вида доступа должно согласовываться с Ученым советом МГУ. В данный момент только разработчики системы имеют право предоставлять этот вид доступа.
- Может подтверждать достижения.
- Может подтверждать персональные отчеты.
- Может подтверждать проекты.
- Ответственный за оборудование. Данное разрешение влияет на права доступа пользователя к научному оборудованию, ассоциированному с подразделением. Управление правами доступа к оборудованию рассматривается в соответствующем разделе настоящей инструкции.
- Может просматривать годовой отчет.
- Может просматривать персональные рейтинги. Данное разрешение влияет на права доступа пользователя к ассоциированным с подразделением формулам для расчета персональных рейтингов сотрудников подразделение и дает право просматривать рейтинги сотрудников. Управление правами доступа к персональным рейтингам сотрудников описано в соответствующем разделе настоящей инструкции.
- Может редактировать сметы всех НИР.
Управление доступом к отдельным объектам в рамках подразделения
Управление доступом к диссертационным советам
Каждый из диссертационных советов, информация о которых хранится в системе, ассоциирован с определенной организацией или подразделением. Ответственные за сопровождение информации в рамках подразделения имеют право редактировать ассоциированные с ним советы. Для МГУ существует выделенная роль пользователя, являющегося ответственным за сопровождение информации по диссертационным советам. Для других организаций в настоящее время обязанности ответственного по диссертационным советам выполняет ответственный за сопровождение общей информации об организации и подразделению. Для подразделений МГУ обязанности ответственного за диссертационный советы исполняет либо ответственный за диссертационные советы по МГУ, либо ответственный за сопровождение общей информации по подразделению в целом.
Список всех диссертационных советов, связанных с подразделением, представлен на главной странице этого подразделения. При нажатии ответственным по подразделению на номер совета на экране появится меню управления советом, представленное на рисунке 179. Ответственный по подразделению имеет право добавлять и удалять членов совета, некоторые из которых также имеют право редактирования совета, хотя и не имеют особых прав доступа к другим диссертационным советам в рамках подразделения и прочим связанным с подразделением объектам. Для того, чтобы добавить нового члена совета, необходимо нажать на ссылку «добавить членство», выделенную на рисунке рисунке 179. После этого необходимо указать имя члена совета, его специальность и должность в совете. От должности пользователя в совете зависят права доступа нового члена совета к этому совету. Должность пользователя в совете может быть одной из следующих.
- Член совета.
- Ученый секретарь.
- Заместитель председателя.
- Председатель.
Для того, чтобы изменить должность одного из членов совета, либо удалить членство в совете, необходимо нажать на имя соответствующего сотрудника в списке членов совета.
Рис. 179 Диалог редактирования диссертационного совета
Таким образом, особые права доступа к диссертационному совету имеют пользователи следующих категорий.
- Администратор системы.
- Ответственный по подразделению, с которым ассоциирован совет, его родительскому подразделению или организации.
- Член совета.
- Ученый секретарь.
- Заместитель председателя.
- Председатель.
Администратор системы и ответственный по подразделению, с которым ассоциирован диссертационный совет, имеют право указывать ученого секретаря совета и обладают всеми правами доступа, перечисленными в настоящей инструкции для ученого секретаря совета.
Ученый секретарь диссертационного совета имеет следующие права доступа к учетной записи совета и связанных с ним объектов.
- Право редактировать состав диссертационного совета.
- Право редактировать информацию об отдельных членах диссертационного совета, включая не зарегистрированных как пользователи ИАС «ИСТИНА».
- Право добавлять результаты научно-исследовательской деятельности членов диссертационного совета.
- Право создавать и редактировать учетные записи диссертаций, защищенных в данном совете, а также удалять сведения о связи с диссертациями, ошибочно внесенными в систему как защищенные в данном совете.
Председатель и заместитель председателя совета не имеют особых прав доступа к учетной записи совета. Их должности могут учитываться при других аспектах работы системы – например, иметь больший вес при подсчете персональных рейтингов.
Управление доступом к научному оборудованию
Помимо информации о результатах научно-исследовательской деятельности, ИАС «ИСТИНА» хранит информацию об имеющемся у организации научном оборудовании. Зарегистрированное в системе оборудование ассоциировано с определенным структурным подразделением, и редактирование информации о научном оборудовании доступно ответственным по данному подразделению и пользователю, обладающему разрешением «ответственный за оборудование» в рамках подразделения. Процедура предоставления пользователем данного разрешения представлена в соответствующем разделе настоящей инструкции. Ответственный за сопровождение информации о научном оборудовании имеет следующие обязанности.
- Подтверждение сведений о научном оборудовании подразделения.
- Создание страниц новых комплексов научного оборудования.
- Назначение ответственных за сопровождение информации о новых комплексах научного оборудования.
Далее описано, какие права доступа, необходимые для выполнения перечисленных функций, имеет ответственный за оборудование в рамках подразделение. Заметим, что права доступа к объектам системы, предоставляемые ответственному за оборудование в рамках подразделения, предоставляются также и «общему» ответственному по подразделению.
Помимо ответственного за оборудование в рамках подразделения, система предусматривает назначение пользователей ответственными за сопровождение информации по определенному оборудованию. Такие пользователи имеют право редактировать информацию об определенном комплексе оборудования, но не имеют особых прав доступа к другим комплексам оборудования того же подразделения, либо к другим объектам, относящимся к подразделению.
Ответственный по подразделению имеет право назначения ответственных за конкретные комплексы оборудования, ассоциированные с данным подразделением. Для этого на главной странице подразделения необходимо перейти по ссылке «научное оборудование подразделения», после чего выбрать из списка комплекс, для которого требуется назначить ответственного. В правом верхнем углу страницы научного комплекса имеется гиперссылка «редактировать». После нажатия на нее, на появившейся странице редактирования атрибутов научного комплекса можно перейти к вкладке «ответственные», представленной на рисунке 180. Таким образом возможно назначить нового ответственного за оборудование, либо удалить имеющихся ответственных, список которых представлен в нижней части экрана.
Рис. 180 Диалог добавления разрешения для оборудования
Таким образом, различные права на доступ к комплексу научного оборудования имеют следующие пользователи.
- Администратор системы.
- Ответственный по подразделению, с которым ассоциирован комплекс, его родительскому подразделению или организации.
- Пользователь, обладающий разрешением «может подтверждать списки оборудования» в рамках подразделения, с которым ассоциирован комплекс, его родительского подразделения или организации.
- Пользователь, ответственный за конкретный научный комплекс. Отношения,
связывающие ответственного пользователя с научным комплексом, в системе
бывают следующих видов.
- Научный руководитель.
- Материально ответственное лицо.
- Ответственный за эксплуатацию.
- Ответственный за информацию.
- Ответственный по аспирантуре.
- Делегирование полномочий ответственного.
Правила, в соответствии которыми пользователю предоставляется доступ к учетным записям комплексов научного оборудования, выглядят следующим образом.
- Ответственный по подразделению, либо ответственный за сопровождение информации об оборудовании по подразделению, имеют право назначать ответственных за сопровождение информации об отдельных комплексах научного оборудования.
- Ответственный по подразделению, либо ответственный за сопровождение информации об оборудовании по подразделению, с которым связан прибор, имеют право редактировать параметры оборудования и подписывать научные результаты, аффилированные с оборудованием.
- Ответственный по подразделению, либо ответственный за сопровождение информации об оборудовании по подразделению, имеют право подтверждать наличие данного оборудование, после чего пользователь, создавший учетную запись оборудования, лишается права удалить ее.
- Научный руководитель оборудования имеет право подписывать, либо удалять научные результаты, аффилированные с оборудованием.
- Пользователь, создавший учетную запись оборудования, имеет право редактировать учетную запись оборудования и имеет право удалять ее, если запись не подписана ответственным за сопровождение информации об оборудовании или ответственный по подразделению.
- Пользователь ответственный за сопровождение информации по данному оборудованию, имеет право редактировать запись оборудования.
- Пользователь, определенным образом связанный с конкретной учетной записью оборудования, имеет право удалить эту связь.
- Ответственный за сопровождение информации об оборудовании по подразделению, с которым ассоциировано оборудование, имеет право включать комплекс оборудование в качестве составного элемента в другой комплекс научного оборудования, а также отменять данное включение.
Управление доступом к рейтингам пользователей
Одной из важный функций ИАС «ИСТИНА» является подсчет рейтингов научных сотрудников на основе информации об их результатах научно-исследовательской деятельности. Рейтинг может рассчитываться по достаточно сложной формуле, ассоциированной с подразделением. Индивидуальный рейтинг сотрудника недоступен для просмотра большинству пользователей системы и никак не может быть изменен непосредственно. Рейтинг сотрудника изменяется при добавлении результатов научно-исследовательской деятельности, влияющих на рейтинг, либо в результате изменения формулы расчета рейтинга.
Таким образом, к ассоциированной с подразделением формуле для расчета рейтингов сотрудников допустимы следующие виды доступа.
- Расчет по формуле рейтинга для определенного сотрудника. Заметим, что для выполнения этой операции пользователь должен не только обладать правом соответствующего доступа к формуле, но и правом на просмотр персонального рейтинга сотрудника.
- Редактирование формулы.
- Редактирование привязки формулы к подразделению. Рейтинг сотрудников каждого подразделения вычисляется по собственной формуле, однако, одна и та же формула может быть ассоциирована с разными подразделениями.
- Создание новой формулы.
Среди пользователей, обладающих особыми правами доступа к формуле, можно выделить следующих.
- Администратор системы.
- Создатель формулы.
- Ответственный по подразделению, в котором работает создатель формулы.
- Ответственный по подразделению для привязки формулы к подразделению.
- Пользователь, обладающий разрешением «может просматривать персональные рейтинги» для подразделения, с которым ассоциирована формула. В соответствующем разделе инструкции описана процедура выдачи пользователям данного разрешения в рамках подразделения.
- Пользователь, для которого считается рейтинг — для расчета рейтинга по формуле.
- Ответственный по подразделению, в котором работает сотрудник для расчета рейтинга сотрудника по формуле.
- Пользователь, обладающий разрешением «может просматривать персональные рейтинги» для подразделения, в котором работает сотрудник, для которого считается рейтинг.
Права на выполнение перечисленных операций над формулами расчета рейтингов выглядят следующим образом.
Для того, чтобы пользователь имел право рассчитывать персональный рейтинг сотрудника необходимо, чтобы он имел соответствующие права доступа как к учетной записи сотрудника, так и к формуле. Необходимыми правами доступа к учетной записи сотрудника обладают:
- администратор системы;
- сотрудник, для которого считается рейтинг;
- ответственный по подразделению, в котором работает этот сотрудник;
- пользователь, обладающий разрешением «может просматривать персональные рейтинги» для указанного подразделения.
Необходимыми правами доступа к объекту формулы обладают:
- создатель формулы;
- ответственный по подразделению, в котором работает создатель формулы;
- ответственный по подразделению, с которым ассоциирована формула;
- пользователь, обладающий разрешением «может просматривать персональные рейтинги» для подразделения, с которым ассоциирована формула.
Таким образом, право рассчитывать по определенной формуле персональный рейтинг определенного сотрудника имеет пользователь, связанный с целевым сотрудником хотя бы одним отношением из указанных в первом перечне, и одновременно связанный с формулой хотя бы одним из отношений, указанных во втором перечне.
Право редактировать формулу имеет только создатель формулы. Создать новую формулу имеет право любой зарегистрированный пользователь.
Ответственный по подразделению имеет право ассоциировать формулы с подконтрольным ему подразделением.
Управление доступом к конкурсам и заявкам на конкурсы
В настоящее время управление доступом к конкурсам и заявкам на конкурсы может осуществляться только пользователем, имеющим полномочия администратора системы, посредством интерфейса администрирования Django. Использование данного механизма не рассматривается в настоящей инструкции. Для создания нового конкурса и определения прав доступа к нему следует обратиться к персоналу сайта.
После создания конкурса авторизованный пользователь может подать заявку на конкурс, воспользовавшись ссылкой «конкурсы» на главной странице ИАС «ИСТИНА», либо ссылкой «конкурсы» на собственной персональной странице. В результате нажатия на эту ссылку на экран будет выведен список конкурсов, на которые пользователь подал или имеет право подать заявку.
# Пользователь, подавший заявку имеет право отозвать или изменить ее.
- Ответственный по подразделению, в котором работает пользователь, подавший заявку, также имеет право отозвать или редактировать ее.
- Организатор конкурса или эксперт по конкурсу имеет право просматривать заявку.
В настоящее время назначать экспертов для конкурса имеет право только администратор системы.
Среди объектов системы отдельно выделены конкурсы на замещение вакантных должностей. В отличие от других конкурсов, управление данной категорией конкурсов может осуществляться пользователями, имеющими полномочия ответственных в рамках организаций и подразделений и не относящимися к персоналу сайта. Управление доступом к конкурсам на замещение вакантных должностей рассматривается в соответствующем разделе настоящей инструкции.
Управление доступом к конкурсам на замещение вакантных должностей
Одной из функций ИАС «ИСТИНА» является автоматизация управления конкурсами на замещение вакантных должностей. Привилегированный доступ к управлению конкурсами имеют две выделенных категории пользователей: ответственные за создание конкурсов и ответственный за сопровождение конкурсов. Следует обратить внимание на существенное различие между этими двумя ролями. Пользователи, ответственные за создание новых конкурсов, могут бать ассоциированы только с определенной организацией, но не с отдельными ее подразделениями. Данные пользователи имеют право создавать и удалять учетные записи конкурсов. Вместе с тем, пользователь, ответственный за сопровождение конкурсов, ассоциируется с определенным подразделением. В настоящее время доступ к заявлениям на конкурс замещения должностей может предоставляться только персоналом сайта по согласованию с Ученым советом МГУ. Ответственный по подразделению не имеет права предоставлять доступ к заявлениям на конкурс на замещение должностей в рамках подразделения.
В настоящее время роль ответственного за создание конкурсов является глобальной, то есть каждый пользователь либо обладает данной ролью для всех зарегистрированных в системе организаций, либо не обладает ею. Ведется работа по модификации этой роли с целью обеспечения возможности выдачи ее пользователю в рамках определенной организации.
Управление конкурсами на замещение вакантных должностей осуществляется через
отдельный интерфейсный модуль. Для добавления нового конкурса необходимо
войти на соответствующую страницу ИАС «ИСТИНА», расположенную по адресу https://istina.msu.ru/vacancies/add
. Добавлять новые конкурсы имеет
право только ответственный за создание конкурсов на замещение вакантных
должностей, ассоциированный с организацией, для которой создается конкурс.
Пользователь, ответственный за сопровождение конкурсов, имеет право выполнять следующие действия:
- Просматривать заявления сотрудников на участие в конкурсе на замещение должностей.
- Подтверждать заявления сотрудников на участие в конкурсе на замещение должностей.
Управление доступом к информации о научно-исследовательских проектах
Особые права доступа к научно-исследовательским проектам имеют следующие пользователи:
- Ответственный по подразделению, в котором выполняется проект.
- Ответственный за сопровождение информации о сметах НИР в рамках организации или подразделения, в котором выполняется проект.
- Руководитель НИР.
- Исполнители НИР.
Управление доступом к подсистеме учета деятельности аспирантов
Особые права доступа к подсистеме учета деятельности аспирантов имеют следующие пользователи.
- Администратор подсистемы учета деятельности аспирантов, то есть пользователь, обладающий соответствующей глобальной ролью. Данный пользователь имеет право просматривать и редактировать все данные, относящиеся к соответствующей подсистеме.
- Руководитель подсистемы учета деятельности аспирантов, то есть пользователь, обладающий соответствующей глобальной ролью. Данный пользователь имеет право просматривать служебную информацию подсистемы, но не имеет право редактировать ее.
- Ответственный за сопровождение информации по учету деятельности аспирантов в рамках подразделения. Данные пользователи имеют право редактировать информацию о деятельности аспирантов в рамках подконтрольных им подразделений.
Определение типа учетной записи пользователя в Windows
Обзор
Эта статья поможет определить, является ли текущая учетная запись Windows настроен как обычного пользователя или учетной записи администратора.
Дополнительные сведения
В операционных системах Windows тип учетной записи пользователя определяет, какие задачи вы можете выполнять на компьютере, в некоторых случаях может потребоваться права администратора для выполнения некоторых задач или использования некоторых приложений. Ниже описаны три типа учетных записей на компьютере с системой Windows и затем тип счета помогает определить пользователя.
-
Учетные записи обычных пользователей предназначены для повседневной работы.
-
Учетные записи администратора предоставляют полный контроль над компьютером и должна использоваться только при необходимости.
-
Учетные записи гостя предназначены главным образом для лиц, которые должны временного использования компьютера.
Примечание. Если ваша учетная запись является учетной записью домена используется несколько типов дополнительной учетной записи. Обратитесь к сетевому администратору для изменения ваших прав может потребоваться.
Для определения текущего типа учетной записи пользователя, выполните следующие действия для используемой версии Windows.
Для Windows 7
Чтобы определить тип учетной записи пользователя в Windows 7, выполните следующие действия.
-
Нажмите кнопку Пуски введите в поле поиска Учетные записи пользователей
-
Щелкните Учетные записи пользователей из списка результатов (откроется окно учетных записей пользователей)
Тип учетной записи пользователя отображается рядом с рисунка учетной записи пользователя
Примечание: Если вы требуется управление учетными записями пользователей в появившемся окне нажмите кнопку Учетная запись домена. Тип учетной записи пользователя будут перечислены в столбце группа.
Выполнение некоторых задач в Windows требуются права администратора, чтобы изменить тип учетной записи пользователя, щелкните следующую ссылку и выполните действия, описанные в этой статье:
Изменение типа учетной записи пользователя
Для Windows Vista
Чтобы определить тип учетной записи пользователя в Windows Vista, выполните следующие действия.
-
Нажмите кнопку Пуски введите в поле поиска Учетные записи пользователей
-
Щелкните Учетные записи пользователей из списка результатов (откроется окно учетных записей пользователей)
Тип учетной записи пользователя отображается рядом с рисунка учетной записи пользователя
Примечание: Если вы требуется управление учетными записями пользователей в появившемся окне нажмите кнопку Учетная запись домена. Тип учетной записи пользователя будут перечислены в столбце группа.
Выполнение некоторых задач в Windows требуются права администратора, чтобы изменить тип учетной записи пользователя, щелкните следующую ссылку и выполните действия, описанные в этой статье:
Изменение типа учетной записи пользователя
Для Windows XP
Чтобы определить тип учетной записи пользователя в Windows XP, выполните следующие действия.
-
Нажмите кнопку Пуск, Панель управления и щелкните Учетные записи пользователей
Тип учетной записи пользователя отображается рядом с рисунка учетной записи пользователя
Выполнение некоторых задач в Windows требуются права администратора, чтобы изменить тип учетной записи пользователя, щелкните следующую ссылку и выполните действия, описанные в этой статье:
Чтобы изменить тип учетной записи
Права пользователей Windows. Для чего нужны, как настроить
Мы можем создать на компьютере несколько учетных записей, индивидуально для каждого пользователя этого компьютера.
При этом каждый пользователь получает свое личное пространство на компьютере и возможность настраивать внешний вид операционной системы по своему вкусу.
Но кроме этого учетная запись пользователя определяет, к каким файлам и папкам пользователь имеет доступ, а также какие изменения в работу компьютера пользователь может вносить.
Это и есть права пользователей Windows.
В этой заметке я хочу рассказать о том, какие права пользователей Windows существуют и какими правами следует наделить свою учетную запись.
В Windows существуют три типа учетных записей, которые дают пользователям разные права по управлению компьютером:
- Обычный доступ – пользователь может запускать и работать в большинстве программ. Также пользователь имеет право изменять настройки операционной системы, которые не влияют на настройки других пользователей или безопасность компьютера. Это значит, что пользователям этой группы будут недоступны некоторые инструменты Панели управления. Также они не смогут работать в программах, которые могут влиять на работоспособность операционной системы Windows.
Это идеальный тип учетной записи для начинающих пользователей, так как под этой учетной записью сложно что-либо испортить в Windows или в программах. Но тут есть и существенные ограничения. Например, не все программы вы сможете установить, находясь в учетной записи этого типа.
Сказать по правде, я считаю, что все начинающие пользователи должны работать именно под этой учетной записью. Дело в том, что работая под учетной записью администратора вы ставите под угрозу свой компьютер и информацию на нем хранящуюся. Если вирус или вредоносная программа каким-либо образом проберется на ваш компьютер, то ему будет на порядок легче совершить свое гнусное дело под учетной записью администратора, нежели под учетной записью, имеющей обычный доступ. - Администратор – пользователь, имеющий данный тип учетной записи, получает полный контроль над компьютером. Он может производить любые настройки, причем даже те, которые касаются других пользователей компьютера.
- Гость – встроенная учетная запись, которую применяют для временного доступа к компьютеру. Это самая ограниченная в правах учетная запись. Она по умолчанию отключена в операционной системе и ее используют крайне редко.
По выше изложенной причине я рекомендую всем пользователям работать под ограниченной учетной записью. Устанавливать программы или производить какие-то другие действия связанные с настройкой или обслуживанием компьютера следует под отдельной, защищенной хорошим паролем записью администратора.
Права доступа на уровне сервера баз данных—Справка
Права доступа (разрешения) для работы с базами геоданных настраиваются путем назначения пользователям и группам предварительно настроенных ролей. Учетная запись или группа в этом случае является учетной записью Windows, которая идентифицируют пользователя, а роли управляют разрешениями для действий, которые может выполнять пользователь.
Предварительно настроенные роли и возможные права доступа перечислены ниже:
- Нет (None) – Никакого доступа к базе геоданных или к набору данных базы геоданных не было предоставлено.
- Только чтение (Read Only) – Пользователь может просматривать и выбирать данные.
- Чтение/Запись (Read/Write) – Пользователь может выполнять чтение, запись и создание новых наборов данных в базе геоданных или может выполнять чтение и запись в существующих наборах данных.
- Администратор (Admin) – Пользователь может выполнять административные задачи в определенной базе геоданных.
- Администратор сервера (Server administrator) – Пользователь, который управляет сервером баз данных.
Разрешения являются кумулятивными. Если вы администратор на уровне сервера базы данных, вы являетесь также и администратором базы геоданных. Если вы администратор базы геоданных, вы автоматически получаете разрешения на чтение/запись (read/write) для всех наборов данных в этой базе геоданных.
Ниже описан каждый уровень, на котором разрешения могут быть назначены.
Права доступа на уровне сервера баз данных
Права доступа на уровне сервера базы данных могут быть настроены только для администратора сервера; пользователь или является администратором сервера, или нет.
В процессе постинсталляции, которая настраивает экземпляр SQL Server Express для хранения баз геоданных, на сервер баз данных добавляется учетная запись Windows. В этот момент учетной записи назначается роль администратора сервера. После этого права доступа к серверу баз данных могут быть доступны из контекстного меню сервера баз данных в ArcGIS for Desktop.
Администратор сервера может выполнять следующие задачи:
- Добавлять и удалять пользователей сервера баз данных.
- Управлять базами геоданных и настройками безопасности.
- Создавать и удалять базы геоданных.
- Прикреплять и откреплять базы геоданных.
- Делать резервные копии и восстанавливать базы геоданных.
- Обновлять базы геоданных.
- Выполнять сжатие баз геоданных (Compress).
- Обновлять статистику и индексы в базе геоданных.
- Уменьшать базу геоданных (Shrink).
- Запускать, останавливать и приостанавливать сервер баз данных.
Обычно у вас имеется один администратор сервера баз данных.
Ниже приведен пример диалогового окна Права доступа для серверов баз данных. Учетной записи ROCKETJAY\har была назначена роль администратора сервера (Server administrator).
Права доступа на уровне базы геоданных
Права доступа на уровне баз геоданных назначаются с помощью контекстного меню баз геоданных при доступе к ним через папку Серверы баз данных (Database Servers) в дереве Каталога.
Права доступа на этом уровне будут изначально выданы администратору сервера и будут управляться на основе ролей. Возможные роли, которые могут быть назначены пользователю:
- Только Чтение (Read Only) – Это разрешения позволяет пользователю выбирать данные из любой таблицы в базе геоданных.
- Чтение/Запись (Read/Write) – Пользователи с назначенным разрешением Чтение/Запись могут выбирать и редактировать все существующие в базе геоданных данные и могут создавать новые элементы базы геоданных, такие как классы объектов. Если пользователь получил разрешение на чтение/запись на уровне базы геоданных, вы не сможете изменить его права доступа на уровне наборов данных, они автоматически будут настроены как Чтение/Запись.
- Администратор (Admin) – Пользователи с назначенной ролью Администратора (Admin) являются администраторами только этой базы геоданных. Это означает, что пользователь имеет разрешения на чтение/запись на все наборы данных и базе геоданных, и эти права не могут быть отозваны на уровне наборов данных. Например, вы не сможете открыть закладку Права доступа на уровне наборов данных и выбрать права Только чтение (Read Only) для набора классов для этого пользователя.
Помимо доступа к наборам данных на чтение/запись администраторы баз геоданных могут выполнять административные операции над этими базами геоданных, в том числе создание резервных копий, сжатие баз геоданных, обновление баз геоданных и администрирование прав пользователей базы геоданных. (Пользователи должны существовать на сервере баз данных; администраторы базы геоданных не могут добавлять новых пользователей на сервере баз данных.)
- Еще одной опцией для роли пользователя является Нет (None). В таком случае пользователь не будет иметь прав на доступ к данным на уровне базы геоданных; однако при этом пользователю могут быть предоставлены права Только чтение или Чтение/Запись на определенные наборы данных, как описано в разделе «Разрешения на уровне наборов данных». Нет (None) – это уровень прав доступа, по умолчанию устанавливаемый для пользователей, которые добавляются на сервер баз данных.
В следующем примере диалогового окна Права доступа базы геоданных учетная запись ROCKETAY\pllama добавлена к роли Чтение/Запись (Read/Write) для базы геоданных historical.
Для получения дополнительной информации об администраторах сервера и баз геоданных см. раздел Администраторы серверов баз данных.
Права доступа на уровне набора данных
Разрешения для набора данных доступны через команду Права доступа (Privileges) в контекстном меню набора данных, которая открывает диалоговое окно Разрешения. Возможными разрешениями для набора данных, которые доступны через диалоговое окно Разрешения на уровне набора данных, являются Только чтение (Read Only), Чтение/Запись (Read/Write) и Нет (None).
Пользователь может не иметь разрешений на уровне базы геоданных (его разрешения будут установлены как Нет (None)), но ему могут быть выданы права на чтение/запись или только чтение для определенных наборов данных в базе геоданных. Например, вы можете назначить пользователям-аналитикам права только на чтение данных в базе геоданных, но предоставить им права на запись/чтение одного класса объектов в базе геоданных.
Когда пользователь создает набор данных, например, таблицу, то ее владельцем становится этот пользователь, и эта таблица рассматривается как часть пользовательской схемы. Права доступа пользователя к наборам данных в базе геоданных могут быть настроены только владельцем набора данных.
В случае если администратор сервера создает наборы данных, то их владельцем будет пользователь dbo, и они будут храниться в схеме dbo. Таким образом, администратор сервера может выдать разрешения на любые наборы классов в схеме dbo, но только на объекты в схеме dbo. Другими словами, администратор сервера не сможет выдать разрешения на данные, которыми владеют пользователи, не являющиеся администраторами.
Ниже приведен пример диалогового окна Права доступадля набора данных firestations:
Чтобы узнать больше о процессе назначения ролей пользователям и выдачи и отзыва разрешений, см. раздел Изменение прав доступа.
Отзыв по этому разделу?ФЗ «Об обеспечении доступа к информации»
28 декабря 2011 года N 102-кз
ЗАКОН
СТАВРОПОЛЬСКОГО КРАЯ
О КОНТРОЛЬНО-СЧЕТНОЙ ПАЛАТЕ СТАВРОПОЛЬСКОГО КРАЯ
Принят
Думой Ставропольского края
22 декабря 2011 года
(в ред. Закона Ставропольского края
от 10.04.2012 N 26-кз)
Статья 1. Статус Контрольно-счетной палаты Ставропольского края
1. Контрольно-счетная палата Ставропольского края (далее — Контрольно-счетная палата) является постоянно действующим органом внешнего государственного финансового контроля, образуемым Думой Ставропольского края и подотчетным ей.
2. Контрольно-счетная палата обладает организационной и функциональной независимостью и осуществляет свою деятельность самостоятельно.
3. Деятельность Контрольно-счетной палаты не может быть приостановлена, в том числе в связи с досрочным прекращением полномочий Думы Ставропольского края.
4. Контрольно-счетная палата является государственным органом Ставропольского края, обладает правами юридического лица, имеет гербовую печать, бланки со своим наименованием и с изображением герба Ставропольского края.
Местонахождение Контрольно-счетной палаты — город Ставрополь.
Статья 2. Правовая основа деятельности Контрольно-счетной палаты
В своей деятельности Контрольно-счетная палата руководствуется Конституцией Российской Федерации, федеральными конституционными законами, Бюджетным кодексом Российской Федерации, Федеральным законом от 6 октября 1999 года N 184-ФЗ «Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации», Федеральным законом от 7 февраля 2011 года N 6-ФЗ «Об общих принципах организации и деятельности контрольно-счетных органов субъектов Российской Федерации и муниципальных образований» (далее — Федеральный закон), другими федеральными законами и иными нормативными правовыми актами Российской Федерации, Уставом (Основным Законом) Ставропольского края, настоящим Законом, иными нормативными правовыми актами Ставропольского края.
Статья 3. Принципы осуществления деятельности Контрольно-счетной палаты
Деятельность Контрольно-счетной палаты основывается на принципах законности, объективности, эффективности, независимости и гласности.
Статья 4. Состав Контрольно-счетной палаты
1. Контрольно-счетная палата образуется в составе председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты, пяти аудиторов Контрольно-счетной палаты и аппарата Контрольно-счетной палаты.
2. Должности председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудиторов Контрольно-счетной палаты относятся к государственным должностям Ставропольского края.
Правовой статус председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудиторов Контрольно-счетной палаты регулируется настоящим Законом и Законом Ставропольского края от 29 декабря 2006 г. N 98-кз «О статусе лиц, замещающих государственные должности Ставропольского края».
3. В состав аппарата Контрольно-счетной палаты входят инспекторы Контрольно-счетной палаты и иные штатные работники Контрольно-счетной палаты. На инспекторов Контрольно-счетной палаты возлагаются обязанности по организации и непосредственному проведению внешнего государственного финансового контроля в пределах компетенции Контрольно-счетной палаты.
Права, обязанности и ответственность работников аппарата Контрольно-счетной палаты определяются Федеральным законом, законодательством Российской Федерации о государственной гражданской службе и законодательством Ставропольского края о государственной гражданской службе, трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права.
4. Структура и штатная численность Контрольно-счетной палаты устанавливаются Думой Ставропольского края по предложению председателя Контрольно-счетной палаты.
5. Штатное расписание Контрольно-счетной палаты утверждается председателем Контрольно-счетной палаты с учетом требований, установленных настоящей статьей, исходя из возложенных на Контрольно-счетную палату полномочий.
Статья 5. Порядок назначения на должность председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудиторов Контрольно-счетной палаты
1. Председатель Контрольно-счетной палаты, заместитель председателя Контрольно-счетной палаты и аудиторы Контрольно-счетной палаты назначаются на должность Думой Ставропольского края сроком на шесть лет.
2. Предложения о кандидатурах на должность председателя Контрольно-счетной палаты и заместителя председателя Контрольно-счетной палаты вносятся в Думу Ставропольского края:
1) председателем Думы Ставропольского края;
2) Губернатором Ставропольского края;
3) депутатами Думы Ставропольского края (не менее одной трети от установленного числа депутатов Думы Ставропольского края).
3. Предложения о кандидатурах на должность председателя Контрольно-счетной палаты вносятся в Думу Ставропольского края не позднее чем за три месяца до истечения полномочий действующего председателя Контрольно-счетной палаты.
Предложения о кандидатурах на должность заместителя председателя Контрольно-счетной палаты вносятся в Думу Ставропольского края не позднее чем за два месяца до истечения полномочий действующего заместителя председателя Контрольно-счетной палаты.
4. Предложения о кандидатурах на должность аудитора Контрольно-счетной палаты вносятся в Думу Ставропольского края:
1) председателем Думы Ставропольского края;
2) Губернатором Ставропольского края.
5. Предложения о кандидатурах на должность аудитора Контрольно-счетной палаты вносятся в Думу Ставропольского края не позднее чем за два месяца до истечения срока полномочий действующего аудитора Контрольно-счетной палаты.
6. При внесении в Думу Ставропольского края предложений о кандидатурах на должность председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудитора Контрольно-счетной палаты представляются следующие учетно-характеризующие документы:
анкета, содержащая биографические сведения о кандидате;
копия документа, подтверждающего наличие у кандидата высшего образования;
копия трудовой книжки или иного документа, подтверждающего соответствие кандидата требованиям, предъявляемым к опыту работы кандидатур на должности председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудитора Контрольно-счетной палаты Федеральным законом и настоящим Законом;
характеристика с последнего места работы;
медицинская справка о состоянии здоровья (форма N 086 У).
7. Постановление о назначении председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудитора Контрольно-счетной палаты принимается Думой Ставропольского края большинством голосов от установленного числа депутатов Думы Ставропольского края.
8. Порядок рассмотрения предложений о кандидатурах на должность председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудиторов Контрольно-счетной палаты устанавливается Регламентом Думы Ставропольского края.
Статья 6. Требования к кандидатурам на должности председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудиторов Контрольно-счетной палаты
1. На должность председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудиторов Контрольно-счетной палаты назначаются граждане Российской Федерации, имеющие высшее образование и опыт работы в области государственного и (или) муниципального управления, государственного и (или) муниципального контроля (аудита), экономики, финансов, юриспруденции не менее пяти лет.
2. Гражданин Российской Федерации не может быть назначен на должность председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты или аудитора Контрольно-счетной палаты в случае:
1) наличия у него неснятой или непогашенной судимости;
2) признания его недееспособным или ограниченно дееспособным решением суда, вступившим в законную силу;
3) отказа от прохождения процедуры оформления допуска к сведениям, составляющим государственную и иную охраняемую федеральным законом тайну, если исполнение обязанностей по должности, на замещение которой претендует гражданин, связано с использованием таких сведений;
4) выхода из гражданства Российской Федерации или приобретения гражданства иностранного государства либо получения вида на жительство или иного документа, подтверждающего право на постоянное проживание гражданина Российской Федерации на территории иностранного государства.
3. Председатель Контрольно-счетной палаты, заместитель председателя Контрольно-счетной палаты и аудиторы Контрольно-счетной палаты не могут состоять в близком родстве или свойстве (родители, супруги, дети, братья, сестры, а также братья, сестры, родители и дети супругов) с председателем Думы Ставропольского края, Губернатором Ставропольского края, руководителями органов исполнительной власти Ставропольского края, в назначении которых на должность принимала участие в соответствии с Уставом (Основным Законом) Ставропольского края Дума Ставропольского края, с руководителями судебных и правоохранительных органов, осуществляющих деятельность на территории Ставропольского края.
4. Председатель Контрольно-счетной палаты, заместитель председателя Контрольно-счетной палаты и аудиторы Контрольно-счетной палаты не могут заниматься другой оплачиваемой деятельностью, кроме преподавательской, научной и иной творческой деятельности. При этом преподавательская, научная и иная творческая деятельность не может финансироваться исключительно за счет средств иностранных государств, международных и иностранных организаций, иностранных граждан и лиц без гражданства, если иное не предусмотрено международным договором Российской Федерации или законодательством Российской Федерации.
5. Председатель Контрольно-счетной палаты, заместитель председателя Контрольно-счетной палаты и аудиторы Контрольно-счетной палаты, а также лица, претендующие на замещение указанных должностей, обязаны представлять сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей в порядке, установленном нормативными правовыми актами Российской Федерации и нормативными правовыми актами Ставропольского края.
Статья 7. Гарантии правового статуса должностных лиц Контрольно-счетной палаты
1. Председатель Контрольно-счетной палаты, заместитель председателя Контрольно-счетной палаты, аудиторы Контрольно-счетной палаты и инспекторы Контрольно-счетной палаты являются должностными лицами Контрольно-счетной палаты и обладают гарантиями профессиональной независимости.
2. Воздействие в какой-либо форме на должностных лиц Контрольно-счетной палаты в целях воспрепятствования осуществлению ими должностных полномочий или оказания влияния на принимаемые ими решения, а также насильственные действия, оскорбления, а равно клевета в отношении должностных лиц Контрольно-счетной палаты либо распространение заведомо ложной информации об их деятельности влекут за собой ответственность, установленную законодательством Российской Федерации и (или) законодательством Ставропольского края.
3. Председатель Контрольно-счетной палаты, заместитель председателя Контрольно-счетной палаты и аудиторы Контрольно-счетной палаты досрочно освобождаются от должности на основании решения Думы Ставропольского края в случаях, установленных частью 5 статьи 8 Федерального закона.
4. Решение о досрочном освобождении от должности председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудиторов Контрольно-счетной палаты по основаниям, установленным частью 5 статьи 8 Федерального закона, принимается большинством голосов от установленного числа депутатов Думы Ставропольского края и оформляется постановлением Думы Ставропольского края, в котором определяется день освобождения их от должности.
5. Предложения о кандидатурах на должность председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудиторов Контрольно-счетной палаты вносятся в Думу Ставропольского края субъектами, указанными в частях 2 и 4 статьи 5 настоящего Закона, в течение одного месяца со дня принятия постановления Думы Ставропольского края о досрочном освобождении от должности председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудиторов Контрольно-счетной палаты.
6. Должностные лица Контрольно-счетной палаты подлежат государственной защите в соответствии с законодательством Российской Федерации о государственной защите судей, должностных лиц правоохранительных и контролирующих органов и иными нормативными правовыми актами Российской Федерации.
Статья 8. Коллегия Контрольно-счетной палаты
1. Для рассмотрения наиболее важных вопросов деятельности Контрольно-счетной палаты, включая вопросы планирования и организации ее деятельности, методологии контрольной и аналитической деятельности, а также других вопросов деятельности Контрольно-счетной палаты образуется коллегия Контрольно-счетной палаты.
2. В состав коллегии Контрольно-счетной палаты входят:
1) председатель Контрольно-счетной палаты;
2) заместитель председателя Контрольно-счетной палаты;
3) аудиторы Контрольно-счетной палаты.
3. Коллегия Контрольно-счетной палаты рассматривает на своих заседаниях следующие вопросы:
1) годовой отчет о деятельности Контрольно-счетной палаты;
2) итоги контрольных и экспертно-аналитических мероприятий;
3) другие вопросы, предусмотренные регламентом Контрольно-счетной палаты.
4. В исключительной компетенции коллегии Контрольно-счетной палаты находятся:
1) рассмотрение и внесение на утверждение председателю Контрольно-счетной палаты планов работы Контрольно-счетной палаты;
2) утверждение программы контрольных мероприятий, проводимых на основании поручений Думы Ставропольского края, предложений и запросов Губернатора Ставропольского края;
3) разработка и внесение на утверждение председателю Контрольно-счетной палаты стандартов внешнего государственного финансового контроля и общих требований к стандартам внешнего муниципального финансового контроля в соответствии с общими требованиями, утвержденными Счетной палатой Российской Федерации.
5. Порядок работы коллегии Контрольно-счетной палаты определяется регламентом Контрольно-счетной палаты.
Статья 9. Основные полномочия Контрольно-счетной палаты
1. Контрольно-счетная палата осуществляет следующие основные полномочия:
1) контроль за исполнением бюджета Ставропольского края и бюджета Ставропольского краевого фонда обязательного медицинского страхования;
2) экспертиза проектов законов Ставропольского края о бюджете Ставропольского края и проектов законов Ставропольского края о бюджете Ставропольского краевого фонда обязательного медицинского страхования;
3) внешняя проверка годового отчета об исполнении бюджета Ставропольского края, годового отчета об исполнении бюджета Ставропольского краевого фонда обязательного медицинского страхования; внешняя проверка годовых отчетов об исполнении бюджетов муниципальных образований Ставропольского края в случаях, установленных Бюджетным кодексом Российской Федерации;
4) организация и осуществление контроля за законностью, результативностью (эффективностью и экономностью) использования средств бюджета Ставропольского края, средств бюджета Ставропольского краевого фонда обязательного медицинского страхования и иных источников, предусмотренных законодательством Российской Федерации;
5) контроль за соблюдением установленного порядка управления и распоряжения имуществом, находящимся в государственной собственности Ставропольского края, в том числе охраняемыми результатами интеллектуальной деятельности и средствами индивидуализации, принадлежащими Ставропольскому краю;
6) оценка эффективности предоставления налоговых и иных льгот и преимуществ, бюджетных кредитов за счет средств бюджета Ставропольского края, а также оценка законности предоставления государственных гарантий и поручительств или обеспечения исполнения обязательств другими способами по сделкам, совершаемым юридическими лицами и индивидуальными предпринимателями за счет средств бюджета Ставропольского края и имущества, находящегося в государственной собственности Ставропольского края;
7) финансово-экономическая экспертиза проектов законов Ставропольского края и нормативных правовых актов органов государственной власти Ставропольского края (включая обоснованность финансово-экономических обоснований) в части, касающейся расходных обязательств Ставропольского края, а также государственных программ Ставропольского края;
8) анализ бюджетного процесса в Ставропольском крае и подготовка предложений, направленных на его совершенствование;
9) контроль за законностью, результативностью (эффективностью и экономностью) использования межбюджетных трансфертов, предоставленных из бюджета Ставропольского края бюджетам муниципальных образований Ставропольского края, а также проверка бюджетов муниципальных образований Ставропольского края в случаях, установленных Бюджетным кодексом Российской Федерации;
10) подготовка информации о ходе исполнения бюджета Ставропольского края, бюджета Ставропольского краевого фонда обязательного медицинского страхования, о результатах проведенных контрольных и экспертно-аналитических мероприятий и представление такой информации в Думу Ставропольского края и Губернатору Ставропольского края;
11) участие в пределах своих полномочий в мероприятиях, направленных на противодействие коррупции в Ставропольском крае;
12) выступление в качестве стороны по делам в судебных органах в порядке, установленном законодательством Российской Федерации;
13) иные полномочия в сфере внешнего государственного финансового контроля, установленные федеральными законами, Уставом (Основным Законом) Ставропольского края, настоящим Законом и иными законами Ставропольского края.
2. Внешний государственный финансовый контроль осуществляется Контрольно-счетной палатой в отношении:
1) органов государственной власти Ставропольского края и государственных органов Ставропольского края, Ставропольского краевого фонда обязательного медицинского страхования, органов местного самоуправления муниципальных образований Ставропольского края, государственных учреждений и государственных унитарных предприятий Ставропольского края, а также иных организаций, если они используют имущество, находящееся в государственной собственности Ставропольского края;
2) иных организаций путем осуществления проверки соблюдения условий получения ими субсидий, гарантий за счет средств бюджета Ставропольского края в порядке контроля за деятельностью главных распорядителей (распорядителей) и получателей средств бюджета Ставропольского края, предоставивших указанные средства, в случаях, если возможность проверок указанных организаций установлена в договорах о предоставлении субсидий, гарантий за счет средств бюджета Ставропольского края.
Статья 10. Полномочия председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудиторов Контрольно-счетной палаты
1. Председатель Контрольно-счетной палаты:
1) осуществляет общее руководство деятельностью Контрольно-счетной палаты и организует ее работу в соответствии с настоящим Законом и регламентом Контрольно-счетной палаты;
2) представляет ежегодные отчеты о деятельности Контрольно-счетной палаты (далее — ежегодные отчеты) на рассмотрение в Думу Ставропольского края, а также информацию по ежегодным отчетам Губернатору Ставропольского края;
3) представляет информацию о ходе исполнения бюджета Ставропольского края, бюджета Ставропольского краевого фонда обязательного медицинского страхования, о результатах проведенных контрольных и экспертно-аналитических мероприятий в Думу Ставропольского края и Губернатору Ставропольского края;
4) представляет Контрольно-счетную палату в отношениях с органами государственной власти Российской Федерации и государственными органами Российской Федерации, органами государственной власти Ставропольского края и государственными органами Ставропольского края, органами местного самоуправления муниципальных образований Ставропольского края, контрольными органами иностранных государств, международными и иными организациями;
5) утверждает результаты контрольных и экспертно-аналитических мероприятий Контрольно-счетной палаты, подписывает представления и предписания Контрольно-счетной палаты;
6) утверждает положения о структурных подразделениях аппарата Контрольно-счетной палаты и должностные регламенты работников аппарата Контрольно-счетной палаты;
7) осуществляет полномочия представителя нанимателя в соответствии с законодательством Российской Федерации о государственной гражданской службе и законодательством Ставропольского края о государственной гражданской службе, полномочия по найму и увольнению работников, не являющихся государственными гражданскими служащими Ставропольского края;
8) утверждает регламент Контрольно-счетной палаты;
9) утверждает стандарты внешнего государственного финансового контроля и общие требования к стандартам внешнего муниципального финансового контроля в соответствии с общими требованиями, утвержденными Счетной палатой Российской Федерации;
10) утверждает планы работы Контрольно-счетной палаты;
11) издает в пределах своих полномочий приказы Контрольно-счетной палаты и распоряжения Контрольно-счетной палаты, заключает государственные контракты, гражданско-правовые и иные договоры (соглашения).
2. Заместитель председателя Контрольно-счетной палаты исполняет свои обязанности в соответствии с регламентом Контрольно-счетной палаты. Заместитель председателя Контрольно-счетной палаты исполняет в отсутствие председателя Контрольно-счетной палаты его функции, по поручению председателя Контрольно-счетной палаты представляет Контрольно-счетную палату в органах государственной власти Российской Федерации и государственных органах Российской Федерации, Думе Ставропольского края, Правительстве Ставропольского края, иных органах исполнительной власти Ставропольского края и государственных органах Ставропольского края, контрольных органах иностранных государств, международных и иных организациях.
3. Аудиторы Контрольно-счетной палаты исполняют свои обязанности в соответствии с регламентом Контрольно-счетной палаты. Аудиторы Контрольно-счетной палаты организуют контрольные и экспертно-аналитические мероприятия, самостоятельно решают вопросы в пределах своей компетенции и несут ответственность за результаты своей деятельности.
4. Председатель Контрольно-счетной палаты, а также заместитель председателя Контрольно-счетной палаты и аудиторы Контрольно-счетной палаты имеют право участвовать в заседаниях Думы Ставропольского края, ее комитетов, комиссий и рабочих групп, заседаниях Правительства Ставропольского края, иных органов исполнительной власти Ставропольского края и государственных органов Ставропольского края, а также в заседаниях координационных и совещательных органов при Губернаторе Ставропольского края.
Статья 11. Формы осуществления Контрольно-счетной палатой внешнего государственного финансового контроля
1. Внешний государственный финансовый контроль осуществляется Контрольно-счетной палатой в форме контрольных и экспертно-аналитических мероприятий.
2. При проведении контрольного мероприятия Контрольно-счетная палата составляет соответствующий акт (соответствующие акты), который доводится (которые доводятся) до сведения руководителей проверяемых органов и организаций. На основании акта (актов) Контрольно-счетной палатой составляется отчет.
3. При проведении экспертно-аналитического мероприятия Контрольно-счетная палата составляет отчет или заключение.
Статья 12. Стандарты внешнего государственного и муниципального финансового контроля
1. Контрольно-счетная палата при осуществлении внешнего государственного финансового контроля руководствуется Конституцией Российской Федерации, законодательством Российской Федерации, законодательством Ставропольского края, стандартами внешнего государственного финансового контроля.
2. Стандарты внешнего государственного финансового контроля для проведения контрольных и экспертно-аналитических мероприятий утверждаются Контрольно-счетной палатой в отношении:
1) органов государственной власти Ставропольского края и государственных органов Ставропольского края, Ставропольского краевого фонда обязательного медицинского страхования, органов местного самоуправления муниципальных образований Ставропольского края, государственных учреждений и государственных унитарных предприятий Ставропольского края — в соответствии с общими требованиями, утвержденными Счетной палатой Российской Федерации;
2) иных организаций — в соответствии с общими требованиями, установленными федеральным законом.
3. При подготовке стандартов внешнего государственного финансового контроля учитываются международные стандарты в области государственного контроля, аудита и финансовой отчетности.
4. Контрольно-счетная палата вправе утверждать общие требования к стандартам внешнего муниципального финансового контроля для контрольно-счетных органов муниципальных образований Ставропольского края.
5. Стандарты внешнего государственного финансового контроля не могут противоречить законодательству Российской Федерации и законодательству Ставропольского края.
Статья 13. Планирование работы Контрольно-счетной палаты
1. Контрольно-счетная палата осуществляет свою деятельность на основе планов работы Контрольно-счетной палаты, которые разрабатываются и утверждаются ею самостоятельно.
2. Планирование деятельности Контрольно-счетной палаты осуществляется с учетом результатов контрольных и экспертно-аналитических мероприятий, а также на основании поручений Думы Ставропольского края, предложений и запросов Губернатора Ставропольского края.
3. Обязательному включению в планы работы Контрольно-счетной палаты подлежат поручения Думы Ставропольского края, предложения и запросы Губернатора Ставропольского края (далее — поручение Контрольно-счетной палате).
Статья 14. Регламент Контрольно-счетной палаты
Регламентом Контрольно-счетной палаты определяются распределение обязанностей между аудиторами Контрольно-счетной палаты, функции и порядок взаимодействия структурных подразделений аппарата Контрольно-счетной палаты, порядок подготовки и проведения контрольных и экспертно-аналитических мероприятий и иные внутренние вопросы деятельности Контрольно-счетной палаты.
Статья 15. Обязательность исполнения требований должностных лиц Контрольно-счетной палаты
1. Требования и запросы должностных лиц Контрольно-счетной палаты, связанные с осуществлением ими своих должностных полномочий, установленных законодательством Российской Федерации, законодательством Ставропольского края, являются обязательными для исполнения органами государственной власти Ставропольского края и государственными органами Ставропольского края, Ставропольским краевым фондом обязательного медицинского страхования, органами местного самоуправления муниципальных образований Ставропольского края, организациями, в отношении которых осуществляется внешний государственный финансовый контроль (далее — проверяемые органы и организации).
2. Неисполнение законных требований и запросов должностных лиц Контрольно-счетной палаты, а также воспрепятствование осуществлению ими возложенных на них должностных полномочий, влекут за собой ответственность, установленную законодательством Российской Федерации и законодательством Ставропольского края.
Статья 16. Права, обязанности и ответственность должностных лиц Контрольно-счетной палаты
1. Должностные лица Контрольно-счетной палаты при осуществлении возложенных на них должностных полномочий имеют право:
1) беспрепятственно входить на территорию и в помещения, занимаемые проверяемыми органами и организациями, иметь доступ к их документам и материалам, а также осматривать занимаемые ими территории и помещения;
2) в случае обнаружения подделок, подлогов, хищений, злоупотреблений и при необходимости пресечения данных противоправных действий опечатывать кассы, кассовые и служебные помещения, склады и архивы проверяемых органов и организаций, изымать документы и материалы с учетом ограничений, установленных законодательством Российской Федерации. Опечатывание касс, кассовых и служебных помещений, складов и архивов, изъятие документов и материалов производятся с участием уполномоченных должностных лиц проверяемых органов и организаций и составлением соответствующих актов;
3) в пределах своей компетенции направлять запросы должностным лицам территориальных органов федеральных органов исполнительной власти и их структурных подразделений, органов государственной власти Ставропольского края и государственных органов Ставропольского края, Ставропольского краевого фонда обязательного медицинского страхования, органов местного самоуправления муниципальных образований Ставропольского края, организаций;
4) в пределах своей компетенции требовать от руководителей и других должностных лиц проверяемых органов и организаций представления письменных объяснений по фактам нарушений, выявленных при проведении контрольных мероприятий, а также необходимых копий документов, заверенных в установленном порядке;
5) составлять акты по фактам непредставления или несвоевременного представления должностными лицами проверяемых органов и организаций документов и материалов, запрошенных при проведении контрольных мероприятий;
6) в пределах своей компетенции знакомиться со всеми необходимыми документами, касающимися финансово-хозяйственной деятельности проверяемых органов и организаций, в том числе в установленном порядке с документами, содержащими государственную, служебную, коммерческую и иную охраняемую законом тайну;
7) знакомиться с информацией, касающейся финансово-хозяйственной деятельности проверяемых органов и организаций и хранящейся в электронной форме в базах данных проверяемых органов и организаций, в том числе в установленном порядке с информацией, содержащей государственную, служебную, коммерческую и иную охраняемую законом тайну;
8) знакомиться с технической документацией к электронным базам данных;
9) составлять протоколы об административных правонарушениях по делам, отнесенным к компетенции Контрольно-счетной палаты в соответствии с законодательством Российской Федерации и законодательством Ставропольского края.
2. Руководители проверяемых органов и организаций обязаны создавать необходимые условия для работы должностных лиц Контрольно-счетной палаты, предоставлять им необходимые помещения, оргтехнику.
3. Должностные лица Контрольно-счетной палаты в случае опечатывания касс, кассовых и служебных помещений, складов и архивов, изъятия документов и материалов в случае, предусмотренном пунктом 2 части 1 настоящей статьи, должны уведомить об этом председателя Контрольно-счетной палаты незамедлительно (в течение 24 часов) посредством использования телефонной связи, а также посредством направления ему в этот же срок письменного уведомления по форме согласно приложению к настоящему Закону.
4. Должностные лица Контрольно-счетной палаты не вправе вмешиваться в оперативно-хозяйственную деятельность проверяемых органов и организаций, а также разглашать информацию, полученную при проведении контрольных мероприятий, предавать гласности свои выводы до завершения контрольных мероприятий и составления соответствующих актов и отчетов.
5. Должностные лица Контрольно-счетной палаты обязаны сохранять государственную, служебную, коммерческую и иную охраняемую законом тайну, ставшую им известной при проведении в проверяемых органах и организациях контрольных и экспертно-аналитических мероприятий, проводить контрольные и экспертно-аналитические мероприятия объективно и достоверно отражать их результаты в соответствующих актах, отчетах и заключениях Контрольно-счетной палаты.
6. Должностные лица Контрольно-счетной палаты несут ответственность в соответствии с законодательством Российской Федерации за достоверность и объективность результатов проводимых ими контрольных и экспертно-аналитических мероприятий, а также за разглашение государственной и иной охраняемой законом тайны.
Статья 17. Представление информации по запросам Контрольно-счетной палаты
1. Контрольно-счетная палата по установленной ею форме направляет запросы о представлении информации, документов и материалов, необходимых для проведения контрольных и экспертно-аналитических мероприятий (далее — запрос Контрольно-счетной палаты) в органы государственной власти Ставропольского края и государственные органы Ставропольского края, орган управления Ставропольским краевым фондом обязательного медицинского страхования, органы местного самоуправления муниципальных образований Ставропольского края, организации, в отношении которых Контрольно-счетная палата вправе осуществлять внешний государственный финансовый контроль, их должностным лицам, а также в территориальные органы федеральных органов исполнительной власти и их структурные подразделения.
Органы и организации, указанные в абзаце первом настоящей части, в течение 10 рабочих дней со дня получения запроса Контрольно-счетной палаты обязаны представить в Контрольно-счетную палату указанные в ее запросе информацию, документы и материалы.
2. При проведении Контрольно-счетной палатой контрольных и экспертно-аналитических мероприятий на основании поручений Контрольно-счетной палате срок представления информации, документов и материалов, необходимых для проведения указанных мероприятий, составляет пять рабочих дней.
3. При проведении контрольных и экспертно-аналитических мероприятий Контрольно-счетная палата взаимодействует с министерством финансов Ставропольского края.
Министерство финансов Ставропольского края по запросам Контрольно-счетной палаты в установленные в них сроки представляет в Контрольно-счетную палату информацию, документы и материалы, необходимые для проведения контрольных и экспертно-аналитических мероприятий.
4. Непредставление или несвоевременное представление органами и организациями, указанными в абзаце первом части 1 настоящей статьи, в Контрольно-счетную палату по ее запросу информации, документов и материалов, необходимых для проведения контрольных и экспертно-аналитических мероприятий, а равно представление информации, документов и материалов не в полном объеме или представление недостоверных информации, документов и материалов влечет за собой ответственность, установленную законодательством Российской Федерации.
5. Контрольно-счетная палата не вправе запрашивать информацию, документы и материалы, если такие информация, документы и материалы ранее уже были ей представлены.
Статья 18. Представления и предписания Контрольно-счетной палаты
1. Контрольно-счетная палата по результатам проведенных контрольных мероприятий вправе вносить в органы государственной власти Ставропольского края и государственные органы Ставропольского края, органы местного самоуправления муниципальных образований Ставропольского края, проверяемые органы и организации и их должностным лицам представления, подписанные председателем Контрольно-счетной палаты либо его заместителем, для их рассмотрения и принятия мер по устранению выявленных нарушений и недостатков, предотвращению нанесения материального ущерба Ставропольскому краю, муниципальному образованию Ставропольского края или возмещению причиненного вреда, по привлечению к ответственности должностных лиц, виновных в допущенных нарушениях, а также мер по пресечению, устранению и предупреждению таких нарушений.
Органы государственной власти Ставропольского края и государственные органы Ставропольского края, органы местного самоуправления муниципальных образований Ставропольского края, проверяемые органы и организации в течение одного месяца со дня получения представления Контрольно-счетной палаты обязаны уведомить в письменной форме Контрольно-счетную палату о принятых по результатам рассмотрения представления Контрольно-счетной палаты решениях и мерах.
2. В случае выявления нарушений, требующих безотлагательных мер по их пресечению и предупреждению, а также в случае воспрепятствования проведению должностными лицами Контрольно-счетной палаты контрольных мероприятий Контрольно-счетная палата направляет в органы государственной власти Ставропольского края и государственные органы Ставропольского края, органы местного самоуправления муниципальных образований Ставропольского края, проверяемые органы и организации и их должностным лицам предписание с указанием сроков его исполнения.
Предписание Контрольно-счетной палаты должно содержать указание на конкретные допущенные нарушения и конкретные основания вынесения такого предписания.
3. Предписание Контрольно-счетной палаты подписывается председателем Контрольно-счетной палаты или заместителем председателя Контрольно-счетной палаты.
4. Неисполнение или ненадлежащее исполнение предписания Контрольно-счетной палаты влечет за собой ответственность, установленную законодательством Российской Федерации и (или) законодательством Ставропольского края.
5. В случае если при проведении контрольных мероприятий Контрольно-счетной палатой выявлены факты незаконного использования средств бюджета Ставропольского края и (или) бюджета муниципального образования Ставропольского края, а также средств бюджета Ставропольского краевого фонда обязательного медицинского страхования, в которых усматриваются признаки преступления или коррупционного правонарушения, Контрольно-счетная палата незамедлительно передает материалы контрольных мероприятий в правоохранительные органы в установленном порядке.
Статья 19. Гарантии прав проверяемых органов и организаций
1. Акты, составленные Контрольно-счетной палатой при проведении контрольных мероприятий (далее — акты), доводятся до сведения руководителей проверяемых органов и организаций. Пояснения и замечания руководителей проверяемых органов и организаций, представленные в течение пяти рабочих дней со дня получения акта, прилагаются к акту и в дальнейшем являются его неотъемлемой частью.
2. Проверяемые органы и организации и их должностные лица вправе обратиться с жалобой на действия (бездействие) Контрольно-счетной палаты в Думу Ставропольского края.
Статья 20. Основы взаимодействия Контрольно-счетной палаты с органами государственной власти и государственными органами, органами местного самоуправления, организациями и контрольно-счетными органами
1. Контрольно-счетная палата при осуществлении своей деятельности вправе взаимодействовать с органами государственной власти Ставропольского края, территориальными управлениями Центрального банка Российской Федерации, территориальными органами Федерального казначейства, налоговыми органами, органами прокуратуры, иными правоохранительными, надзорными и контрольными органами Российской Федерации, Ставропольского края, заключать с ними соглашения о сотрудничестве и взаимодействии.
2. Контрольно-счетная палата при осуществлении своей деятельности вправе взаимодействовать с контрольно-счетными органами других субъектов Российской Федерации, контрольно-счетными органами муниципальных образований Ставропольского края, со Счетной палатой Российской Федерации, с Союзом муниципальных контрольно-счетных органов, заключать с ними соглашения о сотрудничестве и взаимодействии, вступать в объединения (ассоциации) контрольно-счетных органов Российской Федерации, объединения (ассоциации) контрольно-счетных органов Ставропольского края.
3. Контрольно-счетная палата вправе устанавливать и поддерживать связи со счетными и контрольными палатами и органами парламентского контроля субъектов иностранных федеративных государств, а также административно-территориальных образований иностранных государств, с их международными объединениями, заключать с ними соглашения о сотрудничестве и взаимодействии, вступать в указанные международные объединения органов финансового контроля.
4. В целях координации своей деятельности Контрольно-счетная палата, органы государственной власти Ставропольского края и государственные органы Ставропольского края могут создавать как временные, так и постоянно действующие совместные координационные, консультационные, совещательные и другие рабочие органы.
5. Контрольно-счетная палата по письменному обращению контрольно-счетных органов других субъектов Российской Федерации вправе принимать участие в проводимых ими контрольных и экспертно-аналитических мероприятиях.
6. Контрольно-счетная палата вправе:
1) организовывать взаимодействие с контрольно-счетными органами муниципальных образований Ставропольского края, в том числе при проведении на территориях соответствующих муниципальных образований Ставропольского края совместных контрольных и экспертно-аналитических мероприятий;
2) оказывать контрольно-счетным органам муниципальных образований Ставропольского края организационную, правовую, информационную, методическую и иную помощь;
3) содействовать профессиональной подготовке, переподготовке и повышению квалификации работников контрольно-счетных органов муниципальных образований Ставропольского края;
4) осуществлять совместно с контрольно-счетными органами муниципальных образований Ставропольского края планирование совместных контрольных и экспертно-аналитических мероприятий и организовывать их проведение;
5) по обращению контрольно-счетных органов муниципальных образований Ставропольского края или представительных органов муниципальных образований Ставропольского края осуществлять анализ деятельности контрольно-счетных органов муниципальных образований Ставропольского края и давать рекомендации по повышению эффективности их работы.
Статья 21. Обеспечение доступа к информации о деятельности Контрольно-счетной палаты
1. Контрольно-счетная палата в целях обеспечения доступа к информации о своей деятельности размещает на своем официальном сайте в информационно-телекоммуникационной сети «Интернет» и опубликовывает в бюллетене Контрольно-счетной палаты информацию о проведенных контрольных и экспертно-аналитических мероприятиях, о выявленных при их проведении нарушениях, о внесенных представлениях и предписаниях, а также о принятых по ним решениях и мерах.
(в ред. Закона Ставропольского края от 10.04.2012 N 26-кз)
2. Контрольно-счетная палата ежегодно подготавливает отчеты о своей деятельности и представляет их на рассмотрение в Думу Ставропольского края, а также представляет информацию по ежегодному отчету Губернатору Ставропольского края.
Ежегодные отчеты подлежат опубликованию в газете «Ставропольская правда» или размещению на официальном сайте Контрольно-счетной палаты в информационно-телекоммуникационной сети «Интернет» после их рассмотрения Думой Ставропольского края.
(в ред. Закона Ставропольского края от 10.04.2012 N 26-кз)
3. Опубликование в средствах массовой информации или размещение в информационно-телекоммуникационной сети «Интернет» информации о деятельности Контрольно-счетной палаты осуществляется в соответствии с законодательством Российской Федерации, законами Ставропольского края и регламентом Контрольно-счетной палаты.
(в ред. Закона Ставропольского края от 10.04.2012 N 26-кз)
Статья 22. Финансовое обеспечение деятельности Контрольно-счетной палаты
1. Финансовое обеспечение деятельности Контрольно-счетной палаты осуществляется за счет средств бюджета Ставропольского края и предусматривается в объеме, позволяющем обеспечить возможность осуществления возложенных на нее полномочий (включая расходы на финансирование членских взносов в объединения (ассоциации) контрольно-счетных органов Российской Федерации, субъектов Российской Федерации, международные объединения органов финансового контроля, а также представительские расходы).
2. Контрольно-счетная палата, наделенная в соответствии с настоящим Законом организационной и функциональной независимостью при осуществлении финансово-хозяйственной деятельности, обладает полномочиями государственного заказчика и вправе самостоятельно размещать заказы на поставки товаров, выполнение работ, оказание услуг для государственных нужд Ставропольского края.
3. Контроль за использованием Контрольно-счетной палатой бюджетных средств, государственного имущества осуществляется на основании постановлений Думы Ставропольского края.
Статья 23. Материальное и социальное обеспечение председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты, аудиторов Контрольно-счетной палаты и работников аппарата Контрольно-счетной палаты
1. Председателю Контрольно-счетной палаты, замещающему государственную должность Ставропольского края, устанавливаются денежное вознаграждение и иные выплаты в размере денежного вознаграждения и иных выплат по должности первого заместителя председателя Правительства Ставропольского края.
2. Заместителю председателя Контрольно-счетной палаты, замещающему государственную должность Ставропольского края, устанавливаются денежное вознаграждение и иные выплаты в размере денежного вознаграждения и иных выплат по должности заместителя председателя Правительства Ставропольского края.
3. Аудиторам Контрольно-счетной палаты, замещающим государственные должности Ставропольского края, устанавливаются денежное вознаграждение и иные выплаты в размере денежного вознаграждения и иных выплат по должности министра Ставропольского края.
4. Работникам аппарата Контрольно-счетной палаты, замещающим должности государственной гражданской службы Ставропольского края, устанавливаются должностные оклады на уровне должностных окладов государственных гражданских служащих Ставропольского края, замещающих соответствующие должности государственной гражданской службы Ставропольского края в аппарате Правительства Ставропольского края.
5. Оплата труда лиц, занимающих должности в Контрольно-счетной палате, не отнесенные к должностям государственной гражданской службы Ставропольского края, производится в размерах, установленных для соответствующих работников органов исполнительной власти Ставропольского края.
6. Инспекторам Контрольно-счетной палаты, осуществляющим непосредственное проведение внешнего государственного финансового контроля, дополнительно устанавливается надбавка в размере 20 процентов должностного оклада.
7. Медицинское, санаторно-курортное, бытовое и транспортное обслуживание председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты и аудиторов Контрольно-счетной палаты производится в порядке и на условиях, установленных соответственно для первого заместителя председателя Правительства Ставропольского края, заместителя председателя Правительства Ставропольского края и министра Ставропольского края.
8. Государственные гарантии работникам аппарата Контрольно-счетной палаты, замещающим должности государственной гражданской службы Ставропольского края, предоставляются в порядке и на условиях, установленных для государственных гражданских служащих Ставропольского края, замещающих соответствующие должности государственной гражданской службы Ставропольского края в аппарате Правительства Ставропольского края.
Статья 24. Переходные положения
1. Со дня вступления в силу настоящего Закона и до сформирования Контрольно-счетной палаты в соответствии с настоящим Законом устанавливается переходный период.
2. Предложения о кандидатурах на должность председателя Контрольно-счетной палаты, заместителя председателя Контрольно-счетной палаты, аудиторов Контрольно-счетной палаты вносятся в Думу Ставропольского края не позднее 1 февраля 2012 года.
3. Решение о назначении председателя Контрольно-счетной палаты принимается Думой Ставропольского края в течение месяца со дня истечения срока для внесения предложений, указанного в части 2 настоящей статьи.
Решения о назначении заместителя председателя Контрольно-счетной палаты, аудиторов Контрольно-счетной палаты принимаются Думой Ставропольского края в течение двух месяцев со дня истечения срока для внесения предложений, указанного в части 2 настоящей статьи.
4. Полномочия председателя Счетной палаты Ставропольского края, заместителя председателя Счетной палаты Ставропольского края, образованной в соответствии с Законом Ставропольского края от 27 июля 2006 г. N 67-кз «О Счетной палате Ставропольского края», прекращаются со дня принятия Думой Ставропольского края решений в соответствии с частью 3 настоящей статьи.
5. Полномочия аудиторов Счетной палаты Ставропольского края, образованной в соответствии с Законом Ставропольского края от 27 июля 2006 г. N 67-кз «О Счетной палате Ставропольского края», прекращаются индивидуально в течение срока, указанного в части 3 настоящей статьи.
6. Формирование аппарата Контрольно-счетной палаты в соответствии с настоящим Законом осуществляется председателем Контрольно-счетной палаты после установления Думой Ставропольского края структуры и штатной численности Контрольно-счетной палаты в порядке, определенном частью 4 статьи 4 настоящего Закона.
7. Полномочия Счетной палаты Ставропольского края, образованной в соответствии с Законом Ставропольского края от 27 июля 2006 г. N 67-кз «О Счетной палате Ставропольского края», прекращаются с 1 апреля 2012 года.
Статья 25. Заключительные положения
1. Настоящий Закон вступает в силу со дня его официального опубликования.
2. Со дня вступления в силу настоящего Закона признать утратившими силу:
части 1 — 3 статьи 5, части 1 — 3, 5 статьи 6, статьи 7, 24, 25, 31, 32, части 3 — 5 статьи 33, статьи 36 и 37 Закона Ставропольского края от 27 июля 2006 г. N 67-кз «О Счетной палате Ставропольского края»;
пункт 39 статьи 1 Закона Ставропольского края от 24 декабря 2010 г. N 108-кз «О внесении изменений в отдельные законодательные акты Ставропольского края в связи с изменением наименования законодательного (представительного) органа государственной власти Ставропольского края».
3. С 1 апреля 2012 года признать утратившими силу:
статьи 1 — 4, части 5 — 7 статьи 5, часть 6 статьи 6, статьи 8, 10 — 23, 26 — 30, части 1 и 2 статьи 33, статьи 34 и 35 Закона Ставропольского края от 27 июля 2006 г. N 67-кз «О Счетной палате Ставропольского края»;
статью 4 Закона Ставропольского края от 15 июля 2009 г. N 43-кз «О внесении изменений в отдельные законодательные акты Ставропольского края».
4. Установить, что в переходный период статьи 1 — 4, части 5 — 7 статьи 5, часть 6 статьи 6, статьи 8, 10 — 23, 26 — 30, части 1 и 2 статьи 33, статьи 34 и 35 Закона Ставропольского края от 27 июля 2006 г. N 67-кз «О Счетной палате Ставропольского края» применяются в части, не противоречащей Федеральному закону.
Губернатор
Ставропольского края
В.В.ГАЕВСКИЙ
г. Ставрополь
28 декабря 2011 г.
N 102-кз
Установка доступа | Wialon Hosting
Для назначения прав нужно иметь флаг Управлять правами доступа пользователя на пользователя, которому даются права, а также флаг Управление доступом к элементу в отношении элемента, на который права устанавливаются.
Для установки доступа к какому-либо элементу войдите в диалог свойств этого элемента и перейдите на вкладку Доступ. Данная вкладка показывается, только если имеется право Управление доступом к элементу.
В левой части диалога отображается список пользователей. В этот список попадают только те пользователи, на которых у Вас имеется право Управлять правами доступа пользователя. Причем те пользователи, которые уже имеют какой-либо доступ к элементу, подсвечиваются цветом и отображаются вверху списка.
Над списком доступен динамический фильтр для поиска пользователей по следующим критериям: имя, создатель или учетная запись. Критерий поиска можно выбрать над фильтром.
Существует еще один способ, который облегчает работу со списком. Список может быть отсортирован по алфавиту или по правам доступа. Для этого рядом с динамическим фильтром располагается соответствующая кнопка. Кнопка показывает вариант сортировки, отличный от используемого.
- — включается сортировка по правам доступа;
- — включается алфавитная сортировка.
Если количество элементов в списке превышает 1000 единиц, то для списка по умолчанию будет использоваться алфавитная сортировка.
В правой части диалога отображается список прав доступа, а также имеющиеся шаблоны доступа. Список прав разделен на две секции — стандартные и специальные. Их подробное описание содержится в следующих разделах:
Если слева переключаться с одного пользователя на другого, флаги справа будут меняться в зависимости от того, какие права имеет выбранный пользователь.
В каждой секции списка прав доступа располагается 2 столбца флагов. Первый столбец (прямые права) используется для назначения/снятия прав. Второй столбец (комбинированные права) показывает, какими правами обладает пользователь на данный момент (столбец только для просмотра).
Выставление флага в первом столбце может быть осуществлено, но не применено к выбранному пользователю ввиду отсутствия данного права у вышестоящих пользователей (запрет по иерархии). О наличии такого запрета может свидетельствовать отсутствие флага в столбце комбинированных прав.
В случае с объектами возможна обратная ситуация — флаг в первом столбце не выставлен, но выставлен во втором. Это означает, что объект входит в группы, на которые у пользователя больше прав, чем на данный объект. То есть, до тех пор пока объект входит в данные группы, у пользователя в отношении данного объекта действуют те же права, что и на сами группы.
Далее описаны некоторые принципы установки флагов доступа.
Для установки прав выделите пользователя слева, а справа отметьте флажками необходимые права либо выберите шаблон вверху.
Можно выделить несколько пользователей одновременно, удерживая Сtrl или Shift, и тем самым установить одинаковые права нескольким пользователям.
Если Вы ставите флаг, который не работает без какого-либо другого флага, то тот другой флаг устанавливается автоматически. Например, Вы пытаетесь поставить Управление произвольными полями. В таком случае автоматически поставится предыдущий флаг Просмотр произвольных полей, так как не видя поля невозможно их ни редактировать, ни удалять.
По этой же причине бывает невозможно снять какой-либо флаг, пока в списке остаются отмеченными какие-либо флаги, которые зависят от него. Их нужно снять прежде.
Чтобы поставить или снять все флаги в одной секции одновременно, зажмите Ctrl на клавиатуре и щелкните по любому флагу.
После того как флаги установлены для их применения нужно нажать кнопку ОК.
Шаблоны прав доступа
Шаблоны помогут упростить и ускорить установку прав доступа. Вы можете создать различные наборы прав для различных ролей, например, для диспетчера, менеджера, заказчика и т. п. Причем для каждого типа элемента (объекта, маршрута и т. п.) могут быть созданы свои шаблоны. Созданные шаблоны затем применяются к выбранным пользователям одним кликом мыши.
Секция с шаблонами располагаются в диалоге над списком прав доступа. Шаблоны, предусмотренные по умолчанию, можно удалить или отредактировать, а также создать новые. Для этого под списком шаблонов располагается кнопка Редактировать шаблоны. После нажатия на данную кнопку левая часть диалога и список прав доступа будут отображаться как неактивные, а также появятся кнопки работы с шаблонами.
Для создания шаблона нажмите на кнопку Создать шаблон. В списке шаблонов появится новый шаблон. Задайте ему имя (для этого сделайте двойной щелчок по полю имени), а затем проставьте необходимые флаги в активировавшемся списке прав снизу. Затем нажмите Сохранить.
Создать новый шаблон можно также методом копирования существующего. Для этого нажмите на кнопку , которая появится, если навести курсор мыши на шаблон. Внесите изменения (отредактируйте имя и флаги), а затем нажмите Сохранить. Следует иметь в виду, что в рамках одного типа элемента нельзя создавать шаблоны с одинаковым набором флагов. Дубликаты будут удалены.
Чтобы удалить шаблон прав доступа, нажмите на соответствующую кнопку , которая появится, если навести курсор мыши на шаблон.
Каждый шаблон имеет цвет, который ему соответствует. Этот цвет дается шаблону в момент создания, и редактировать его нельзя. Если шаблон применен к какому-либо пользователю, то последний для наглядности приобретает соответствующий фон (при отображении в списке слева). Однако в применении цвета есть некоторые исключения. Если шаблон не имеет ни одного флага (например, шаблон Нет доступа), то его цвет не применяется — пользователи без доступа всегда остаются без фона. Что касается пользователей, которым установлен доступ вне привязки к каким-либо шаблонам, то такие пользователи приобретают желтый фон, отличающийся от фона любого из шаблонов. Такой же фон приобретают пользователи, к которым не удалось применить шаблон в полной мере (когда у раздающего пользователя самогó нет тех прав, которые он пытается передать другим). Кроме того, желтый фон используется для отображения пользователей, которые не обладают прямыми правами, но обладают комбинированными.
Установка доступа у пользователей несколько отличается от стандартной. Ее подробное описание можно найти ниже.
Доступ к объектам может быть изменен не только вручную, но и автоматически, что доступно в системе мониторинга через соответствующие задания и уведомления.
Какими важными правами обладает потребитель финансовых услуг
Покупатель имеет право:
- на качество товара, работы, услуги; продукция должна соответствовать условиям договора, быть пригодна для использования по назначению;
- на необходимую и достоверную информацию о том, что продается, кто продает и кем это изготовлено, как и когда это можно приобрести;
- на безопасность товара — товар должен быть безопасен для жизни, здоровья потребителя, окружающей среды;
- в случае продажи товара ненадлежащего качества (недостатки не были оговорены продавцом) требовать замены недоброкачественного товара товаром надлежащего качества; уменьшения покупной цены; устранения недостатков товара; возмещения расходов на устранение недостатков товара;
- в случае обнаружения недостатков товара, свойства которого не позволяют их устранить (продовольственные товары, товары бытовой химии и т. п.), потребовать замены такого товара товаром надлежащего качества или соразмерного уменьшения цены;
- отказаться от исполнения договора выполнения работ (услуг), оплатив исполнителю фактически понесенные им расходы;
- требовать возмещения убытков, возникших вследствие покупки товара ненадлежащего качества;
- в течение 14 дней вернуть товар (товары, купленные через интернет, — в течение 7 дней), подлежащий возврату, даже если к его качеству нет претензий, но он не подошел по форме, габаритам, фасону, расцветке, размеру или комплектации (к моменту возврата в магазин товар не должен потерять своего товарного вида, фабричных пломб и ярлыков).
Правовое поле:
- Гражданский кодекс Российской Федерации, раздел IV. Отдельные виды обязательств
- Закон РФ «О защите прав потребителей»
- Постановление Правительства РФ «Об утверждении Правил продажи отдельных видов товаров, перечня товаров длительного пользования, на которые не распространяется требование покупателя о безвозмездном предоставлении ему на период ремонта или замены аналогичного товара, и перечня непродовольственных товаров надлежащего качества, не подлежащих возврату или обмену на аналогичный товар других размера, формы, габарита, фасона, расцветки или комплектации»
- Федеральный закон «О качестве и безопасности пищевых продуктов»
8 Права пользователя в соответствии с GDPR
Комиссия ЕС описывает Общий регламент защиты данных (GDPR) как:
«важный шаг к укреплению основных прав граждан в цифровую эпоху [который] предоставляет инструменты для получения контроля над личными данными ».
GDPR достигает этого, устанавливая восемь прав , которыми обладают все граждане ЕС, когда дело доходит до обработки их личных данных.Эти 8 прав можно найти в главе 3 GDPR.
Если ваша компания контролирует данные, она несет ответственность за содействие осуществлению этих прав от имени граждан ЕС. Согласно определениям, изложенным в статье 4 GDPR, контролером данных является любая организация или физическое лицо, которое решает , как и , почему обрабатываются личные данные граждан ЕС.
Итак, если ваша компания, например, принимает платежные реквизиты от граждан ЕС, собирает их имена и адреса электронной почты или хранит информацию браузера на веб-сайте, доступном изнутри ЕС — это контролер данных, и его могут попросить помочь Гражданин ЕС осуществляет свои права на данные .
Звучит устрашающе? Что ж, в большинстве случаев это должно быть относительно просто — если у вас есть правильные системы вместо .
Давайте посмотрим на эти 8 прав пользователей и на то, как их успешно использовать.
Право на информацию
Если вы обрабатываете чьи-то личные данные, они имеют право знать об этом — все об этом. GDPR требует, чтобы вы проинформировали своих пользователей о:
- Кто вы и как они могут связаться с вы
- Почему вы обрабатываете свои личные данные
- Какие типы персональных данных вы обрабатываете
- Подробная информация о ваших законных основаниях для обработки их данных (их шесть, указанные в статье 6 GDPR)
- Как долго вы будете хранить своих данных
- Какие типы организаций вы будете использовать для (платформы электронной коммерции, провайдеры электронной почты и т. Д.))
- Какие права пользователь имеет на свои данные
Создать политику конфиденциальности
В соответствии со статьей 12 GDPR, приведенная выше информация должна быть представлена в « в краткой, прозрачной, понятной и легко доступной форме, используя ясный и простой язык. »
Единственный способ выполнить это требование — иметь Политику конфиденциальности . Политика конфиденциальности требуется по закону для любого человека или организации, которые обрабатывают персональные данные граждан ЕС.
Вот отрывок из Политики конфиденциальности Soundcloud, где Soundcloud объясняет, какие данные он собирает от пользователей, создающих учетную запись.
Если один из ваших пользователей воспользуется своим правом на получение информации, вы можете просто указать ему на свою юридически соответствующую Политику конфиденциальности. Если у вас его нет, , вам нужно создать .
Право доступа
Согласно статье 15 GDPR, вашим пользователям разрешено запрашивать информацию о любых своих личных данных, которые обрабатывает ваша компания.Это называется Subject Access Request .
Информация, которую вашу компанию могут попросить предоставить, включает:
- Подтверждение того, обрабатываете ли вы данные пользователя
- копия любых личных данных пользователя, которые вы храните
- Любая информация, которая должна быть в вашей Политике конфиденциальности
Рассмотрите возможность создания формы запроса доступа к субъекту
В декларации 59 GDPR говорится, что «должно быть предусмотрено условий для облегчения осуществления прав субъекта данных. «
Другими словами, у вас должна быть система . GDPR также рекомендует вам « предоставить средства для электронных запросов. »
Вы можете разместить на своем веб-сайте форму запроса на доступ к теме.
Университет Саутгемптона в Великобритании предоставляет такую форму. Вот его часть:
Такая форма позволяет пользователям легко и удобно осуществлять свои права.
Право на исправление
Статья 5 (1) (d) GDPR перечисляет « точность » как один из основополагающих принципов обработки данных.Соответствующее право можно найти в статье 16 как право на исправление. Это право дает пользователям возможность запросить у вашей компании исправление любых неточных данных , которые она хранит о них.
Ваша компания может не получать достаточно запросов на исправление, чтобы гарантировать наличие специальной формы. Однако вам все равно необходимо указать исправление в вашей Политике конфиденциальности.
Вот как инвестиционная группа Octopus Ventures упрощает запросы своих пользователей на исправление в диаграмме в своей Политике конфиденциальности:
Право на стирание
Право на удаление можно найти в статье 17 GDPR.Иногда это называется « право на забвение », это одна из самых известных частей GDPR, но на самом деле GDPR лишь кодифицирует существующий правовой принцип.
Право на удаление проистекает из судебного дела Google Spain против AEPD, Марио Костеха Гонсалес (2014), в котором Марио Костеха Гонсалес успешно потребовал, чтобы Google удалил нескольких ссылок на него из результатов поиска. Решение по делу было несколько неверно истолковано, и некоторые полагают, что теперь любой человек имеет право удалить свое имя из Google.Это не совсем то, что дает право на удаление, но оно дает пользователям право запрашивать удаление их личных данных при определенных обстоятельствах.
Не соответствует автоматически
Существуют определенные условия, при которых ваша компания может и должна отказать в выполнении запроса пользователя на удаление данных. Однако вы должны соответствовать , если:
- Персональные данные больше не требуются по прямому назначению.
- У пользователя отозванное согласие для вашей компании на обработку его данных.
- Ваша компания обрабатывает данные пользователя незаконно .
- У вашей компании есть юридическое обязательство по удалению данных.
- Ваша компания не может утверждать, что ее законные интересы в обработке данных пользователя перевешивают право пользователя на их удаление.
Определенные условия, касающиеся детей, также применяются в соответствии со статьей 8.
Отсюда следует, что вы должны выполнять , а не , если вам нужно продолжать обработку данных пользователя для выполнения той задачи, для которой вы их использовали.Возможно, вам придется подумать, имеет ли пользователь право ограничить или объект этой обработкой.
Чтобы представить это в контексте, вот выдержка из Политики конфиденциальности ювелирной компании Silverado:
Кажется разумным, что личные данные пользователя должны храниться в файле, пока их заказ обрабатывается или решаются какие-либо текущие проблемы. Третье условие также может быть оправданным, если поведение пользователя исследуется или существует риск того, что пользователь снова воспользуется услугами компании не по назначению.
Право на ограничение обработки
В качестве альтернативы запросу исправления или удаления своих личных данных пользователь может потребовать, чтобы ваша компания воздерживалась от от выполнения определенных действий с их данными. Это право в статье 18.
Вот пример ситуации, в которой физическое лицо может запросить ограничение обработки, предоставленное Европейской комиссией:
Это может быть вариант для пользователей, которые не могут удалить свои данные по причинам, указанным выше.Или это может быть подходящая временная мера , пока ваша компания рассматривает возражения пользователя против обработки их данных.
Если пользователь возражает против обработки вашей компанией своих данных или делает запрос на исправление, а вы не можете немедленно выполнить его, вам следует всегда рассматривать ограничения обработки , пока вы обрабатываете этот запрос.
Есть система для обработки ограниченных данных
Изложение 67 GDPR предлагает несколько способов обработки этого запроса.Вы могли:
- Перенести данные с ограничениями в отдельную систему
- Временно сделать данные недоступными
- Временно удалить данные с вашего сайта
Вообще говоря, ваша компания не должна обрабатывать данные с ограниченным доступом иначе, как для их хранения.
Право на переносимость данных
Статья 20 GDPR дает пользователям право запросить копию любых своих персональных данных, которыми обладает ваша компания.Идея состоит в том, что физических лиц должны действительно владеть своими личными данными. Они должны иметь возможность забрать у вас и передать другой организации, если они захотят.
Декларация 68 GDPR гласит, что право на переносимость данных « не должно применяться, если обработка основана на правовом основании, отличном от согласия или контракта. » Это означает, что вам не нужно выполнять с просьбой о предоставлении переносимость данных, если вы не попросите у своих пользователей согласие на обработку их данных или не заключите с ними договор .
Рассмотрим систему стороннего производителя
В некоторых государствах-членах ЕС предлагаются услуги, которые облегчают перенос данных от имени пользователей. Midata является одной из таких систем и доступна в Великобритании, Германии, Нидерландах и Швейцарии (хотя Швейцария не является государством-членом ЕС, GDPR все еще применяется там).
Если ваша компания желает внедрить свою собственную систему переносимости данных, единственные спецификации, приведенные в статье 20 GDPR, заключаются в том, что данные предлагаются в «» — структурированном, широко используемом и машиночитаемом формате. «Это означает, что вы можете разработать систему экспорта пользовательских данных в файл Excel или документ Word.
Если вы используете стороннее программное обеспечение для работы с базами данных, вполне вероятно, что это программное обеспечение имеет возможность экспортировать пользовательские данные в такой формат.
В декларации 69 GDPR также говорится, что «, если это технически возможно, субъект данных должен иметь право на передачу личных данных напрямую от одного контроллера другому. »
Вот как образовательная организация Advance HE описывает переносимость данных в своей Политике конфиденциальности:
Право на возражение
Статья 21 GDPR дает пользователям право на объект на обработку своих данных.
Это наиболее важно в контексте прямого маркетинга .
В отличие от большинства других прав, в этом контексте нет никаких оговорок. Пользователь имеет полное право возражать против прямого маркетинга . Если пользователь заявляет, что больше не желает получать материалы прямого маркетинга от вашей компании, вы должны подчиниться. Однако это не означает, что вам также придется удалить их личные данные.
Право возражать против обработки, отличной от целей прямого маркетинга, является более сложным, и пользователь должен предоставить свои основания для такого возражения.Есть причины, по которым ваша компания может отказать в этом для удовлетворения возражения, например, если у вас есть законный интерес в обработке данных пользователя для защиты от судебных исков .
Информируйте пользователей об их праве на возражение
В декларации 70 GDPR говорится, что право возражать против прямого маркетинга « должно быть явно доведено до сведения [ваших пользователей] и представлено четко и отдельно от любой другой информации. »
Ваша компания должна включать ссылку « отказаться от подписки, » во всех электронных письмах прямого маркетинга.Вы также должны указать в своей Политике конфиденциальности способы, которыми ваши пользователи могут возражать против прямого маркетинга.
Вот как это делает продавец одежды H&M:
Право возражать против определенных типов автоматизированного принятия решений, вероятно, является самым неясным из прав пользователей и содержится в статье 22 GDPR. Прежде чем рассматривать, что влечет за собой это право, стоит объяснить, к каким компаниям оно относится.
По данным Управления комиссара по информации (ICO), надзорного органа Великобритании, « Статья 22 применяется к исключительно автоматизированному индивидуальному принятию решений, включая профилирование, с юридическими или аналогичными значительными последствиями. «
Давайте разберемся с этим.
- « Исключительно автоматизированное индивидуальное принятие решений » — например, электроэнергетическая компания автоматически отключает подачу электроэнергии потребителю, если он не оплачивает свои счета. « Исключительно » означает, что человек не участвует.
- «Включая профилирование » — профилирование означает использование данных о человеке или группе для прогнозирования их поведения и принятия соответствующих решений. Кредитные чеки — один из примеров профилирования.
- «При юридических или аналогичных значимых эффектах » — решение, ведущее к усилению государственного надзора, будет иметь «юридическую силу». Изложение 71 GDPR предполагает, что полностью автоматизированный отказ в предоставлении кредита или принятие определенных решений о найме будет достаточно значительным, чтобы подпадать под действие статьи 22.
Если ваша компания не принимает такого рода решения, не нужно беспокоиться об этом праве пользователя.
Всегда предлагайте вмешательство человека
Если ваша компания принимает исключительно автоматизированное решение, которое может привести к значительному отрицательному эффекту для ваших пользователей, вам необходимо предложить пользователям средство, чтобы решение было пересмотрено и было пересмотрено человеком .Это означает, что эту работу поручают сотрудникам вашей компании.
Вот как это предлагает Novitas Loans в своей Политике конфиденциальности:
Облегчение прав пользователей
Невыполнение запроса о предоставлении прав пользователя в соответствии с GDPR может привести к подаче жалобы в ваш надзорный орган и потенциальному наложению крупного штрафа . Вы можете обнаружить, что ваша компания никогда не получает такой запрос, но вам все равно нужны системы , чтобы вы могли ответить, если это произойдет.Ваша компания также должна продемонстрировать свою готовность соблюдать в ее Политике конфиденциальности.
Права различны, и для каждой из них потребуются разные системы. Вот факторы, общие для многих или всех из них:
- Вы должны проинформировать ваших пользователей через вашу Политику конфиденциальности о том, что они могут запрашивать права пользователей.
- Ваша компания обычно не может взимать плату в размере за ответ на запрос прав пользователя, но она может взимать плату за запросы, которые являются « явно необоснованными или чрезмерными » или повторяются.
- Ваша компания всегда должна отвечать на запросы, а всегда должна стремиться выполнять , за исключением случаев, когда запросы « явно необоснованны или чрезмерны. »
- Ваша компания должна отвечать на каждый запрос « без неоправданной задержки » — в течение максимум одного месяца . Может быть разумным занять больше времени, но вы должны держать пользователя в курсе во время процесса.
- Если есть сомнения относительно личности пользователя, отправляющего запрос, вы можете запросить ID .
Государственная политика в отношении Интернета должна быть основана на правах и ориентирована на пользователя
Сегодня не может быть ресурса более мощного или уязвимого, чем данные. Центральная роль, которую обмен данными играет в современном обществе, от использования социальных сетей до доступа к административным услугам, сопровождается высокой степенью риска. Обмен данными в массовом масштабе и для многих целей в мире цифровых технологий означает, что наша личная информация становится все более уязвимой для атак и неправомерного использования.В наших онлайн-коммуникациях и транзакциях мы рискуем раскрыть подробности нашей жизни, которые раньше были конфиденциальными. Это включает в себя не только финансовые данные, которые необходимо хранить в безопасности, но также информацию о нашем местонахождении, наших друзьях, семьях и партнерах, наших политических убеждениях, наших покупках и даже данные о нашем здоровье. Кроме того, государства по всему миру создают системы цифровой идентификации, которые подключаются к нашей биометрической информации, строя мост от нашей цифровой деятельности к нашей жизни и идентичности в автономном режиме.Затем эта цифровая идентификация может стать целью использования в коммерческих или политических целях.
Перед президентскими выборами в США в 2016 году британская фирма Cambridge Analytica позволила использовать данные из 50 миллионов учетных записей Facebook для создания профилей для целевой политической рекламы. Возникший в результате скандал помог повысить осведомленность общественности во всем мире о силе данных для манипулирования и контроля в цифровую эпоху, а также о том, как мало у нас средств защиты от такого рода злоупотреблений.В Соединенных Штатах нет всеобъемлющей системы защиты данных, и мало что может остановить неправомерное использование платформы Facebook для разжигания разногласий в Интернете и потенциального влияния на выборы. Такое же отсутствие защиты могло быть фактором и на президентских выборах 2018 года в Бразилии. 1 В отсутствие соответствующих законов, политик и корпоративных практик, основанных на международно признанных принципах прав человека, данные, которыми мы делимся каждый день, могут быть искажены, чтобы подорвать демократические процессы и нанести ущерб наиболее уязвимым из нас.
К сожалению, то, как государства реагируют на подобные скандалы с участием Cambridge Analytica, может усугубить ситуацию, а некоторые инициативы даже служат подрыву основных прав граждан, которых они якобы защищают. Эти меры выходят за рамки поспешного принятия неадекватных законов о защите данных без надлежащих консультаций или участия гражданского общества. 2 Правительства по всему миру уделяют особое внимание данным и национальной безопасности, чтобы подтолкнуть ошибочные усилия по локализации данных 3 и продвижению законов о кибербезопасности или киберпреступности, которые не ориентированы на пользователя, не обеспечивают безопасность данных и эффективно открывают двери для Нарушение прав человека.Правовые рамки, созданные для защиты наших данных или повышения кибербезопасности, должны быть разработаны с учетом права человека на неприкосновенность частной жизни, признанного в международных документах по правам человека. Например, законы, разрешающие слежку, должны быть «необходимыми и соразмерными». 4 Перед всеми государствами-членами Организации Объединенных Наций стоит задача отстаивать основные права человека, как в Интернете, так и вне его, и в эту цифровую эпоху конфиденциальность является краеугольным камнем этих прав.
Тем не менее, по мере того как правительства пытаются определить правила игры в быстро меняющемся цифровом ландшафте, они часто преследуют цели политики, законодательства и управления таким образом, который не учитывает перспективы, права или потребности людей.Законы, разработанные без участия различных заинтересованных сторон, включая голоса гражданского общества, подвергают маргинализированные группы, в частности, риску серьезных нарушений прав человека. Недавнее законодательство о «киберпреступности», принятое в одном из государств-членов Организации Объединенных Наций в Северной Африке, а также закон о регулировании СМИ демонстрируют, как законодательство, созданное для регулирования киберпространства, может подорвать гражданские свободы и криминализировать деятельность, связанную с осуществлением прав человека, включая право на неприкосновенность частной жизни. и свободное выражение.Такие законы разрешают широкую государственную цензуру, блокировку веб-сайтов и онлайн-наблюдение. Закон о киберпреступности, например, обязывает интернет-провайдеров хранить и хранить данные пользователей, включая телефонные звонки, текстовые сообщения, а также историю просмотров и приложений, в течение 180 дней, и что они делают эти данные доступными для правоохранительных органов. без необходимых гарантий прав человека.
Это очевидное пренебрежение правом на неприкосновенность частной жизни делает возможным криминализацию свободы слова.Это облегчает государственную цензуру критических голосов, способствует формированию культуры самоцензуры и страха, что еще больше подрывает неотъемлемое право беспрепятственно придерживаться и выражать мнения. Соответственно, волна оптимизма, охарактеризовавшая дискурс о росте Интернета и новых технологий после восстаний 2011 года в Северной Африке и на Ближнем Востоке, когда многие провозгласили, что Интернет может служить платформой для свободы выражения мнений, ассоциаций и активности. , теперь отменяется.Новые законы используются для подавления критики и инакомыслия, фактически закрывая пространство для свободного и открытого дискурса в Интернете. Такое подавление критических высказываний нарушает статью 19 Всеобщей декларации прав человека, которая предоставляет право на свободу мнений и их свободное выражение, а также доступ к информации «через любые средства массовой информации и независимо от государственных границ», а также статью 19 Международного пакта. о гражданских и политических правах, участниками которого являются 172 страны.
Правительства в Азии аналогичным образом продвигают законы, ограничивающие свободу выражения мнений.Законодательство о цифровой безопасности, принятое государством-членом в регионе, является ярким примером этой пугающей тенденции. Рассматриваемый закон был разработан как замена более раннему закону, касающемуся информационно-коммуникационных технологий (ИКТ), который сам использовался для подавления инакомыслия путем предоставления возможности уголовного преследования обвиняемых в распространении ложной информации в Интернете с применением обременительных штрафов и штрафов. предложения. Последний закон содержит расплывчатые положения, которые оставляют его открытым для злоупотреблений, и он аналогичен своему предшественнику.Например, законом учреждаются агентство цифровой безопасности и национальный совет цифровой безопасности, но юрисдикция и полномочия этих государственных органов остаются неопределенными. Это также расширяет полномочия полиции на обыск любого человека или места без ордера, если физическое или юридическое лицо просто подозревается в совершении «цифрового преступления». Криминализируя выражение личного мнения в Интернете, закон исключает любые соображения, основанные на правах, и бросает враждебную тень на осуществление гражданских свобод.
Как отмечалось выше, ожидание своего часа, чтобы углубить и усугубить риски для прав человека, связанные с этими законами, является толчком для разработки национальных программ цифровой идентификации, некоторые из которых уже реализованы. Такие программы влекут за собой сбор и хранение наших конфиденциальных личных данных и биометрических идентификаторов для создания и аутентификации единого цифрового идентификатора. Они предназначены для обеспечения эффективного предоставления государственных услуг. Но прежде чем создавать централизованные хранилища личных и биометрических данных, государства должны понимать весь спектр рисков, связанных с пользователями. 5 Им также следует избегать ошибки развертывания таких программ без реальных прав человека и защиты кибербезопасности, закрепленных в законе. 6
В 2016 году законодатели другого государства-члена в Северной Африке выдвинули предложенный законопроект о биометрической идентификации, а коалиция субъектов гражданского общества начала кампанию по привлечению внимания к его недостаткам. В этом опасном предложении не указывалось, какие данные будут храниться и у кого будет к ним доступ.В нем также не были включены положения, необходимые для защиты данных. В целом законопроект представляет собой угрозу конфиденциальности, кибербезопасности и данных граждан этой страны, а значит, и их основным правам. Законопроект был в конечном итоге отклонен после значительного сопротивления со стороны гражданского общества. Однако, учитывая предполагаемые преимущества национальных схем цифрового удостоверения личности, мы можем быть уверены, что они будут продолжать развиваться. Если эти значительные риски не будут фактически уменьшены, такие схемы могут подорвать права на неприкосновенность частной жизни, свободу передвижения и свободу выражения мнения, где бы они ни реализовывались.
Цифровое будущее уже наступило. Поскольку почти каждый аспект нашей жизни становится оцифрованным, мы должны обеспечить, чтобы законы и политика основывались на основных правах. Законы должны позволять нам удовлетворять наши основные потребности и процветать, предлагая защиту от злоупотребления властью. Напомним, что наши данные — это гораздо больше, чем «новая нефть». Он отражает то, кем мы являемся, и, как продолжение нашего «я», он должен охраняться высочайшим уровнем защиты.
Банкноты
1.Вероника Арройо и Хавьер Паллеро, «Ваши данные используются против вас: сообщения о манипуляциях в WhatsApp накануне выборов в Бразилии», Access Now, 26 октября 2018 г.
Доступно по адресу https://www.accessnow.org/your-data-used- против-вас-отчеты-о-манипуляции-на-WhatsApp-перед-бразильских-выборов /.
2. Вероника Арройо и Хавьер Паллеро, «Панама: гражданское общество требует открытого процесса для поспешного принятия законопроекта о защите данных», Access Now, 10 октября 2018 г. Доступно по адресу https://www.accessnow.org/panama-civil-society- требует-открытый-процесс-для-срочной-защиты-данных-счета /.
3. Редакция: «Скоро может быть три интернета. Америка не обязательно будет лучшей », New York Times , 15 октября 2018 г.
Доступно по адресу https://www.nytimes.com/2018/10/15/opinion/internet-google-china-balkanization. html.
4. Необходимые и соразмерные, «Международные принципы применения прав человека к слежке за коммуникациями» (май 2014 г.).
Доступно по адресу https://neededandproportionate.org/principles.
5.Бретт Соломон, «Цифровые идентификаторы опаснее, чем вы думаете», WIRED (, 28 сентября 2018 г.). Доступно по адресу https://www.wired.com/story/digital-ids-are-more-dangerous-than-you-think/.
6. Вафа Бен-Хассин, «Программы цифровой идентичности: что может пойти не так? Наш вклад в Неделю электронной торговли ЮНКТАД », Access Now, 19 апреля 2018 г.
Доступно по адресу https://www.accessnow.org/digital-identity-programs-what-could-go-wrong-our-contribution-at- unctads-e-commerce-week /
Что такое права доступа? Определение
Что такое права доступа?
Права доступа — это права отдельного пользователя или компьютерного приложения на чтение, запись, изменение, удаление или иной доступ к компьютерному файлу; изменять конфигурации или настройки, а также добавлять или удалять приложения.Администратор сети или информационных технологий организации может определять разрешения для файлов, серверов, папок или определенных приложений на компьютере.
В CRM Software создание прав доступа пользователей позволяет сотрудникам различных отделов проверять информацию о клиенте и — особенно при обращениях в службу поддержки — историю звонков и обслуживания. Например, те, кто помогает клиенту решить техническую проблему с Интернетом или кабельным телевидением, могут видеть, когда клиент звонил, с кем он разговаривал, суть предыдущих разговоров или решений и результат.
Те, у кого есть административные права или привилегии, могут изменять компьютер или его файлы в целом любым способом, например, создавая учетные записи для других пользователей или загружая и устанавливая приложения на компьютер или их сеть. У администратора обычно есть идентификационный код пользователя и пароль, недоступные другим сотрудникам компании. Персонал, обладающий только базовыми правами пользователя, имеет больше ограничений на доступ и изменение файлов, настроек и приложений компьютера. Уровень прав доступа часто зависит от должности пользователя или руководящей роли в компании.У менеджеров обычно больше привилегий.
Базовый уровень доступа пользователя, например, — это уровень ограниченного доступа, который указывает, что пользователь имеет доступ к записям, которыми он владеет или которыми он поделился. Как правило, права доступа пользователя привязаны к уровню контролирующих полномочий, которыми обладает пользователь, или иным образом в зависимости от потребностей организации в области информационной безопасности. Обычно сотрудники или представители по продажам и обслуживанию получают доступ к компьютерным сетям только на базовом уровне пользователя. Те, кто контролирует конкретное подразделение, обычно имеют доступ на уровне локального пользователя, что позволяет им просматривать и при необходимости изменять файлы или станции тех, кто находится в их подразделении.Более глубокий доступ предоставляется руководителям их подразделений и подчиненных подразделений.
Организации резервируют глобальный доступ для тех, кто осуществляет надзор за всем предприятием; руководителям и должностным лицам более высокого уровня необходим доступ для оценки и, при необходимости, пересмотра бизнес-моделей или стратегий и принятия других решений, влияющих на организацию в целом.
Законы штатов, касающиеся конфиденциальности цифровых данных
Содержание
Контакт
Обзор
Интернет и новые технологии постоянно поднимают новые политические вопросы о конфиденциальности, и законодатели штата продолжают решать множество проблем конфиденциальности, возникающих в результате онлайн-активности.
Эта веб-страница документирует законы штата в ограниченном количестве областей : полная конфиденциальность данных потребителей, политика конфиденциальности веб-сайтов, конфиденциальность загрузки книг в Интернете и информация о просмотре читателями, личная информация, хранящаяся у поставщиков Интернет-услуг, онлайн-маркетинг определенных продуктов, направленных на несовершеннолетние и мониторинг электронной почты сотрудников. Другие типы государственных законов регулируют конфиденциальность и также могут применяться к онлайн-деятельности.
ОБРАТИТЕ ВНИМАНИЕ: NCSL обслуживает законодателей штата и их сотрудников.Этот сайт предоставляет только общую сравнительную информацию и не должен рассматриваться или толковаться как юридическая консультация. Кроме того, NCSL не защищает и не занимает позицию в отношении законодательства, законов или политики штата. Любые внешние ресурсы, представленные ниже, предназначены только для информационных целей.
Закон о конфиденциальности данных потребителей
Всеобъемлющие законы о конфиденциальности данных потребителей
Три штата — Калифорния, Колорадо и Вирджиния — приняли всеобъемлющие законы о конфиденциальности данных потребителей.Эти три закона имеют несколько общих положений, таких как, среди прочего, право доступа и удаления личной информации, а также отказ от продажи личной информации. Другие положения требуют, чтобы коммерческие веб-сайты или онлайн-сервисы публиковали политику конфиденциальности, в которой описываются типы собираемой личной информации, какая информация передается третьим сторонам и как потребители могут запрашивать изменения в определенной информации. Кроме того, Комиссия по единому праву одобрила Единый закон о защите личных данных — типовой закон, призванный служить образцом для единого государственного законодательства о конфиденциальности.
Калифорния Кал. Civ. Кодекс §§ 1798.100 и след. (Закон Калифорнии о защите прав потребителей от 2018 г. (CCPA))
Позволяет потребителям иметь право запрашивать у компании раскрытие категорий и конкретных частей личной информации, которую компания собрала о потребителях, а также источника этой информации и бизнес-целей. для сбора информации. Предоставляет возможность потребителям потребовать от компании удалить личную информацию, полученную от потребителей.Обеспечивает, что потребители имеют право отказаться от продажи компанией своей личной информации, и компания не может дискриминировать потребителей, которые отказываются. Относится к жителям Калифорнии. (A.B.375, действует с 1 января 2020 г., с изменениями, внесенными S.B. 1121 2018 г.)
Связанная информация CCPA:
Закон о правах потребителей в Калифорнии (CPRA)
Предложение 24, утверждено в ноябре 2020 г., вступает в силу с 1 января 2023 г.
Расширяет законы о конфиденциальности данных потребителей.Позволяет потребителям: (1) запрещать предприятиям делиться личной информацией; (2) исправить неточную личную информацию; и (3) ограничить использование компаниями «конфиденциальной личной информации», включая точную геолокацию; гонка; этническая принадлежность; религия; генетические данные; частные коммуникации; сексуальная ориентация; и уточненная информация о здоровье. Учреждает Калифорнийское агентство по защите конфиденциальности, которое дополнительно обеспечивает соблюдение законов о конфиденциальности потребителей и налагает штрафы. Изменяет критерии, по которым предприятия должны соблюдать законы.Запрещает компаниям хранить личную информацию дольше, чем это необходимо. Увеличивает втрое максимальные штрафы за нарушения, касающиеся потребителей младше 16 лет. Утверждает гражданские санкции за кражу данных для входа в систему, как указано. (С изменениями, внесенными 2021 г. А.Б. 1490)
Колорадо
Colo. Rev. Stat. § 6-1-1301 и след. (2021 HS.B.190)
Создает Закон штата Колорадо о конфиденциальности в рамках Закона штата Колорадо о защите прав потребителей. Учитываются права потребителей на неприкосновенность частной жизни, ответственность компаний за защиту личных данных и уполномочивает генерального прокурора и окружных прокуроров принимать принудительные меры в случае нарушений.Определяет различные термины, относящиеся к охватываемым компаниям, потребителям и данным, включая определение термина «контролер» как человека или группы людей, которые определяют, как данные используются и обрабатываются. Дата вступления в силу — 1 июля 2023 г.
Вирджиния
2021 H.B. 2307/2021 С.Б. 1392 (Закон о защите данных потребителей)
Устанавливает основу для контроля и обработки персональных данных в Содружестве. Закон применяется ко всем лицам, которые ведут бизнес в Содружестве и либо (i) контролируют или обрабатывают персональные данные не менее 100 000 потребителей, либо (ii) получают более 50 процентов валового дохода от продажи персональных данных и контролируют или обрабатывают персональные данные. не менее 25 000 потребителей.Закон определяет обязанности и стандарты защиты конфиденциальности для контроллеров и обработчиков данных. Законопроект не распространяется на государственные или местные органы власти и содержит исключения для определенных типов данных и информации, регулируемых федеральным законом. Закон предоставляет потребителям права на доступ, исправление, удаление, получение копии личных данных и отказ от обработки личных данных в целях целевой рекламы. Закон предусматривает, что Генеральный прокурор обладает исключительными полномочиями по обеспечению соблюдения закона, и для поддержки этих усилий создается Фонд защиты конфиденциальности потребителей.Закон предписывает Совместной комиссии по технологиям и науке создать рабочую группу для рассмотрения положений этого закона и вопросов, связанных с его реализацией, и отчитаться о своих выводах к 1 ноября 2021 года. Дата вступления в силу — 1 января 2023 года.
Другие законы о конфиденциальности ключевых данных потребителей
Калифорния
Cal. Civ. Кодекс §§ 1798.99.80 и след. (Регистрация брокера данных)
Требует, чтобы брокеры данных регистрировались и предоставляли определенную информацию Генеральному прокурору.Определяет брокера данных как бизнес, который сознательно собирает и продает третьим сторонам личную информацию потребителя, с которым компания не имеет прямых отношений, за некоторыми исключениями. Требует от генерального прокурора сделать информацию, предоставленную брокерами данных, доступной на своем веб-сайте. Брокеры данных, не прошедшие регистрацию, подлежат судебному запрету и несут ответственность за гражданско-правовые штрафы, сборы и расходы по иску, возбужденному Генеральным прокурором, с любым возмещением, которое должно быть депонировано в Фонд защиты конфиденциальности потребителей, как указано.Законопроект будет содержать заявления о законодательных выводах и декларациях, а также о законодательных намерениях.
NRS § 603A.300 (Требуются веб-сайты в Неваде, позволяющие пользователям отказаться от продажи их личных данных третьим лицам.)
Требуется оператор (например, лицо, которое владеет или управляет Интернет-сайтом или онлайн-сервисом для коммерческих целей. цели или собирает и поддерживает указанную информацию от жителей Невады) для установления указанного адреса запроса, через который потребитель может подать проверенный запрос, предписывающий оператору не продавать закрытую информацию, собранную о потребителе.Термин «продажа» означает обмен покрываемой информацией за денежное вознаграждение оператором лицу, чтобы это лицо лицензировало или продавало покрываемую информацию дополнительным лицам. Закон также запрещает оператору, получившему такой запрос, продавать любую закрытую информацию, собранную о потребителе. Генеральный прокурор может потребовать судебного запрета или гражданского наказания за нарушения.
Невада 2021 S.B. 260
Относится к конфиденциальности в Интернете; освобождает определенных лиц и информацию, собранную о потребителе в этом состоянии, от требований, предъявляемых к операторам, брокерам данных и защищенной информации; запрещает брокеру данных продавать определенную информацию, собранную о потребителе, в штате, если это предписано потребителем; пересматривает положения, касающиеся продажи определенной информации, собранной о потребителе в государстве.
9 VSA § 2446-2447 (Защита личной информации: брокеры данных)
Требует, чтобы брокеры данных — предприятия, которые сознательно собирают и лицензируют личную информацию потребителей, с которыми такие предприятия не имеют прямых отношений, — ежегодно регистрироваться у секретаря. государства. Брокеры данных также должны предоставлять потребителям указанную информацию, включая имя, адрес электронной почты и Интернет-адреса брокера данных; разрешает ли брокер данных потребителю отказаться от сбора личной информации или продажи данных; способ запроса отказа; действия или продажи, к которым относится отказ; и разрешает ли брокер данных потребителю разрешить третьей стороне выполнить отказ от имени потребителя.Заявление, определяющее сбор данных, базы данных или деятельность по продажам, от которых потребитель не может отказаться, а также заявление о том, реализует ли брокер данных процесс аутентификации покупателя, также должно быть раскрыто среди других раскрытий. Брокеры данных также должны внедрять и поддерживать письменную программу информационной безопасности, содержащую административные, технические и физические меры безопасности для защиты информации, позволяющей установить личность.
Конфиденциальность личной информации, хранящейся у интернет-провайдеров (ISP)
См. Также 2017-2020 Законодательство о конфиденциальности в отношении интернет-провайдеров
Невада и Миннесота требуют, чтобы поставщики интернет-услуг хранили в тайне определенную информацию о своих клиентах, если только клиент не дает разрешения на раскрытие информации.Миннесота также требует, чтобы интернет-провайдеры получали разрешение от подписчиков, прежде чем раскрывать информацию о привычках их просмотра в Интернете и посещаемых Интернет-сайтах. В штате Мэн запрещено использовать, раскрывать, продавать или разрешать доступ к личной информации клиента, если клиент явно не дает на это согласия. Мэн также запрещает поставщику услуг отказывать в обслуживании клиента, взимать с него штраф или предлагать покупателю скидку.
Конфиденциальность детей в Интернете
Калифорния
Калифорния.Автобус. & Проф. Кодекс §§ 22580-22582
Права Калифорнии на неприкосновенность частной жизни несовершеннолетних в Калифорнии в цифровом мире Закон, также называемый законопроектом о стирании, разрешает несовершеннолетним удалять или запрашивать и добиваться удаления контента или информации, размещенных в Интернете. Веб-сайт, онлайн-сервис, онлайн-приложение или мобильное приложение. Он также запрещает оператору веб-сайта или онлайн-сервисов, ориентированных на несовершеннолетних, осуществлять маркетинг или рекламу определенных продуктов или услуг, которые несовершеннолетним запрещено покупать по закону.Закон также запрещает маркетинг или рекламу определенных продуктов на основе личной информации, относящейся к несовершеннолетнему, или сознательное использование, раскрытие, компиляцию или разрешение делать это третьей стороне.
Делавэр
Код Делавэра § 1204C
Запрещает операторам веб-сайтов, онлайн-сервисов или облачных вычислений, онлайн-приложений или мобильных приложений, ориентированных на детей, маркетинг или рекламу в своих интернет-сервисах определенных продуктов или услуг, не подходящих для просмотра детьми, например, алкоголь, табак, огнестрельное оружие или порнография.Когда маркетинг или реклама в Интернет-сервисе, ориентированном на детей, предоставляется рекламной службой, оператор Интернет-службы должен уведомить рекламную службу, после чего действует запрет на маркетинг и рекламу указанных продуктов или услуг. напрямую в рекламную службу. Закон также запрещает оператору интернет-сервиса, который действительно знает, что ребенок использует интернет-сервис, использовать личную информацию ребенка для маркетинга или рекламы продуктов или услуг для ребенка, а также запрещает раскрывать личную информацию ребенка. если известно, что личная информация ребенка будет использоваться в целях маркетинга или рекламы этих продуктов или услуг для ребенка.
Конфиденциальность электронных книг
Аризона
Ariz. Rev. Stat. § 41-151.22
Предусматривает, что библиотека или библиотечная система, поддерживаемая за счет государственных средств, не должна допускать раскрытия каких-либо записей или другой информации, включая электронные книги, которая идентифицирует пользователя библиотечных услуг как запрашивающего или получающего определенные материалы или услуги или как иным образом. используя библиотеку.
Калифорния
Кал. Govt. Кодекс §§ 6254, 6267 и 6276.28
Защищает записи об использовании патроном библиотеки, такие как письменные записи или электронные транзакции, которые идентифицируют информацию о заимствовании или использовании библиотечных информационных ресурсов, включая, помимо прочего, записи поиска в базе данных, записи заимствований и т. Д. записи классов и любое другое использование, позволяющее установить личность, при запросах или запросах информации о библиотечных ресурсах.
Cal. Гражданский кодекс, § 1798.90
Закон о конфиденциальности читателей Калифорнии защищает информацию о книгах, которые калифорнийцы просматривают, читают или покупают в электронных службах и у книжных магазинов в Интернете, которые могут иметь доступ к подробной информации о читателях, например, к конкретным просмотренным страницам. Требуется ордер на обыск, постановление суда или положительное согласие пользователя, прежде чем такая компания сможет раскрыть личную информацию своих пользователей, связанную с использованием ими книги, с указанными исключениями, включая неминуемую опасность смерти или серьезной травмы.
Делавэр
Дел. Код тит. 6, § 1206C
Защищает личную информацию пользователей цифровых книжных услуг и технологий, запрещая коммерческой организации, предоставляющей книжные услуги для общественности, раскрывать личную информацию о пользователях книжной услуги правоохранительным органам, государственным учреждениям или другим лицам. лица, за исключением определенных обстоятельств. Позволяет немедленно раскрывать информацию о книжных услугах пользователя правоохранительным органам, когда существует неминуемая опасность смерти или серьезной физической травмы, требующей раскрытия информации о книжных услугах, и требует, чтобы поставщик книжных услуг сохранял информацию о книжных услугах пользователя в течение определенного периода времени по запросу правоохранительных органов.Требует, чтобы поставщик книжных услуг готовил и размещал в Интернете годовой отчет о раскрытии личной информации, если он не освобожден от этого. Подразделение по защите прав потребителей Министерства юстиции уполномочено расследовать и преследовать в судебном порядке нарушения этих актов.
Миссури
Mo. Rev. Stat. §§ 182.815, 182.817
Определяет «электронную книгу» и «цифровой ресурс или материал» и добавляет их к элементам, указанным в определении «библиотечных материалов», которые патрон библиотеки может использовать, брать или запрашивать.Обеспечивает, что любая третья сторона, заключившая контракт с библиотекой, которая получает, передает, обслуживает или хранит библиотечную запись, не может передавать или раскрывать всю или часть библиотечной записи кому-либо, кроме лица, указанного в записи или постановлении суда.
Политика и практика конфиденциальности для веб-сайтов или онлайн-служб
Калифорния
Калифорния Автобус. § 22575
Кодекса проф. отслеживание их личной информации на сайтах или в сервисах и с течением времени.Это также требует от оператора раскрытия информации о том, проводят или могут осуществлять такое отслеживание на сайте или в службе оператора третьи стороны.
Калифорния Автобус. Кодекс проф. § 22575-22578 (CalOPPA)
Закон Калифорнии о защите конфиденциальности в Интернете требует, чтобы оператор, определяемый как физическое или юридическое лицо, которое собирает личную информацию от жителей Калифорнии через веб-сайт или онлайн-службу в Интернете в коммерческих целях, размещал заметная политика конфиденциальности на своем веб-сайте или в онлайн-сервисе (который может включать мобильные приложения) и соблюдение этой политики.Закон, среди прочего, требует, чтобы политика конфиденциальности определяла категории личной информации, которую оператор собирает об отдельных потребителях, которые используют или посещают его веб-сайт или онлайн-службу, и третьих лиц, с которыми оператор может делиться информацией.
Cal. Civ. Кодекс §§ 1798.130 (5), 1798.135 (a) (2) (A)
Требует от определенных компаний раскрытия определенной информации в политике или политиках конфиденциальности в Интернете, если у компании есть политика или политики конфиденциальности в Интернете и в любом описании, характерном для Калифорнии. прав потребителей на конфиденциальность или, если компания не поддерживает эту политику, на своем веб-сайте и обновлять эту информацию не реже одного раза в 12 месяцев.Требует, чтобы определенные компании включали описание прав потребителя в соответствии с Разделом 1798.120 вместе с отдельной ссылкой на веб-страницу «Не продавать мою личную информацию» в политике конфиденциальности в Интернете.
Cal. Эд. Кодекс § 99122
Требует, чтобы частные некоммерческие или коммерческие учреждения среднего образования опубликовали политику конфиденциальности в социальных сетях на веб-сайте учреждения.
Коннектикут
Conn. Gen. Stat. § 42-471
Требует, чтобы любое лицо, собирающее номера социального страхования в ходе своей деятельности, разработало политику защиты конфиденциальности.Политика должна быть «публично отображена» путем размещения на веб-странице, и политика должна (1) защищать конфиденциальность номеров социального страхования, (2) запрещать незаконное разглашение номеров социального страхования и (3) ограничивать доступ к номерам социального страхования. .
Делавэр
Del. Code Tit. 6 § 205C
Требуется наличие оператора коммерческого интернет-сайта, онлайн-сервиса или службы облачных вычислений, онлайн-приложения или мобильного приложения, которое собирает через Интернет личную информацию об отдельных пользователях, проживающих в Делавэре, которые используют или посещают коммерческий интернет-сайт оператора в режиме онлайн. или службу облачных вычислений, онлайн-приложение или мобильное приложение, чтобы сделать свою политику конфиденциальности заметным образом доступной на своем веб-сайте в Интернете, онлайн-службе или службе облачных вычислений, онлайн-приложении или мобильном приложении.Оператор нарушает положения данного подраздела только в том случае, если оператор не может сделать свою политику конфиденциальности доступной в течение 30 дней после уведомления о несоблюдении. Задает требования к политике.
Невада
NRS § 603A.340
Требует, чтобы операторы интернет-сайтов или онлайн-сервисов собирали личную информацию для определения категорий информации, собранной через ее интернет-сайт или онлайн-сервис, о потребителях, которые используют или посещают сайт или сервис, а также категории третьих лиц, с которыми оператор может делиться такой информацией.Предоставляет описание процесса, если таковой существует, для отдельного потребителя, который использует или посещает Интернет-сайт или онлайн-службу, чтобы просмотреть и запросить изменения любой его или ее информации, которая собирается через Интернет-сайт или онлайн-службу.
Орегон
ORS § 646.607
Считает незаконной торговую практику, если лицо публикует на веб-сайте, связанном с его бизнесом, или в потребительском соглашении, связанном с потребительской сделкой, заявление или представление факта, в котором это лицо утверждает что лицо определенным образом или для определенных целей будет использовать, раскрывать, собирать, поддерживать, удалять или распоряжаться информацией, которую это лицо запрашивает, требует или получает от потребителя, и это лицо использует, раскрывает, собирает, поддерживает, удаляет или распоряжается информацией способом, который материально несовместим с заявлением или представлением лица.
Кроме того, законы Калифорнии и Юты, хотя и не нацелены конкретно на онлайн-бизнес, требуют от всех нефинансовых компаний раскрывать клиентам в письменной форме или по электронной почте типы личной информации, которой компания делится или продает третьей стороне. в целях прямого маркетинга или для компенсации. В соответствии с законодательством штата Калифорния компании могут публиковать заявление о конфиденциальности, которое дает клиентам возможность отказаться от предоставления информации бесплатно.
Ложные и вводящие в заблуждение заявления в политике конфиденциальности
Охватывает законы, которые прямо ссылаются на ложные или вводящие в заблуждение заявления в политике конфиденциальности в Интернете. Во всех 50 штатах также действуют законы о недобросовестных и вводящих в заблуждение действиях и практике (UDAP), которые также могут применяться к информации, размещенной в Интернете.
Небраска
Небраска Стат. § 87-302 (15)
Небраска запрещает сознательно делать ложные или вводящие в заблуждение заявления в политике конфиденциальности, опубликованной в Интернете или иным образом распространяемой или опубликованной, относительно использования личной информации, представленной представителями общественности.
Орегон
ORS § 646.607
Закон штата Орегон классифицирует следующее как незаконную торговую практику, если лицо в ходе своей коммерческой деятельности, профессии или занятия:
«… (12) Публикуется на веб-сайте, связанном с его деятельностью или в потребительском соглашении, относящемся к потребительской транзакции, заявление или представление факта, в котором лицо утверждает, что это лицо определенным образом или для определенных целей будет использовать, раскрывать, собирать, поддерживать, удалять или распоряжаться информацией. что лицо запрашивает, требует или получает от потребителя, и это лицо использует, раскрывает, собирает, поддерживает, удаляет или распоряжается информацией способом, который материально несовместим с заявлением или представлением лица.«
Пенсильвания
18 Па. C.S.A. § 4107 (a) (10)
Пенсильвания включает ложные и вводящие в заблуждение утверждения в политике конфиденциальности, опубликованной на веб-сайтах или иным образом распространяемой в ее уставе о вводящей в заблуждение или мошеннической деловой практике.
Уведомление о контроле за связью сотрудников по электронной почте и доступом в Интернет
Коннектикут и Делавэр требуют, чтобы работодатели уведомляли сотрудников перед отслеживанием сообщений электронной почты или доступа в Интернет.
Колорадо и Теннесси требуют, чтобы штаты и другие государственные организации приняли политику, связанную с мониторингом электронной почты государственных служащих.
Коннектикут Gen. Stat. § 31-48d
- Работодатели, которые участвуют в любом типе электронного мониторинга, должны предварительно письменно уведомить всех сотрудников, информируя их о типах мониторинга, который может иметь место.
- Если у работодателя есть разумные основания полагать, что сотрудники участвуют в незаконных действиях, и электронный мониторинг может предоставить доказательства этого неправомерного поведения, работодатель может проводить мониторинг без предварительного письменного уведомления.
- Предусматривает гражданские штрафы в размере 500 долларов за первое нарушение, 1000 долларов за второе нарушение и 3000 долларов за третье и каждое последующее нарушение.
- Запрещает работодателям отслеживать или перехватывать электронную почту, доступ в Интернет или использование сотрудника, если только работодатель сначала не направил сотруднику одноразовое письменное или электронное уведомление.
- Предоставляет исключения для процессов, которые выполняются исключительно с целью обслуживания и / или защиты компьютерных систем, а также для действий по решению суда.
- Предусматривает гражданский штраф в размере 100 долларов за каждое нарушение.
Колорадо Колорадо Rev. Stat. § 24-72-204.5
- Требует, чтобы государство или любое агентство, учреждение или политическое подразделение, которое эксплуатирует или обслуживает систему электронной почты, приняли письменную политику в отношении любого мониторинга сообщений электронной почты и обстоятельств, при которых он будет проводиться.
- Политика должна включать заявление о том, что переписка сотрудника в форме электронной почты может быть публичным документом в соответствии с законом о публичных записях и может подлежать общественной проверке в соответствии с этой частью.
Теннесси Кодекс штата Теннесси § 10-7-512
- Требует, чтобы государство или любое агентство, учреждение или политическое подразделение, которое эксплуатирует или обслуживает систему электронной почты, приняли письменную политику в отношении любого мониторинга сообщений электронной почты и обстоятельств, при которых он будет проводиться.
- Политика должна включать заявление о том, что переписка сотрудника в форме электронной почты может быть публичным документом в соответствии с законом о публичных записях и может подлежать общественной проверке в соответствии с этой частью.
Политика конфиденциальности: правительственные сайты
По крайней мере, 16 штатов требуют, чтобы правительственные веб-сайты или порталы штатов устанавливали политику и процедуры конфиденциальности или включали машиночитаемые политики конфиденциальности в свои веб-сайты.
Дополнительные ресурсы
Конфиденциальность и конфиденциальность Вопросы и ответы | Пропаганда, законодательство и проблемы
I. Основные понятия — определения, права и обязанности
II.Защита конфиденциальности и библиотечных документов
III. Проблемы безопасности
IV. Права несовершеннолетних на конфиденциальность
I. Основные понятия — определения, права и обязанности 1. В чем разница между приватностью и конфиденциальностью в библиотеке?В библиотеке конфиденциальность пользователей — это право открывать запрос без того, чтобы предмет, представляющий интерес, исследовался или исследовался другими.Конфиденциальность существует, когда библиотека обладает личной информацией (см. П. 2. «Что такое личная информация») о пользователях и хранит эту информацию в тайне от их имени. За конфиденциальность отвечает библиотека. Эта ответственность берется на себя, когда библиотечные процедуры создают записи, включая, но не ограничиваясь, закрытые квитанции об обращениях, листы регистрации компьютеров, регистрацию оборудования или помещений, записи о тиражах, какие веб-сайты были посещены, уведомления о резервировании или заметки об исследованиях.
Библиотеки должны ограничивать степень, в которой личная информация собирается, контролируется, раскрывается, сохраняется и передается при выполнении своих обязанностей по соблюдению закона о конфиденциальности библиотек своего штата. Библиотеки, участвующие в обучении волонтеров, новых сотрудников, помощников студентов или попечителей, должны проинформировать их о требованиях не злоупотреблять конфиденциальностью и защищать права пользователей библиотеки на неприкосновенность частной жизни.
Политику конфиденциальности ALA и «Конфиденциальность: интерпретация Билля о правах библиотеки» см. На веб-сайте «Конфиденциальность и конфиденциальность.”
2. Что такое «личная информация» и почему используется эта фраза?«Личная информация» (PII) охватывает более широкий диапазон, чем «личная идентификация», например имя человека, адрес, номер телефона, номер социального страхования, номер водительских прав, адрес электронной почты и т. Д. PII связывает вас с тем, что вы купили кредитной картой, что вы проверяли с помощью библиотечной карты и какие веб-сайты вы посещали, на которых ваш веб-браузер сохранил файлы cookie.PII — это больше, чем простая идентификация, PII может создать картину ваших вкусов и интересов — своего рода досье, хотя и грубое и часто неточное.
Хотя таргетированная реклама — очевидное применение PII, некоторые люди будут использовать эту информацию, чтобы оценить вашего персонажа, решить, представляете ли вы угрозу безопасности, или поставить вас в неловкое положение за то, что вы противодействуете им. Для несовершеннолетних, ищущих информацию о личной, социальной и сексуальной идентичности, известие о предметах их исследования или чтения может смущать или подвергать их риску насмешек или издевательств.Из-за сдерживающего воздействия, которое такая проверка может оказать на открытый запрос и свободу выражения мнений, библиотеки и книжные магазины долгое время сопротивлялись запросам на раскрытие информации, которая связывает отдельных людей с конкретными книгами или другими информационными ресурсами.
«Информация, позволяющая установить личность» стала общепринятой фразой и используется в политике ALA с 1991 г., когда была принята «Политика в отношении конфиденциальности информации, позволяющей установить личность, о пользователях библиотеки.”
Дополнительные ресурсы :
3. Что такое явное согласие и чем оно отличается от отказа?Явное согласие означает, что пользователям предоставляется возможность согласиться или не согласиться со сбором их данных. Пользователь должен быть проинформирован конкретным и недвусмысленным образом о том, как его данные будут собираться, использоваться и / или делиться. Пользователям следует предоставить выбор перед тем, как выбрать доступ к услуге, вместо того, чтобы отказываться от нее позже.Библиотеки должны гарантировать, что их онлайн-сервисы не откажутся по умолчанию. Отказ от участия требует от пользователя действий по исключению себя из системы сбора данных. Это не позволяет пользователю узнать о конкретных деталях того, как его данные будут использоваться.
4. Если нет разумных ожиданий конфиденциальности в общественном месте, как можно ожидать конфиденциальности в библиотеке?Библиотека не может нести ответственность за то, что кого-то увидят или узнают в библиотеке, но должна по возможности принимать меры для защиты конфиденциальности пользователей.То есть в библиотеке можно распознать лицо пользователя, но это не означает, что предмет, интересующий пользователя, также должен быть известен.
Все возможности библиотеки должны быть спроектированы так, чтобы сохранять конфиденциальность запросов, даже если присутствие и поведение пользователя остаются наблюдаемыми. Это включает в себя как физические, так и виртуальные пространства, обеспечивая безопасность и конфиденциальность. В максимально возможной степени пользователь должен иметь возможность работать независимо, как для обеспечения конфиденциальности, так и для уменьшения количества конфиденциальных записей, за которые библиотека должна нести ответственность.
5. Почему для моей библиотеки важно наличие политики конфиденциальности и что она должна охватывать?Билль о правах библиотеки, статья VII, подтверждает давнюю приверженность библиотекарей защите прав пользователей на неприкосновенность частной жизни, независимо от формата или носителя информации, которая используется. Все библиотеки, а не только те, которые финансируются государством, должны иметь политику конфиденциальности и процедуры, обеспечивающие защиту конфиденциальной информации во всех форматах.Политика конфиденциальности сообщает о приверженности библиотеки защите информации пользователей и помогает предотвратить проблемы с ответственностью и связями с общественностью. Библиотекари должны проконсультироваться со своими поверенными или юрисконсультом школьного округа для разработки политики, ограничивающей степень мониторинга, сбора, хранения, раскрытия и распространения личной информации.
Библиотеки должны использовать стандарты, изложенные в Консенсусных принципах NISO о цифровой конфиденциальности пользователей в системах библиотек, издателей и поставщиков программного обеспечения, для написания своих политик.Политики конфиденциальности не должны быть статичными документами. Они должны регулярно обновляться и повторяться в зависимости от меняющихся технологий и контрактов с поставщиками. Регулярные проверки конфиденциальности гарантируют, что библиотеки могут поддерживать свою политику конфиденциальности в актуальном состоянии.
Ссылки на политику конфиденциальности выбранной библиотеки примеров можно найти на веб-сайте «Выбор конфиденциальности на каждый день», «Примеры политик и документов». Кроме того, в главе 4.5 части 3 «Рекомендации по разработке политики конфиденциальности библиотеки» Руководства по интеллектуальной свободе (2010 г.) обсуждается процесс разработки политики конфиденциальности.
Дополнительные ресурсы :
6. Каковы права и обязанности сотрудников, волонтеров и попечителей в отношении конфиденциальности?«Билль о правах библиотеки» сам по себе касается прав пользователей библиотеки. Когда сотрудники являются пользователями библиотеки, они имеют право на такую же защиту своей частной жизни и конфиденциальности своих записей, как и пользователи библиотеки. Однако они могут не иметь права на неприкосновенность частной жизни, когда действуют в качестве сотрудников.
Работодатели имеют законный интерес в обеспечении эффективности и производительности. Руководство библиотеки заинтересовано в обеспечении того, чтобы действия сотрудников не оказывали отрицательного воздействия на обслуживание пользователей и не нарушали права пользователей, включая права пользователей на неприкосновенность частной жизни и конфиденциальность. Но работодатели библиотек и образовательные учреждения, которые используют электронное или видеонаблюдение или участвуют в мониторинге использования компьютеров, электронной почты или телефона сотрудниками, должны тщательно оценивать эти методы в свете как юридических требований, так и этических обязательств профессии по соблюдению прав на неприкосновенность частной жизни и конфиденциальности.
Правовые вопросы : Некоторые законы регулируют мониторинг сотрудников в частном секторе, хотя сотрудники федеральных, государственных и местных органов власти пользуются определенной степенью правовой защиты. Некоторые государственные законы об общедоступных записях и хранении записей могут повлиять на степень конфиденциальности информации, позволяющей установить личность сотрудника (PII). Персональные данные сотрудника, на которые не распространяется действие закона или нормативного акта, должны храниться в тайне. Кроме того, сотрудники имеют право знать, какие системы безопасности и управления информацией используются для защиты кадровых записей, содержащих PII, и право четко перечислять обстоятельства, при которых такая информация может быть предоставлена третьим сторонам.Библиотечная политика должна предусматривать раскрытие PII для запросов правоохранительных органов только в том случае, если эти запросы поступают в форме судебного постановления от суда соответствующей юрисдикции.
Мониторинг : Во многих библиотеках от сотрудников требуется подписывать соглашения об использовании Интернета и компьютеров, которые отличаются от политик, распространенных на пользователей библиотеки. Однако, если библиотека намеревается участвовать в мониторинге рабочих станций или рабочих мест персонала, она должна уведомить об этом в письменной форме, предусматривающей:
- уведомление о такой практике для сотрудников;
- уведомление общественности, если какие-либо взаимодействия между персоналом и пользователем (например,ж., виртуальная справка) подлежат мониторингу или записи; и как редактирование PII, так и регулярное удаление всех таких записей; Уведомление
- для сотрудников, если их номера социального страхования используются в качестве уникальных идентификаторов в кадровой или иной документации; Доступ сотрудников
- ко всем PII, включая любые, собранные посредством мониторинга, а также право оспаривать и удалять неточные данные;
- отсутствие мониторинга зон, предназначенных для здоровья или комфорта сотрудников;
- нет сбора данных, не относящихся конкретно к выполнению работ; а также;
- ограничений на раскрытие PII третьим лицам без согласия сотрудника.
Использование библиотечных ресурсов персоналом : Все использование персоналом библиотечных ресурсов или рабочих станций общего доступа, которое осуществляется в нерабочее время и / или не связано напрямую с работой, должно охватываться так же, как конфиденциальность и конфиденциальность любого пользователя библиотеки. защищен.
Для получения дополнительной информации о правах сотрудников на неприкосновенность частной жизни и о написании политики для защиты этих прав см .:
7. Какую роль играет образование в защите конфиденциальности пользователей?Библиотека должна иметь план непрерывного обучения для обучения сотрудников, преподавателей, попечителей, волонтеров и контрактных работников принципам, политикам, процедурам и юридическим и этическим обязанностям библиотечного персонала как хранителей информации, позволяющей установить личность (PII).Важно, чтобы все заинтересованные стороны понимали, что эта ответственность включает недопущение любых выводов о пользователях, основанных на использовании их библиотек.
Весь персонал и любые другие лица, имеющие доступ к PII сотрудника, должны понимать, что они не должны просматривать какую-либо сохраненную информацию без предварительного разрешения и в соответствии с письменными политиками; и что если они случайно увидят какие-либо такие данные (например, электронные журналы мониторинга, строки темы электронной почты, имена файлов и т. д.), они будут соблюдать правила конфиденциальности.
Библиотекари должны обучать своих пользователей с помощью различных методов обучения, которые предоставляют информацию и инструменты, необходимые взрослым и несовершеннолетним для защиты своей частной жизни и конфиденциальности их собственной PII. Для получения поддержки в этой области см. Раздел «Программирование в коробке» на веб-сайте «Выбор конфиденциальности на каждый день».
8. Включает ли конфиденциальность право не подвергаться воздействию нежелательных материалов?Защита конфиденциальности в библиотеке обеспечивает открытый запрос, не опасаясь, что чьи-то интересы будут соблюдены другими.Обеспечение конфиденциальности пользователей приносит пользу не только пользователю, но и тем, кто предпочитает не видеть то, что видят другие пользователи. Когда возникает конфликт между правом отдельных лиц на просмотр защищенных Конституцией речей и чувствительностью невольных зрителей, в судах обычно преобладает право на свободное выражение мнений, если только не желающие зрители не могут отвести взгляд. Библиотеки могут решать проблемы нежелающих зрителей различными способами, включая стратегическое размещение рабочих станций и использование таких устройств, как экраны конфиденциальности или встраиваемые мониторы.
9. Что такое аудит конфиденциальности и в чьи обязанности входит?Аудит конфиденциальности — это метод, гарантирующий, что цели и обещания организации в отношении конфиденциальности и конфиденциальности поддерживаются ее методами и процедурами, тем самым защищая конфиденциальную информацию от злоупотреблений, а организацию — от ответственности и проблем с общественностью. Аудит гарантирует, что процедуры обработки информации соответствуют требованиям конфиденциальности, проверяя, как информация о клиентах и сотрудниках собирается, хранится, передается, используется и уничтожается.
Аудит конфиденциальности — это процесс, а не разовое решение, поскольку меняются услуги, потребности в данных и технологии. Назначенный сотрудник по вопросам конфиденциальности может вести аудит, но должны быть представлены все заинтересованные стороны и аспекты конфиденциальности, от информационных технологий до связей с общественностью.
Процесс аудита должен иметь возможность охватить всю информационную систему. Когда библиотека является частью более крупной организации, такой как университет или школьный округ K-12, которая проводит аудит конфиденциальности, необходимо указать конкретные библиотечные вопросы и потребности.Процесс аудита начинается с оценки существующих политик и процедур организации на предмет законности и соответствия миссии и имиджу организации. Когда политики были пересмотрены (или установлены), собранные данные могут быть классифицированы в соответствии с необходимой степенью безопасности. Аудит оценивает конфиденциальность, риски безопасности и общественное восприятие информации, которую собирает организация. В ходе аудита изучается необходимость каждого типа данных, способы их сбора, а также уведомления и возможности, предоставляемые лицам, идентифицированным с помощью информации.Отображение того, как данные проходят через организацию для доступа, хранения и удаления, может выявить потребности в безопасности, как электронной, так и физической. Сам процесс аудита должен управляться таким образом, чтобы он не увеличивал риски, а его рекомендации должны выполняться быстро после выявления рисков.
Американская библиотечная ассоциация создала набор руководств и контрольных списков для помощи библиотекам в проведении аудита конфиденциальности. Эти ресурсы устанавливают стандарты конфиденциальности, конфиденциальности и безопасности в библиотеках всех типов.
Дополнительные ресурсы :
II. Защита конфиденциальности и библиотечных документов 10. Создаются ли электронные пользовательские записи для администрирования библиотеки особыми трудностями?Любая база данных с информацией, позволяющей установить личность (PII), является потенциальной целью для преступной деятельности. Безопасность данных должна быть реализована для защиты как библиотеки, так и ее пользователей.Библиотеки должны создавать политики и процедуры хранения данных, соответствующие законам штата, федеральным законам и законам управляющих организаций. Администрация библиотеки должна искать способы разрешить внутренний доступ к информации во всех форматах без создания следа данных. В общем, получение наименьшего количества PII за самый короткий период времени снижает риск нежелательного раскрытия. Библиотека также должна инвестировать в соответствующую технологию для защиты безопасности любой PII, пока она находится на хранении библиотеки, и должна гарантировать, что совокупные данные не содержат любой PII.
Чтобы гарантировать свои обязательства по конфиденциальности, библиотеки и школы должны внедрить письменные правила, регулирующие хранение данных и распространение электронных записей. Эти правила должны подтверждать конфиденциальность информации о пользователях библиотеки и об использовании ими всех библиотечных материалов.
11. Есть ли способ использовать инструменты анализа данных и / или управления взаимоотношениями с клиентами при сохранении конфиденциальности пользователей?Библиотеки зависят от данных для принятия решений, включая составление бюджета и определение того, какие услуги и программы предоставляет библиотека.Системы управления взаимоотношениями с клиентами (CRM) — это один из способов, с помощью которого библиотеки собирают и анализируют данные пользователей библиотеки для операционных и маркетинговых целей. Другие поставщики библиотек, включая интегрированные библиотечные системы, добавляют инструменты анализа данных в свой портфель услуг и продуктов, в то время как другие библиотеки создают свои собственные инструменты анализа данных и CRM с собственными ресурсами. Эти инструменты обладают мощной способностью предоставлять администраторам библиотек и лицам, принимающим решения, подробный анализ пользовательских данных библиотеки, который может помочь в оценке и практике на основе данных.
Люди имеют право на неприкосновенность частной жизни и конфиденциальность при использовании библиотечных услуг и ресурсов в соответствии с Библиотечным биллем о правах. В то же время библиотеки зависят от данных при принятии оперативных решений. По умолчанию CRM и другие инструменты анализа данных собирают широкий спектр личных данных от пользователей библиотеки, создавая профиль пользователя, мало чем отличающийся от профилей, созданных крупными компаниями, такими как Amazon и Facebook. Профилирование пользователей и другие методы отслеживания отдельных пользователей напрямую противоречат праву пользователя библиотеки на конфиденциальность.Достижение баланса между конфиденциальностью пользователей и потребностями в данных требует от библиотек целостного представления о том, как их библиотека обрабатывает пользовательские данные, а также о том, как эти методы создают риск нанесения ущерба от неправильного использования данных как для библиотеки, так и для пользователя.
Библиотеки, занимающиеся аналитикой данных, могут снизить риск причинения вреда пользователю и библиотеке следующими действиями:
- Воздержитесь от сбора данных «на всякий случай»
- Один из наиболее эффективных способов защиты конфиденциальности пользователей — это отказ от сбора данных, не отвечающих продемонстрированной потребности.Работая с бизнес-кейсами и результатами для сбора данных, библиотеки могут определить, какие точки данных будут соответствовать этим результатам, и избежать ненужного сбора данных.
- Избегайте сбора данных «высокого риска»
- Данные «высокого риска» — это данные, которые при неправильном использовании могут нанести большой вред отдельным лицам или организациям. Пользователи библиотеки из уязвимых или маргинализованных групп подвергаются большему риску, если библиотека собирает определенные типы данных, такие как гражданство и статус иммигранта.
- Работа с поставщиками для обеспечения конфиденциальности пользователей
- Большинство CRM и инструментов анализа данных размещаются на поставщиках. Библиотеки могут добавлять дополнения к контрактам, в которых излагаются политики и методы обеспечения конфиденциальности и безопасности данных, которым должен следовать поставщик. Рекомендации по обеспечению конфиденциальности и контрольные списки ALA — хорошее начало для определения передовых методов.
- Согласуйте с поставщиками параметры сбора данных по умолчанию и потребности. Скорее всего, поставщик собирает больше информации, чем необходимо, а также собирает данные «высокого риска».
- Регулярные проверки безопасности и конфиденциальности и обсуждения с поставщиком могут помочь библиотекам быть в курсе любых потенциальных проблем конфиденциальности и безопасности.
- Изменить собранные данные, чтобы снизить риск установления личности
- Некоторыми точками данных, например возрастом и адресом, можно управлять, чтобы снизить риск конфиденциальности для пользователей и библиотеки, в том числе путем агрегирования, усечения и запутывания данных. По крайней мере, данные, которые собираются CRM и для других аналитических целей, не должны быть привязаны к конкретному человеку, а вместо этого должны быть агрегированы, чтобы снизить риск идентификации людей на основе собранных данных.Однако это само по себе не обеспечит конфиденциальность пользователей, а в некоторых случаях не помешает лицам, использующим измененный набор данных, повторно идентифицировать пользователя библиотеки.
Дополнительные ресурсы:
12. Как мы должны работать для защиты конфиденциальности пользователей, если политика или услуги нашей библиотеки или учреждения требуют, чтобы мы были тесно связаны с пользователями нашей библиотеки или внимательно следили за ними?Во всех библиотеках сбор информации, позволяющей установить личность (PII), должен определять характер службы, а не тип библиотеки.Некоторые распространенные библиотечные практики обязательно включают тесное общение с пользователями библиотеки или наблюдение за ними. Такие услуги, как библиографическое обучение, справочные консультации, обучение и поддержка учебных программ в школьных библиотеках, советы читателей в публичных библиотеках и сохранение хрупких или редких библиотечных материалов в специальных коллекциях библиотек — это лишь несколько примеров услуг, которые требуют осведомленности библиотечного персонала. привычек пользователей к доступу к информации.
В рамках обслуживания пользователя сотрудникам часто необходимо консультироваться друг с другом.Персонал должен соблюдать осторожность при ведении таких разговоров в частном порядке, строго придерживаться цели и раскрывать ЛИИ только в случае необходимости. Во всех типах библиотек любой компромисс в отношении конфиденциальности пользователей со стороны библиотечного персонала влечет за собой этические, профессиональные и часто юридические обязательства по защите конфиденциальности этой PII. Наиболее важно, чтобы весь сбор PII производился в интересах предоставления или улучшения определенных библиотечных услуг. Любые собранные знания не следует использовать ни для чего, кроме предоставления услуг пользователям библиотеки.
13. В последние годы в нашей библиотеке используется много новых технологий. Как мы можем быть в курсе всех проблем, связанных с конфиденциальностью?Каждая технология, начиная с огня, может быть использована как во благо, так и во зло. Библиотекари несут ответственность за разработку политики, предотвращающей любую угрозу конфиденциальности, создаваемую новыми технологиями. Именно внимание и приверженность фундаментальным принципам безопасности данных могут наилучшим образом гарантировать, что права пользователей на неприкосновенность частной жизни и конфиденциальность не будут поставлены под угрозу в результате использования ими библиотечных услуг.
Чтобы определить и оценить местные методы защиты данных, рассмотрите следующие рекомендации:
Информационный центр по правам конфиденциальности, «Информационный бюллетень 12: Контрольный список ответственных методов обработки информации»
14. Могут ли библиотеки использовать номера социального страхования (SSN) в пользовательских базах данных или для других средств однозначной идентификации наших пользователей? Номера SSNне являются полностью случайными числами: первые три цифры указывают, в каком состоянии был выдан номер, а следующие два числа указывают порядок, в котором SSN был выдан в каждой области.Случайным образом генерируются только последние четыре числа. Таким образом, даже раскрытие SSN без дальнейших действий приводит к разглашению личной информации.
Некоторые штаты ограничивают использование номеров социального страхования обстоятельствами, прямо разрешенными законом, в частности, для отчетности о доходах сотрудников. Раздел 7 Федерального закона о конфиденциальности 1974 года предусматривает, что любое агентство, запрашивающее у человека раскрытие его или ее SSN, должно «проинформировать это лицо, является ли это раскрытие обязательным или добровольным, каким установленным законом орган запрашивается такой номер и какие виды использования будут использоваться. из этого.«Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) требует от школ, финансируемых государством, получать письменное согласие на разглашение информации, позволяющей установить личность, которая, как постановили суды, включает номера социального страхования (SSN). Широкое использование SSN государственными и частными агентствами создало двойную угрозу мошенничества и вторжения в частную жизнь, связав значительные объемы личной и финансовой информации с помощью единого номера. В ноябре 2004 года Счетная палата правительства США (GAO) отметила это в «Номера социального страхования».. . очевидно, что отсутствие широкой единой политики позволяет излишне раскрывать личные номера социального страхования ».
Библиотекиуже давно используют SSN для отслеживания пользователей, у которых есть неоплаченные штрафы или просроченные материалы, часто через агентства по сбору платежей. Фактически, нынешнее состояние интернет-технологий часто позволяет человеку быть обнаруженным без использования SSN. Библиотеки, которые решили использовать SSN в пользовательских базах данных или для идентификации пользователей, должны:
- информирует пользователей о том, является ли предоставление их SSN обязательным или добровольным, и в рамках каких законодательных полномочий запрашиваются SSN;
- информирует пользователей о цели, для которой будут использоваться SSN;
- использует шифрование для защиты SSN в пользовательских базах данных;
- исследует другие методы однозначной идентификации пользователей и отслеживания тех, у кого есть неоплаченные штрафы или просроченные материалы.
Политики библиотеки примеров :
Дополнительные ресурсы :
15. Как я могу позволить пользователям забирать свои удержания, сохраняя при этом их конфиденциальность?Разрешение пользователям брать свои собственные трюмы с открытой полки — популярная услуга, но она может нарушить политику конфиденциальности вашей библиотеки и потенциально нарушить законы штата. Библиотеки, предлагающие эту опцию, должны минимизировать привязку заголовка к конкретному пользователю и защищать имена пользователей от публичного просмотра.Помня об этих целях, ваша библиотека может предлагать эту услугу, не отказываясь от конфиденциальности. Чтобы защитить личность пользователей, при этом позволяя им находить свои собственные предметы, используйте псевдонимы, коды, номера или другие средства маскировки личности. Предоставьте вашим пользователям возможность отказаться от открытого удержания, если они этого потребуют.
См. «Решение для защиты конфиденциальности пользователей библиотеки при самообслуживании».
16. Смогут ли смарт-карты или идентификационные карты, в которых используются биометрические усовершенствования, защитить конфиденциальность?Смарт-карты могут хранить личные данные для различных приложений.Из самых лучших побуждений государственные учреждения иногда предлагают делиться данными о людях, получающих государственные услуги. Политика конфиденциальности библиотеки должна четко указывать, что личная информация, собранная библиотекой, не будет передана никакому другому агентству или организации, если это не требуется по решению суда. Если агентства совместно выпускают смарт-карту, данные библиотеки должны быть разделены без утечки в другие агентства.
Чем больше агентств использует общую карту, тем больше потребность в надежном подтверждении личности.Предлагаются различные биометрические данные, от фотографий до отпечатков пальцев и сканирования радужной оболочки глаза, чтобы гарантировать подлинность удостоверений личности. Это соответственно увеличивает риск того, что подделка кодировки идентификации затронет все аспекты жизни человека.
Одной из самых навязчивых форм биометрии является распознавание лиц, при котором для аутентификации используется лицо пользователя. К сожалению, за этот очень удобный метод аутентификации приходится платить анонимностью в будущем.Программное обеспечение объединяет эту информацию в базу данных, которая используется совместно, как правило, без ведома пользователя. Как только эта информация будет собрана, можно будет следить за этим пользователем с помощью программного обеспечения для распознавания лиц, которое быстро становится повсеместным.
Биометрия может предложить повышенное удобство, например, когда дети читают книги по отпечатку большого пальца, но необходимо тщательно взвесить риски. Например, в отличие от пароля, биометрические данные изменить нелегко, и в случае взлома ваша биометрическая информация будет навсегда скомпрометирована.Библиотеки несут ответственность за приглашение общественности к обсуждению плюсов и минусов предложений по технологиям идентификации.
17. Как FERPA влияет на академические библиотеки и конфиденциальность библиотечных документов студентов?«Федеральный закон о правах на образование и неприкосновенность частной жизни», 20 U.S.C. § 1232g (FERPA) контролирует раскрытие образовательных документов и информации учащегося. Он требует от учебных заведений принятия правил, позволяющих учащимся проверять и исправлять свои учебные документы.Он также запрещает разглашение записей учащегося без письменного разрешения учащегося. Это относится к записям любого учащегося, зачисленного в высшее учебное заведение, даже если этот учащийся моложе 18 лет.
Управление по соблюдению семейной политики (FPCO), входящее в состав Министерства образования США, является федеральным учреждением, отвечающим за надзор за соблюдением FERPA и обеспечение его соблюдения. Согласно FPCO, любая запись, которую ведет учебное заведение, имеющее прямое отношение к студенту, в любом формате, позволяющее идентифицировать студента по содержащейся в ней информации, считается «учебной записью».Аналитики FPCO выпустили руководство, в котором говорится, что записи о библиотечном обращении и аналогичные записи, хранящиеся в университетской библиотеке, являются «учебными записями» в соответствии с FERPA.
Хотя FERPA обычно требует, чтобы учреждения защищали конфиденциальность образовательных документов, он содержит множество исключений, которые позволяют раскрывать образовательные записи ученика без согласия или разрешения самого ученика. Например, FERPA разрешает образовательным учреждениям раскрывать информацию, содержащуюся в записях учащихся, любому школьному должностному лицу, имеющему «законный образовательный интерес» в этих записях; соответствующим государственным служащим в чрезвычайных ситуациях, связанных с охраной здоровья и безопасности; а также в суды и правоохранительные органы в ответ на судебный приказ или законно вынесенную повестку в суд.FERPA также разрешает образовательным учреждениям раскрывать информацию об иностранных студентах Министерству внутренней безопасности и Иммиграционному и таможенному бюро. Кроме того, колледжи и университеты могут раскрывать записи и информацию родителям взрослых студентов, если студент является налоговым иждивенцем или если студент младше 21 года и нарушил какой-либо закон или постановление, касающиеся незаконного употребления наркотиков или алкоголя.
Таким образом,FERPA разрешает раскрытие информации, если положения о конфиденциальности и профессиональной этике государственной библиотеки в противном случае запрещали бы раскрытие библиотечных записей.Однако FERPA не требует от учреждения раскрытия записей в этих обстоятельствах, а также FERPA не требует от учреждений создания или ведения определенных записей. Таким образом, библиотеки университетов и колледжей могут опираться на принципы профессиональной этики и академической свободы при разработке политик, расширяющих дополнительную защиту конфиденциальности для библиотечных записей пользователей; принять политики хранения записей, которые защищают конфиденциальность пользователей; и, где это применимо, включить защиту библиотечных документов в соответствии с законодательством штата.
Дополнительные ресурсы :
18. Как мы должны обрабатывать дополнительные записи, хранящиеся в библиотеке, для обслуживания пользователей с ограниченными возможностями?Для библиотек, которые создают дополнительные записи для специальных целей, применяется та же ответственность по поддержанию конфиденциальности этих записей. Однако библиотеки, которые предпочитают хранить такую информацию на постоянной основе, берут на себя соответственно большую ответственность за поддержание постоянной конфиденциальности этой информации.Политики и процедуры должны касаться сбора, хранения и раскрытия записей в любом формате, которые содержат информацию, позволяющую установить личность, в соответствии с законодательными требованиями. Библиотеки также должны применять Принципы честной информационной практики: уведомление, согласие, доступ, безопасность и исполнение. При соблюдении «Политики библиотечных услуг для людей с ограниченными возможностями» ALA необходимо приложить все усилия для защиты частной жизни и конфиденциальности пользователей библиотеки с ограниченными возможностями.См. «Услуги для людей с ограниченными возможностями: толкование Библиотечного билля о правах».
19. Следует ли библиотекам использовать шифрование данных для защиты конфиденциальности?Защитники прав на конфиденциальность поощряют более широкое использование шифрования данных как метода усиления защиты конфиденциальности. Зашифрованные данные требуют, чтобы другие использовали заранее определенный электронный «ключ» для расшифровки содержимого сообщения, файла или транзакции. Шифрование данных обычно используется в онлайн-банках и коммерции.Библиотеки должны вести переговоры с поставщиками, чтобы гарантировать использование такой технологии в библиотечных системах (например, при доставке документов, сохраненных результатах поиска и функциях электронной почты, которые теперь предлагаются многими поставщиками OPAC). Библиотекам следует рассмотреть возможность предоставления средств шифрования пользователям библиотеки, которые участвуют в персонализированных онлайн-транзакциях или общении.
Электронный информационный центр конфиденциальности, «Политика криптографии»
Электронный информационный центр конфиденциальности, «Онлайн-руководство EPIC по практическим инструментам обеспечения конфиденциальности».”
20. Моя библиотека рассматривает возможность внедрения системы радиочастотной идентификации (RFID) для обращения и обслуживания штабелей. Каковы последствия такой системы для конфиденциальности пользователей?Некоторые библиотеки уже внедрили RFID; другие ждут, пока некоторые из отраслевых технических стандартов и вопросы конфиденциальности не будут лучше решены. ALA утвердила «Принципы конфиденциальности RFID», которые побуждают библиотеки принимать и обеспечивать соблюдение политик конфиденциальности и препятствуют включению личной информации в метки RFID.Библиотеки должны защищать конфиденциальность пользователей, обращаясь к руководству ALA «RFID в библиотеках: конфиденциальность и конфиденциальность», чтобы применять передовые методы защиты конфиденциальности и конфиденциальности.
Дополнительные ресурсы:
21. Может ли информация о распространении или регистрации использоваться для других библиотечных целей, например, для создания списков рассылки для сбора средств библиотекой или ее группой друзей?Принципы честной информационной практики «Уведомление и открытость» и «Выбор и согласие» должны быть отражены в политике конфиденциальности библиотеки.См. «Как разработать политику конфиденциальности библиотеки».
Некоторые штаты налагают ограничения на использование информации, позволяющей установить личность (PII), для любых целей, кроме распространения или администрирования. В других штатах незаконно предоставлять PII пользователя библиотеки третьим лицам, кроме как по решению суда. См. «Законы штата о конфиденциальности в отношении библиотечных документов». Во всех штатах, независимо от статуса закона, библиотечные политики в отношении сбора, использования и распространения PII должны быть тщательно сформулированы и администрироваться, чтобы гарантировать, что они не противоречат Этическому кодексу ALA, который гласит: «Мы защищаем права каждого пользователя. на приватность и конфиденциальность.Библиотеки, решившие использовать PII для любых связанных с библиотекой целей, кроме тех, для которых PII была собрана, должны учитывать следующие стандартные методы «согласия»:
- Уведомление должно быть предоставлено всем пользователям любого библиотечного использования PII.
- Любое использование PII вне распространения или администрирования должно быть разрешено только на основании согласия. Во время регистрации пользователей следует попросить согласиться на дополнительные и конкретно перечисленные виды использования их PII (например, для апелляций по сбору средств).Личные данные тех, кто отказывается от «согласия», не должны быть доступны для каких-либо дополнительных целей.
- Каждый раз, когда библиотека решает расширить использование PII способами, которые еще не разрешены, она должна запросить согласие пользователя. Библиотеки должны исходить из того, что все не отвечающие хотят отказаться от нового использования.
Большинство библиотек ведут дела с различными поставщиками, чтобы предоставить доступ к электронным ресурсам, приобрести и запустить свои автоматизированные системы, предложить удаленное хранилище (например,грамм. «Облачные вычисления») или для обеспечения доступа в Интернет. Библиотеки должны гарантировать, что контракты и лицензии отражают их политику и юридические обязательства в отношении конфиденциальности и конфиденциальности пользователей. Когда третья сторона имеет доступ к информации, позволяющей установить личность (PII), в соглашениях должны быть предусмотрены соответствующие ограничения на использование, сбор, распространение и продажу этой информации, особенно информации о несовершеннолетних. В обстоятельствах, когда существует риск раскрытия PII, библиотека должна предупредить своих пользователей и / или прекратить использование этой услуги.Кроме того, следует ожидать, что все поставщики библиотек и подрядчики, которые обрабатывают PII, будут поддерживать общедоступную политику конфиденциальности, которая обязуется соблюдать принципы консенсуса NISO о цифровой конфиденциальности пользователей в системах библиотек, издателей и поставщиков программного обеспечения.
23. Как ответственность библиотеки за неприкосновенность частной жизни и конфиденциальность связана с использованием библиотечными пользователями сторонних сервисов для доступа к своим собственным тиражам?Теперь доступны бесплатные сторонние службы, которые напоминают пользователям библиотеки о сроках и штрафах за обращение по электронной почте или через RSS-каналы.Библиотеки должны информировать пользователей о рисках, связанных с предоставлением номеров библиотечных карточек, паролей или другой информации о библиотечных учетных записях любой третьей стороне. Эти риски включают изменения в политике конфиденциальности сторонней службы без уведомления клиента и раскрытие записей об обращении библиотеки пользователя или другой информации, позволяющей установить личность, независимо от того, является ли такое раскрытие непреднамеренным или преднамеренным. Третьи стороны не связаны статутами о конфиденциальности библиотек или другими законами, защищающими конфиденциальность пользовательских записей.По этим причинам ни библиотека, ни пользователь библиотеки не могут быть уверены, что конфиденциальность будет должным образом защищена.
III. Проблемы безопасности 24. Каковы потребности системного персонала для обеспечения безопасности компьютеров и сетей?Лица, ответственные за обеспечение безопасности компьютерного оборудования и сетей библиотеки, имеют особую обязанность распознавать, когда они могут иметь дело с конфиденциальной или частной информацией.Как и другие сотрудники, чья работа не связана непосредственно с библиотечным обслуживанием (директора, учителя и другие преподаватели, хранители, охранники и т. Д.), Те, кто имеет доступ к личной информации (PII) или к личным файлам пользователей, должны быть проинформированы о библиотечной этике и ожидания работы, что они не будут злоупотреблять конфиденциальностью.
Персонал библиотечных систем должен регулярно проводить аудиты конфиденциальности и обеспечивать соответствие своих технологий стандартам конфиденциальности. Хотя многие отрасли делают ставку на сбор данных, библиотечные системы должны быть структурированы так, чтобы собирать и хранить как можно меньше информации о пользователях.Должны существовать политики и процедуры для хранения данных только той длины, которая необходима для выполнения бизнес-операций.
Управляющие органы могут также попросить отдел информационных технологий библиотеки установить программное обеспечение для отслеживания и мониторинга или «программное обеспечение-анализатор». Программное обеспечение Sniffer — это программы, которые отслеживают онлайн-активность и, будучи запущенными с помощью ключевых слов и фраз, могут полностью записывать онлайн-транзакцию. Шпионское ПО — это программы, которые записывают все действия на компьютере, например кейлоггеры.Записи, созданные этими программами, могут быть сохранены для дальнейшего использования. Даже если записи не публикуются до тех пор, пока правоохранительный орган не получит постановления суда, последствия такой программы для конфиденциальности будут значительными и серьезными.
Во-первых, установка этого программного обеспечения без постановления суда или согласия пользователя может нарушить Закон о конфиденциальности электронных коммуникаций (ECPA). Во-вторых, записи, созданные этими программами, являются записями об использовании библиотеки и, как и все другие записи пользователей библиотеки, подпадают под действие статутов о конфиденциальности государственной библиотеки.В-третьих, задача библиотеки — предоставлять доступ к информации, а не служить в качестве аванпоста наблюдения для правоохранительных органов. Точно так же, как мы не ведем историю того, кто проверял библиотечные материалы (см. «Постановление о сохранении записей об использовании библиотеки» 2006 г.), мы не должны собирать и хранить информацию об онлайн-действиях наших пользователей.
25. Следует ли поручить персоналу контролировать использование библиотеки для выявления ненадлежащего или незаконного поведения пользователей?Политика поведения пользователей библиотеки и политика использования Интернета должны четко указывать, что незаконная деятельность запрещена.Персонал должен быть тщательно обучен тому, как бороться с любым незаконным поведением пользователей, очевидным для них или доведенным до их сведения. Общий контроль со стороны сотрудников за содержанием или использованием пользователями библиотечных материалов и ресурсов в любом формате неуместен. В политике поведения пользователей и использования Интернета должны быть четко указаны все действия, которые должны предпринимать сотрудники при обнаружении незаконного поведения или действий, нарушающих вышеуказанные политики. Шаги, описанные в этих рекомендациях, будут отличаться от библиотеки к библиотеке и должны определяться локально.Явные доказательства незаконного поведения лучше всего направлять в правоохранительные органы, которые знают процессы расследования, которые защищают права обвиняемых.
Если сотрудники заметят незаконное поведение, об этом следует сообщить в правоохранительные органы. В библиотеке должны быть четкие письменные процедуры реагирования на преступное поведение в дополнение к поведению, которое нарушает политику. Ни библиотеки, ни их ресурсы, ни их сотрудники не должны использоваться ни в каких схемах для выявления и выявления преступного поведения.
Если сотрудники библиотеки считают, что камеры наблюдения зафиксировали доказательства преступления, они должны сохранить эти изображения и передать их директору библиотеки или юрисконсульту библиотеки, которые затем могут передать изображения правоохранительным органам в соответствии с законом.Такие изображения могут быть защищены законами о конфиденциальности государственных библиотек, которые запрещают разглашение информации об использовании библиотечных материалов лицом без постановления суда.
По закону библиотеки могут добровольно раскрывать изображения с камер наблюдения правоохранительным органам, если изображения не раскрывают использование каким-либо лицом определенных библиотечных материалов или ресурсов. Решение о раскрытии изображений с камер наблюдения должно приниматься директором библиотеки по согласованию с юрисконсультом библиотеки.Когда закон штата требует, чтобы полиция получила судебный приказ перед просмотром или копированием защищенных библиотечных записей, библиотека может расширить сотрудничество, идентифицируя соответствующие записи и сохраняя эти записи до тех пор, пока в библиотеке не будет вынесено постановление суда.
26. Что, если правоохранительные органы потребуют раскрытия библиотечных документов? Что, если законы, применимые к моей библиотеке, требуют раскрытия некоторых или всех библиотечных записей или другой личной информации без постановления суда?В случае запроса информации от федерального или местного правоохранительного органа библиотекари должны проконсультироваться со своей библиотечной администрацией и / или юрисконсультом, прежде чем выполнять такие запросы.Библиотекарям следует иметь в виду, что запросы, поданные в соответствии с «Патриотическим законом США», должны исходить из Федерального бюро расследований и недействительны, если они исходят от правоохранительных органов штата или местных органов власти. Если библиотекарь вынужден предоставить информацию на основании действующей повестки в суд или постановления суда, дальнейшие нарушения конфиденциальности пользователей будут сведены к минимуму, если библиотекарь лично получит запрошенную информацию и предоставит ее правоохранительным органам. В противном случае разрешение правоохранительным органам на выполнение собственного поиска может поставить под угрозу конфиденциальную информацию, которая не является предметом текущего запроса.
Политика библиотеки не должна нарушать применимые федеральные, государственные и местные законы. Однако в соответствии со статьей VII «Библиотечного билля о правах» библиотекари должны выступать против принятия законов, ограничивающих права любого пользователя библиотеки на неприкосновенность частной жизни. В 48 штатах есть законы, защищающие конфиденциальность библиотечных документов. У двух других есть общие мнения юристов, подтверждающие конфиденциальность библиотечных документов. Статут или мнение штата см. В разделе «Законы штата о конфиденциальности в отношении библиотечных документов».”
Библиотечная политика должна требовать, чтобы запросы правоохранительных органов на любую библиотечную запись подавались судом компетентной юрисдикции, который имеет веские основания и находится в надлежащей форме. См. Документы ALA «Политика конфиденциальности библиотечных документов». Руководящий орган библиотеки должен осознавать, что конфиденциальность, особенно конфиденциальность детей и студентов, может регулироваться дополнительными законами штата и федеральными законами. Например, 21 апреля 2000 г. вступил в силу Федеральный закон «Закон о защите конфиденциальности детей в Интернете (COPPA)».Этот закон, разработанный для защиты конфиденциальности детей в Интернете, напрямую влияет на то, как дети получают доступ к интернет-контенту.
При создании своей политики конфиденциальности руководящие органы библиотеки и образовательного учреждения должны быть полностью осведомлены о любых таких законах, касающихся раскрытия информации и прав родителей, и создавать соответствующие политики. Администрация факультета и школы не имеет родительских прав в отношении конфиденциальности учащихся.
27. Являются ли технологии видеонаблюдения или электронного наблюдения в библиотеках нарушением конфиденциальности пользователей?Современное сложное оборудование для наблюдения с высоким разрешением способно записывать читательские привычки и движения пользователя по библиотеке таким же наглядным образом, как обычно защищают библиотеки оборотных записей.Когда библиотека рассматривает возможность установки оборудования для наблюдения, административная необходимость в этом должна быть сопоставлена с тем фактом, что большая часть записываемой деятельности невиновна и безвредна. Любые хранимые записи могут быть предметом запросов Закона о свободе информации (FOIA). Поскольку любая такая личная информация является конфиденциальной и может быть использована ненадлежащим образом в чужих руках, сбор данных наблюдения имеет серьезные последствия для руководства библиотеки и школьных администраторов.
Если библиотека решает, что наблюдение необходимо, для библиотеки важно разработать и обеспечить соблюдение строгих политик защиты конфиденциальности и конфиденциальности пользователей, подходящих для управления оборудованием, включая рутинное уничтожение лент в кратчайшие сроки или как можно скорее. разрешено законом.
В таких политиках должно быть указано, что камеры должны использоваться только для узкой цели повышения физической безопасности библиотеки, ее имущества, персонала и пользователей.Политика должна включать: протоколы для размещения знаков и уведомления о наличии оборудования для наблюдения, хранение данных и / или носителей в безопасном месте, а также регулярное уничтожение данных в кратчайшие сроки, разрешенные законом. Если оборудование создает какие-либо записи, библиотека должна осознавать свою ответственность по защите их конфиденциальности, как и любые другие библиотечные записи. Кроме того, законы некоторых штатов указывают, что библиотеки не должны раскрывать какую-либо информацию, идентифицирующую человека как использовавшего библиотеку или библиотечные услуги, даже если эта информация не представлена в форме «записи».«Защита конфиденциальности пользователей лучше всего достигается путем очистки записей или изображений, как только их цель будет достигнута.
Обеспокоенные ростом насилия в школах, некоторые школы K-12 установили оборудование безопасности в районах, где нельзя ожидать разумных ожиданий конфиденциальности. Сюда входят компьютерные классы, холлы, кафетерии и детские площадки. Важно, чтобы полученные данные обрабатывались надежно и использовались в соответствии с политикой, утвержденной советом директоров, и соответствовали законам штата и федеральным законам.
IV. Права несовершеннолетних на конфиденциальность 28. Являются ли права несовершеннолетних на неприкосновенность частной жизни такими же, как и у взрослых? Какая информация об использовании библиотеки несовершеннолетними должна оставаться конфиденциальной, а какая может быть раскрыта родителям?Права несовершеннолетних варьируются от штата к штату, а юридическая ответственность и положение сотрудников библиотеки в отношении несовершеннолетних пользователей существенно различаются в школьных, академических и публичных библиотеках.Как правило, право несовершеннолетнего на сохранение конфиденциальности своих библиотечных документов регулируется законом о конфиденциальности библиотек штата; однако в государственных образовательных учреждениях Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) также определяет конфиденциальность и разглашение библиотечных документов несовершеннолетних. Библиотеки могут пожелать проконсультироваться с юрисконсультом своих руководящих органов, чтобы убедиться, что политика и практика библиотеки соответствуют действующему законодательству.
В публичных библиотеках ответственность родителей является ключевым моментом в использовании библиотеки несовершеннолетними.Уведомление родителей о политике конфиденциальности и конфиденциальности библиотеки должно быть частью процесса выдачи библиотечных билетов несовершеннолетним. В некоторых публичных библиотеках права несовершеннолетних на неприкосновенность частной жизни могут незначительно отличаться от прав взрослых, часто пропорционально возрасту несовершеннолетнего. Законные опасения по поводу безопасности детей в общественных местах могут быть устранены без ненужного вторжения в частную жизнь несовершеннолетних при использовании библиотеки.
В публичных и школьных библиотеках родители несут ответственность не только за выбор, который делают их несовершеннолетние дети в отношении выбора материалов и использования библиотечных помещений и ресурсов, но и за то, чтобы сообщать своим детям об этом выборе.Работники библиотеки не должны нарушать конфиденциальность ребенка, сообщая родителям информацию напрямую от ребенка. Библиотеки должны проявлять большую осторожность, чтобы ограничить смягчающие обстоятельства, при которых они будут разглашать такую информацию.
Конфиденциальность: Интерпретация Билля о правах библиотеки гласит: «Все пользователи имеют право быть свободными от любого необоснованного вторжения или наблюдения за их законным использованием библиотеки. ALA и ее члены признают, что дети и молодежь имеют такие же права на неприкосновенность частной жизни, что и взрослые.«Во всех библиотеках следует уважать и защищать права несовершеннолетних на неприкосновенность частной жизни в отношении выбора ими библиотечных материалов. Статья VII Билля о правах библиотеки гласит: «Все люди, независимо от происхождения, возраста, происхождения или взглядов, обладают правом на неприкосновенность частной жизни и конфиденциальность при использовании библиотеки. Библиотеки должны пропагандировать, информировать и защищать частную жизнь людей, защищая все данные об использовании библиотеки, включая информацию, позволяющую установить личность ». Статья III Кодекса этики ALA предписывает библиотечным работникам «защищать право каждого пользователя библиотеки на неприкосновенность частной жизни и конфиденциальность».«Несовершеннолетние и действия в Интернете: толкование Библиотечного билля о правах» утверждает право несовершеннолетних искать, создавать, делиться и взаимодействовать с информацией в Интернете как расширение их прав по Первой поправке. В заявлении также признается, что использование социальных сетей и веб-инструментов требует баланса двух приоритетов интеллектуальной свободы — сохранения частной жизни несовершеннолетних и права на свободу слова.
29. Как Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) влияет на библиотечные записи несовершеннолетних в школах K-12? Влияют ли законы штата о библиотечных документах на записи об учащихся?«Федеральный закон о правах на образование и неприкосновенность частной жизни», 20 U.S.C. § 1232g, (FERPA) контролирует раскрытие образовательных документов и информации учащегося как в школах K-12, так и в библиотеках послешкольного образования. Он требует от учебных заведений принятия политики, позволяющей родителям несовершеннолетних детей проверять и исправлять свои учебные документы. Он также запрещает разглашение записей учащихся без письменного разрешения родителей.
Управление по соблюдению семейной политики (FPCO), входящее в состав Министерства образования США, является федеральным учреждением, отвечающим за надзор за соблюдением FERPA и обеспечение его соблюдения.Согласно FPCO, любая запись, которую ведет учебное заведение, имеющее прямое отношение к студенту, в любом формате, позволяющее идентифицировать студента по содержащейся в ней информации, считается «учебной записью». Персонал FPCO выпустил руководство, в котором говорится, что записи о библиотечном обращении и аналогичные записи, хранящиеся в школьной библиотеке, являются «учебными записями» в соответствии с FERPA.
Хотя FERPA обычно требует, чтобы учреждения защищали конфиденциальность образовательных записей, он содержит множество исключений, которые позволяют раскрывать образовательные записи ученика без согласия или разрешения родителей или учеников.Например, FERPA разрешает образовательным учреждениям раскрывать информацию, содержащуюся в записях учащихся, любому школьному должностному лицу, имеющему «законный образовательный интерес» в этих записях; соответствующим государственным служащим в чрезвычайных ситуациях, связанных с охраной здоровья и безопасности; а также в суды и правоохранительные органы в ответ на судебный приказ или законно вынесенную повестку в суд. FERPA также разрешает образовательным учреждениям раскрывать информацию об иностранных студентах Министерству внутренней безопасности и Иммиграционному и таможенному бюро.
Таким образом,FERPA разрешает раскрытие информации, если положения о конфиденциальности и профессиональной этике государственной библиотеки в противном случае запрещали бы раскрытие библиотечных записей. Однако FERPA не требует от учреждения раскрытия записей в этих обстоятельствах, а также FERPA не требует от учреждений создания или ведения определенных записей.
Законы о конфиденциальности государственных библиотек могут применяться к библиотекам K-12, а также к публичным библиотекам и могут налагать дополнительные обязанности по защите библиотечных документов учащихся, выходящие за рамки требований / разрешений FERPA.Следовательно, школьные библиотеки должны разработать политику, которая расширяет дополнительную защиту конфиденциальности для библиотечных документов учащихся и, где это применимо, включает законодательные меры защиты для библиотечных документов учащихся. Лучшая защита заключается в том, чтобы собрать как можно меньше информации и удалить ее как можно быстрее.
30. Как можно защитить конфиденциальность библиотечных документов несовершеннолетних в школьных библиотеках?Руководство по обеспечению конфиденциальности библиотек для учащихся K-12 определяет как проблемы, так и возможности защиты частной жизни несовершеннолетних в государственных начальных, средних и старших классах школ.Школьные библиотеки часто больше не являются независимыми образованиями и часто интегрированы в административную и технологическую инфраструктуру округа. В результате школьным библиотекарям становится все труднее действовать автономно для реализации политик и практик конфиденциальности, когда системы управления библиотечными ресурсами, цифровые ресурсы и другие приложения связаны с инфраструктурой округа. Теперь родители могут просматривать электронные библиотеки своих детей в режиме реального времени через портал образовательных технологий округа.Во многих районах родители регулярно получают отчеты о веб-сайтах, которые посещают их дети. Такое использование технологий серьезно подрывает конфиденциальность учащихся в школьных библиотеках.
31. Что могут сделать школьные библиотекари для защиты конфиденциальности своих учащихся?Крайне важно, чтобы каждая школьная библиотека имела политику конфиденциальности, утвержденную ее руководящим органом, в которой излагалось, как защищаются библиотечные записи учащихся, при каких обстоятельствах они могут быть переданы и кому.Политика должна ссылаться на Статью VII Билля о правах библиотек, Статью III Кодекса этики ALA и другие политические заявления, касающиеся защиты прав несовершеннолетних на неприкосновенность частной жизни в библиотеках. Политика конфиденциальности должна содержать ссылку и включать закон о конфиденциальности государственных библиотек, если это применимо, а также включать руководящие принципы FERPA. Без жесткой политики школьные библиотекари останутся неуверенными в отношении законных действий и будут в более слабом положении, чтобы отвечать на запросы о выдаче библиотечных документов.
После утверждения политики конфиденциальности руководящим органом школы, ее следует распространить среди сотрудников школы, учащихся и родителей. Неприкосновенность частной жизни несовершеннолетних и конфиденциальность их записей будет лучше защищена, если школьные работники и общество будут понимать соответствующие законы.
В дополнение к официальной политике конфиденциальности школьные библиотеки также должны иметь политику хранения записей, в которой подробно описаны типы сохраняемых записей, продолжительность хранения и график их удаления.Записи несовершеннолетних лучше всего защищены, когда минимальные библиотечные записи хранятся в течение как можно более короткого периода времени.
Помимо строгих политик, школьные библиотекари могут защитить конфиденциальность учащихся с помощью передовых методов, таких как:
- Обучение сотрудников библиотеки, волонтеров и помощников студентов юридической и этической природе конфиденциальности в библиотеке и конфиденциальности всех библиотечных документов.
- Обучение учителей и администраторов неприкосновенности частной жизни учащихся и конфиденциальности библиотечных документов.
- Обучает студентов защищать свою личную жизнь и уважать частную жизнь других людей.
- Observing Choose Privacy Week с 1 по 7 мая ежегодно.
- Обращение к родителям для информирования о политике библиотеки, касающейся конфиденциальности.
- Сотрудничество с ИТ-персоналом для оценки оборудования, программного обеспечения, программ фильтрации и приложений, связанных с технологиями, для обеспечения защиты конфиденциальности учащихся.
- Обсуждение вопросов конфиденциальности с поставщиками текущих ресурсов или с теми, кто рассматривает возможность покупки.
Дополнительные ресурсы :
Подкомитет по конфиденциальности Комитета по интеллектуальной свободе (IFC) разработал эти вопросы и ответы для работы в сочетании с «Конфиденциальностью: интерпретация Билля о правах библиотеки». Вопросы и ответы были одобрены IFC 14 апреля 2005 г .; с изменениями, внесенными 26 июня 2006 г .; 30 октября 2006 г .; 23 января 2012 г .; 1 июля 2014 г .; и 29 июля 2019 г.
Право доступа пользователя — обзор
Получение данных журнала: хорошее, плохое и действительно уродливое
Технически вы можете получить данные журнала несколькими способами и несколькими примерами конечно можно найти в Интернете.Однако многие из популярных решений (по определению, полученного с помощью наиболее популярных возвращаемых запросов) имеют серьезные проблемы с безопасностью. Обычная тема для администратора — войти на рассматриваемый сервер и экспортировать журнал в файл EVT, а затем использовать анализатор журнала в задании SQL. Я также видел инструкции о том, как передать SQL в командную оболочку и запустить инструмент DumpEvt , чтобы извлечь события из локальных журналов, записать их в файл и затем импортировать этот файл в SQL. Приятно было увидеть ссылки на вариант управления аудитом и журналами безопасности , где вместо административного доступа есть возможность назначать права пользователя, о чем я расскажу, но и здесь тоже есть некоторые проблемы.
Несмотря на то, что эти методы работают, они просто не соответствуют уровню безопасности, который я считаю подходящим для использования в производственной среде. И обратите внимание, что я не выбираю какие-либо конкретные сообщения в блогах, которые вы можете найти. Я просто хочу указать на распространенные ошибки безопасности, которые допускают даже профессионалы. Вот мои проблемы с этими методами, в произвольном порядке.
- ▪
Автоматический процесс никогда не должен запускаться в контексте администратора, если он не требуется для выполнения.Это также относится к установке службы SQL Server. Если нет каких-либо идентифицируемых требований для установки SQL Server в контексте LocalSystem или административного пользователя, он должен быть развернут как пользователь службы с низким уровнем привилегий, как описано в главе 5, которая точно озаглавлена «Создание и обслуживание пользователей с низким уровнем привилегий». Пользователи услуг ».
- ▪
Каждый раз, когда вы видите ссылку на xp_cmdshell в любом решении SQL, она должна поднять красный флаг. Я не говорю, что никогда не было причин для его развертывания, но вы должны быть хорошо знакомы со связанными с этим вопросами безопасности.Включение xp_cmdshell осуществляется посредством настройки конфигурации сервера. Если он включен на сервере, то его может выполнять любой процесс с разрешениями на сервере, и это огромная точка входа для атак. Процессы, представленные как некоторые из вышеупомянутых, говорят мне о нескольких вещах. Без упоминания разрешений или делегирования это означает, что процесс выполняется от имени администратора (очевидно, иначе они бы подробно описали процесс). Если журналы, получаемые из DumpEvt (или другого аналогичного инструмента), поступают с удаленного компьютера, это означает, что используется учетная запись домена, поскольку LocalSystem не может выполнять сетевые вызовы.Кроме того, в зависимости от инструментов, это означает, что доступны каналы удаленного администрирования, такие как \ PIPE \ EVENTLOG, и что данные, вероятно, отправляются в открытом виде. Пример транзитных журналов DumpEvt показан на рисунке 6.1.
▪ Рисунок 6.1. Данные удаленного журнала событий отправляются в открытом виде
Не цитируйте меня по этому поводу, поскольку я не являюсь экспертом в области аудита индустрии платежных карт, но я почти уверен, что удаленный сбор данных журнала должен (или должен быть) зашифрован при передаче в соответствии с политикой.Нечто подобное может проявиться в довольно серьезных результатах аудита или, как мы говорим в бизнесе, поставить вас в тупик.
Думаю, хуже всего в решениях такого типа является то, что в целях аудита безопасности вы в конечном итоге будете выполнять вызовы на основе команд ОС из высокопривилегированных учетных записей на удаленные компьютеры с использованием учетных данных домена с повышенными правами для получения данных журнала, которые отправляются через провод в открытом виде. Это один из тех моментов, «когда вы ставите , что », вам следует избегать!
Я проиллюстрирую метод, с помощью которого вы можете использовать пользователя службы с низкими привилегиями, который имеет минимальные права на чтение отдельных журналов событий, таким образом, чтобы обеспечить удаленный доступ к серверам без включения портов удаленного администрирования, и где данные журнала хранятся зашифровано при передаче.Соединения модели удаленных компонентов (COM) будут строго контролироваться, как и доступ к объектам инструментовки, которые будут извлекать данные. Эти данные будут выборочно извлекаться из журналов на основе любых критериев, которые мы пожелаем, и будут отправлены в базу данных SQL, где разрешения на доступ могут быть предоставлены на детальном уровне. Все это будет сделано без вызова каких-либо процессов командного уровня или доступа к каким-либо объектам файловой системы. И сделать это будет на удивление легко. Что ж, легко, потому что я сделал всю работу за вас заранее! Рабочий процесс показан на рисунке 6.2.
▪ Рисунок 6.2. Топология сборщика журналов и рабочий процесс
В итоге мы получим процесс, в котором задание SQL, выполняемое в контексте пользователя службы с низким уровнем привилегий, будет вызывать функцию сборки CLR, которую мы напишем, которая создает экземпляр объекта WMI через DCOM. Этот объект WMI будет подключаться к провайдеру журнала событий по зашифрованному каналу в контексте нашего пользователя службы и будет напрямую обращаться к данным журнала событий, используя разрешения, явно предоставленные отдельным журналам событий, путем назначения элементов управления доступом с помощью SDDL.Затем данные журнала будут напрямую отправлены в таблицу SQL после анализа некоторых данных сообщения для получения дополнительных сведений. Соединение WMI состоит из структур запросов, подобных SQL, и мы будем запрашивать данные с помощью SELECT * FROM Win32_NTLogEvent WHERE EventType = 5 , как и T-SQL. Это одна из других причин, по которой мы будем использовать WMI для доступа к журналам, а не что-то вроде класса C # EventLog, потому что мы можем легко фильтровать возвращаемые результаты, чтобы получить только то, что мы хотим. Подробнее об этом в разделе WMI далее в этой главе.
Звучит намного сложнее, чем есть на самом деле. Вы можете запустить это в своей среде в кратчайшие сроки; однако я собираюсь остановиться на этом пути и углубиться в каждый сегмент, чтобы предоставить вам максимум информации на тот случай, если вы решите развернуть другие решения с использованием некоторых из тех же функций.
Подготовка SQL Server
Сначала нам нужно правильно подготовить установку нашего SQL-сервера. В этом примере это будет тот же пользователь, который был создан и настроен в соответствии с главой 5 «Создание и обслуживание пользователей службы с низким уровнем привилегий ». ”Для быстрого ознакомления этот пользователь существует только как член группы gServiceUsers (с другими пользователями службы) и явно не принадлежит ни к какой другой группе домена, поскольку он был удален из числа пользователей домена по умолчанию после того, как gServiceUsers был установлен в качестве первичная группа. Когда пользователь был указан для использования во время установки SQL Server, он добавлялся в группу локальных пользователей на сервере и был явно назначен для входа в систему в качестве службы. Его членство в группе локальных пользователей дает ему неявное назначение следующих прав пользователя: доступ к этому компьютеру из сети, разрешение локального входа в систему и увеличение рабочего набора процесса.Это все. Следующие шаги этого примера процесса предполагают, что SQL был установлен в соответствии с инструкциями в главе 5 о пользователях служб с низким уровнем привилегий.
Подключение к удаленным серверам
Далее я расскажу о том, как мы собираемся подключаться к удаленным серверам и как мы будем запрашивать у поставщика WMI в этой системе информацию о записи событий, которую мы хотим. Мы инициируем само соединение через интерфейс DCOM и запрашиваем доступ к службам компонентов WMI.Когда это будет предоставлено, мы просто отправим запросы WMI к нужному нам инструментальному интерфейсу и получим данные обратно.
DCOM — это общий интерфейс для запросов к поддерживаемым компонентным службам. Запрос поступает через обычный удаленный вызов процедур (RPC) для DCOM, который доступен по умолчанию. Мы используем стандартный RPC, поэтому нам не нужно открывать какие-либо правила брандмауэра для его поддержки. Это контрастирует с некоторыми другими инструментами, включая встроенную MMC средства просмотра событий, которая требует наличия правил брандмауэра удаленного администрирования при использовании Подключиться к другому компьютеру .DCOM не только определяет, какую службу мы ищем, и устанавливает это соединение, но также обеспечивает контроль доступа, установленный для различных компонентов. Вам необходим доступ к компоненту через DCOM, чтобы получить доступ к компоненту и пройти через него ваш запрос. В этом случае нашему компоненту WMI также необходима аутентификация для перечисления интерфейса. И если этого было недостаточно, с точки зрения ОС, нам нужны разрешения для использования DCOM в целом через группу Distributed COM Users .Думайте об этом как о разных уровнях безопасности, через которые вы должны пройти. Вы должны быть членом группы пользователей DCOM, чтобы получить доступ к DCOM, у вас должно быть разрешение на вызов конкретного COM-объекта через DCOM, и тогда самому COM-объекту также может потребоваться разрешение. На самом деле это хорошая модель, поскольку она обеспечивает наилучшую детализацию. Вы можете захотеть, чтобы некоторые пользователи имели доступ к DCOM, а затем к WMI через DCOM, но затем развернули и предоставили другим пользователям доступ к определенным дочерним корням WMI или пространствам имен.Обратите внимание, что эта структура разрешений не имеет ничего общего с разрешениями, необходимыми для фактического доступа к журналам, потому что это другой сегмент.
Когда это будет решено, мы сможем отправлять запросы WMI, так что теперь мы начнем раздавать разрешения.
Добавить группу, как показано на рис. 6.3, достаточно просто. Найдите локальную группу пользователей Distributed COM на целевом сервере (ах) и добавьте глобальную группу gServiceUsers в локальную группу. Это также можно сделать с помощью групповой политики.Теперь наш пользователь службы SQL сможет использовать DCOM на сервере.
▪ Рисунок 6.3. Добавление глобальной группы gServiceUsers в локальную группу пользователей DCOM
Компоненты и разрешения DCOM
Следующим шагом является фактическое предоставление разрешений желаемому компоненту DCOM, что выполняется с помощью утилиты DCOMCNFG . Его запуск позволяет нам развернуть папку конфигурации DCOM и прокрутить вниз до папки WMI, как показано на рисунке 6.4.
▪ Рисунок 6.4. Утилита DCOMCNFG, показывающая выбранную папку WMI (ножницы указывают пропущенное содержимое)
Чтобы открыть разрешения для DCOM, позволяющие вам использовать компонент WMI, перейдите в Свойства | Безопасность . Как видите, настройки безопасности DCOM немного отличаются тем, что существуют разные классы доступа, и каждый имеет свои собственные настройки разрешений. Эти классы делятся на «Запуск» и «Активация», «Доступ» и «Настройка». В классах Launch и Activation и Access есть параметры области действия для локальных и удаленных источников.Локальный — это когда пользователь пытается выполнить действие при интерактивном входе в систему на COM-сервере, а удаленный — по сети от другого клиента.
Конфигурация WMI
Запуск и активация означает, что объект может запускать COM-сервер, если он еще не запущен (запускать), или создавать объекты на COM-сервере, который уже запущен (активировать). Разрешения на доступ позволяют сущности использовать компонент или объект после того, как он запущен или создан.
Configuration позволяет просматривать или устанавливать параметры конфигурации DCOM для компонента.
Это может не иметь непосредственного смысла, но эти разрешения не зависят друг от друга. Один пользователь может запускать компонент, но не использовать его. Таким образом, это было бы похоже на запуск приложения пользователем, даже если этот пользователь не может войти в приложение и использовать его после его запуска.
То же самое и с доступом. Пользователь может иметь локальный и удаленный доступ к компоненту, но не может запускать сервер или создавать объекты. То же самое и с конфигурацией. Сущность может иметь любую комбинацию этих разрешений.
Примечание
На рисунке 6.5 вы можете заметить, что по умолчанию для запуска, активации и настройки установлены разрешения , настроить . Это похоже на циклическое резервирование, и я не совсем уверен, почему это так; это просто так.
▪ Рисунок 6.5. Структура разрешений доступа DCOM по умолчанию для компонента WMI
Область действия для запуска и активации — локальный запуск, удаленный запуск, локальная активация и удаленная активация. Разрешения по умолчанию — это все разрешения для группы локальных администраторов, которая содержит группу администраторов домена.Прошедшие проверку пользователи имеют возможность локального запуска, локальной активации и удаленной активации. Наш сервисный пользователь будет принадлежать к контексту аутентифицированных пользователей, поэтому эти разрешения по умолчанию нам подходят. Заметив отсутствие удаленного запуска, у вас может возникнуть соблазн добавить группу gServiceUsers с полным доступом на случай, если компонент WMI DCOM не запущен, но я этого не делаю, о чем свидетельствует рисунок 6.6. Сервер запускается по умолчанию (обратите внимание, что это сервер DCOM, а не физический сервер), и хотя я не знаю, при каких обстоятельствах мог бы быть остановлен сервер, это что-то значило, поэтому я бы не дал нашим пользователям разрешения чтобы просто запустить его снова.Я предпочел бы ошибиться в сторону осторожности.
▪ Рисунок 6.6. Разрешения на запуск и активацию по умолчанию для аутентифицированных пользователей
Переход к настройке На рис. 6.7 мы видим, что пользовательские разрешения по умолчанию предоставляют СИСТЕМНОМУ и локальным администраторам полный контроль, а локальным пользователям (которые содержат группу «Пользователи домена») — доступ для чтения к параметрам конфигурации. Специальные разрешения наследуются от root для всех назначенных пользователей, и на самом деле они ничего не установлены. Другими словами, контейнер разрешений для каждого пользователя создается со специальными разрешениями, даже если разрешения не установлены.Это позволяет вам углубиться в пользователя, чтобы назначить расширенные специальные разрешения для установки значений или перечисления подключей и т.п., если это необходимо.
▪ Рисунок 6.7. Разрешения конфигурации по умолчанию для группы локальных пользователей
Класс разрешений доступа является единственным, установленным на По умолчанию для фактических настроек по умолчанию (в отличие от Customize ) и разрешает локальным и удаленным доступам самим себе и локальным администраторам, а также локальный доступ к СИСТЕМЕ . В любом случае SYSTEM может иметь только локальный доступ, но мне нравится, что Microsoft так глубоко вникла в конфигурацию, чтобы явно установить только локальный доступ.Это показывает большое внимание к деталям.
Здесь нам нужно изменить разрешения, выбрав Customize и добавив нашу группу gServiceUsers, предоставляя им удаленный доступ к COM-объекту, как показано на рисунке 6.8. Если вы устанавливаете разрешения на SQL Server или на любом физическом сервере, на котором используется пользователь службы, и хотите, чтобы он извлекал журналы из самого себя, вы также должны установить локальный доступ.
▪ Рисунок 6.8. Настроенные разрешения для группы gServiceUsers для удаленного доступа к COM-объекту
Помните, что эти разрешения применяются только после того, как пользователю был предоставлен общий доступ к DCOM путем членства в группе пользователей распределенного COM.Поместите здесь мысленную закладку, поскольку я вернусь к этой области разрешений, когда мы поговорим больше о фактических разрешениях журнала в разделе настройки разрешений журнала Windows в этой главе.
Разрешения WMI
Чтобы завершить необходимые разрешения для требуемых объектов, нам нужно установить разрешения для кустов инструментов WMI. Я использую этот термин, поскольку папки пространства имен WMI похожи по структуре на системный реестр. Мы можем получить доступ к подключаемому модулю управления WMI, запустив WMIMGMT.msc.
Как и в случае с компонентами DCOM, вы можете контролировать доступ к различным пространствам имен WMI. Это снова позволяет более детально контролировать доступ. Нас интересует объект Win32_NTLogEvent , который находится во второй версии общей информационной модели (CIMV2), как показано на рисунке 6.9.
▪ Рисунок 6.9. Консоль управления WMI расширена до пространства имен CIMV2
Чтобы установить безопасность, вы должны нажать Security , затем Properties , а затем выбрать вкладку Security , как обычно.Я не знаю причины этого изменения пользовательского интерфейса.
Программный интерфейс WMI в целом поддерживает все виды функций, включая чтение свойств, чтение элементов управления безопасностью, запись значений и даже выполнение различных методов компонента (например, директив SQL, запуск подпроцессов для подключения к другим системам, форматирование дисков и т. Д. и так далее).
По умолчанию аутентифицированные пользователи, ЛОКАЛЬНАЯ СЛУЖБА и СЕТЕВАЯ СЛУЖБА могут выполнять методы, запись поставщика и иметь установленный флаг включения учетной записи.У локальных администраторов есть полные разрешения, а именно методы выполнения, полная запись, частичная запись, запись поставщика, включение учетной записи, удаленное включение, безопасность чтения и изменение безопасности. Специальные разрешения не предоставляют никаких других элементов управления, что становится очевидным, когда вы смотрите на диалоговое окно графического пользовательского интерфейса (GUI), в котором не выбраны и не отмечены специальные разрешения.
Поскольку наша группа gServiceUsers будет представлена в группе аутентифицированных пользователей, разрешения по умолчанию будут использоваться, если доступ к пространству имен WMI осуществляется локально из-за установленного унаследованного флага Enable Account .Поскольку в нашей среде этого будет недостаточно, мы добавим нашу группу gServiceUsers в этот список и предоставим им Remote Enable . Это все, что нам нужно для чтения журналов событий. Именно этот набор разрешений определяет, какие действия могут выполняться с помощью запросов WMI от клиента. Опять же, это не то место, где находятся разрешения для самого журнала событий; это просто контроль доступа к любому заданному пространству имен и подпространству имен через инструментальный интерфейс. Вот почему нам нужны только те учетные записи, которые мы используем, чтобы установить Enable Account и Remote Enable .Мы могли бы установить разрешения в корневом каталоге, но мы знаем, что нам нужны только пространства имен в CIMV2, поэтому мы установим только их, как показано на рисунке 6.10.
▪ Рисунок 6.10. WMI root \ CIMV2 Permissions for gServiceUsers Including Remote Enable
Помните, что есть подпространства имен, которые нам также нужны, но по умолчанию этот параметр будет применяться только к текущему пространству имен, поэтому установки этих разрешений недостаточно. Вам нужно перейти в Advanced Settings и отредактировать запись разрешения для группы gServiceUsers, а также изменить параметр Apply to с This namespace only на Это пространство имен и подпространства , как показано на рисунке 6.11.
▪ Рисунок 6.11. Расширенные разрешения пространства имен CIMV2, применяемые как к пространству имен, так и к подпространствам имен
Итак, мы идем. Опять же, это может показаться большим делом, но это довольно легко настроить, как только вы это сделаете. Помните об этой мысленной закладке для настройки разрешений журнала, поскольку она применима и здесь. Теперь мы готовы обратиться к разрешениям, необходимым для работы непосредственно с файлами журнала. Но перед тем, как мы начнем этот процесс, мы рассмотрим рисунок 6.12, на котором показана общая структура разрешений, чтобы мы могли правильно представить ее себе.
▪ Рисунок 6.12. Уровень разрешений для общего процесса удаленного доступа сборщика журналов
Я подумал, что было бы неплохо подвести итоги, прежде чем мы перейдем к разрешениям журнала, поскольку все может стать немного сложным, когда мы начнем углубляться в то, как работают разрешения журнала событий.
Использование управления ролями — справочный центр Zoom
Обзор
Каждый пользователь в учетной записи Zoom автоматически имеет системную роль, которая может быть владельцем, администратором или участником. Эти роли связаны с набором разрешений по умолчанию, которые нельзя изменить для владельца или участника.Эти разрешения определяют, к чему пользователи могут получить доступ при входе на веб-портал. Управление доступом на основе ролей позволяет вашей учетной записи иметь дополнительные роли пользователей. Роли пользователей могут иметь набор разрешений, которые разрешают доступ только к тем страницам, которые пользователь должен просматривать или редактировать. Кроме того, вы можете изменить разрешения системной роли администратора.
Только владелец учетной записи может изначально создавать роли пользователей и назначать пользователей этим ролям. После создания роли пользователя владелец (или другие лица в роли с разрешениями на управление ролями) может назначить пользователей этой роли, предоставив этим пользователям разрешение на просмотр и редактирование подмножества страниц, принадлежащих учетной записи.
Вы можете увидеть, какой тип роли у вас в настоящее время есть на странице профиля вашей учетной записи. Если вы являетесь владельцем или администратором учетной записи, вы можете видеть, какой тип роли имеют другие пользователи, управляя пользователями.
Вы также можете установить администраторов групп для групп под вашей учетной записью, которые не влияют на роли вашей учетной записи. Администраторы группы могут управлять участниками и настройками этой группы. Администратор группы также может видеть, установлена ли управляемая им группа в качестве основной для пользователей внутри группы. Администратору группы необязательно быть администратором учетной записи или иметь разрешения на редактирование групп пользователей.
Примечание :
- Пользователям может быть назначена только одна роль (владелец учетной записи, администратор, пользовательская роль или участник). Пользователь может иметь другую роль и быть администратором группы или администратором группы для нескольких групп.
- Вы также можете использовать управление ролями для Zoom Phone, чтобы предоставить доступ к функциям и настройкам Zoom Phone на веб-портале.
Эта статья охватывает:
Предварительные требования
- Требуется план Enterprise, Business, Education или Pro
- Для установки начальной роли необходимо быть владельцем учетной записи
- Для последующего управления ролями вы должны быть владельцем учетной записи или пользователем с разрешениями на управление ролями
Примечание : Поскольку только владелец может изначально добавить роль пользователя, Zoom рекомендует, чтобы владелец добавил роль, которая позволяет по крайней мере одному другому человеку управлять ролями пользователей.
Добавление начальных разрешений на управление ролями пользователей
Чтобы добавить роль с привилегиями, чтобы другие могли добавлять роли:
- Войдите на веб-портал Zoom как владелец учетной записи.
- В меню навигации щелкните User Management , затем Role Management .
- Щелкните Добавить роль .
- Укажите имя и описание роли, затем щелкните Добавить .
- Установите флажок в столбце Изменить для Управление ролями .
Примечание : Это позволяет пользователям с этой ролью создавать роли пользователей и управлять ими, так что владелец не единственный человек, который может выполнять эту задачу. Вы также можете установить дополнительные флажки, если хотите, чтобы пользователи с этой ролью видели или редактировали дополнительные страницы. - Прокрутите страницу вниз и нажмите Сохранить изменения , чтобы вернуться на страницу управления ролями.
- Вверху страницы щелкните Вернуться к ролям , чтобы вернуться на главную страницу управления ролями.
- Щелкните Изменить справа от роли.
- Щелкните вкладку Role Members .
- Щелкните Добавить участников .
- Введите адрес электронной почты пользователя (при добавлении нескольких адресов добавьте запятую между адресами электронной почты, чтобы разделить их).
- Щелкните Добавить .
Примечание : Роль Role Management также может быть добавлена к существующей роли, например, Admin .
Добавление дополнительных ролей пользователей
Только владелец учетной записи и пользователи, имеющие права редактирования для управления ролями, могут добавлять роли и добавлять пользователей к этим ролям.
Чтобы добавить роль с определенными привилегиями:
- Войдите на веб-портал Zoom как владелец учетной записи.
- В меню навигации щелкните User Management , затем Role Management .
- Щелкните Добавить роль .
- Укажите имя и описание роли.
- Установите один или несколько флажков, чтобы разрешить пользователям с этой ролью просматривать или редактировать эти страницы.
- Прокрутите страницу вниз и нажмите Сохранить изменения , чтобы вернуться на страницу управления ролями.
Добавление участников в роли
- Войдите на веб-портал Zoom как владелец учетной записи или кто-то, у кого есть доступ к редактированию ролей.
- В меню навигации щелкните Управление пользователями , затем Пользователи.
- Установите флажок слева от пользователей, которым вы хотите назначить роль.
- Нажмите кнопку Изменить роль . Откроется диалоговое окно «Изменить роль».
- Выберите имя роли, в которую вы хотите добавить пользователей.
- Нажмите кнопку Сохранить , чтобы вернуться на страницу «Пользователи».
Изменение разрешений для роли
Вы можете изменить полномочия, назначенные роли, в любое время.