Конференция по вопросам информационной безопасности Суббота, 18.11.2017, 11:15
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
Страница 7 из 10«125678910»
Модератор форума: Kostik, anvolkov 
Форум » Персональные данные » Общие вопросы » Нужна помощь (По различным вопросам)
Нужна помощь
anvolkov (Алексей Волков)Дата: Понедельник, 09.08.2010, 16:06 | Сообщение # 91
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Если скажете, что это ИСПДн, то да. Если скажете, что это - неавтоматизированная обработка - то нет. Решать Вам - регуляторы поправят smile
 
Andrey_cm (Андрей)Дата: Вторник, 10.08.2010, 08:52 | Сообщение # 92
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Quote (Artem)
а на такую ситему нужна Частная модель угроз? и классифицировать такую систему нужно? вот в управлении строительства и ЖКХ куча ПДн береться с человека и категория скорее К2 плюс более 1000 субъектов, получаетсся ИСПДн К2 но неавтоматизированная.... приэтом она только печатают договора и отчеты...

Каким образом вы классифицируете, если у вас неавтоматизированная?
Действительно нужных законодательных актов не так уж и много. Понятно, что пакет шаблонов документов это очень удобно, но всё-равно нужно подумать, чтобы его заполнить. Большинство из этих документов вытекают из 152 ФЗ, 781 ПП, тройственного приказа, 687 ПП (если неавтоматизированная).

Модель угроз упоминается в 781 ПП, и если у вас неавтоматизированная обработка ПДн, то вы 781 ПП вообще не трогайте.

Насчет классификации:
«Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» :
"В соответствии с пунктом 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, № 48, часть II, ст. 6001), приказываем:"
Т.е. Классифицировать вы должны, когда ведете автоматизированную обработку.

Сообщение отредактировал Andrey_cm - Вторник, 10.08.2010, 09:06
 
Artem (Артем)Дата: Среда, 11.08.2010, 16:00 | Сообщение # 93
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
В уведомлении РСКН указвается класс системы ... а если несколько ИСПДн? ставим навысший .... или указываем все сисетмы?
и еще бухгалтерия отправляет отчетность в ПФР с ПДн работников для работы программы устанавливается Крипто про его нужно укзывать в Уведомлении?


Сообщение отредактировал Artem - Среда, 11.08.2010, 16:02
 
Kostik (Иванов Константин)Дата: Среда, 11.08.2010, 18:32 | Сообщение # 94
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
В уведомлении не указывается класс системы. Там указывается перечень ПДн, которые обрабатывает организация (категории персональных данных) для всех ИСПДн.

Насколько мне известно, конкретные решения в уведомлении так же не указываются (КриптоПРО, как внедренное средство защиты информации, укажете в тех. паспорте системы), в уведомлении же указывается "Описание мер, которые оператор обязуется осуществлять", т.е. "передача информации осуществляется по защищенным каналам связи".

 
Andrey_cm (Андрей)Дата: Среда, 11.08.2010, 20:58 | Сообщение # 95
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Quote (Kostik)
В уведомлении не указывается класс системы. Там указывается перечень ПДн, которые обрабатывает организация (категории персональных данных) для всех ИСПДн.

Вологодский Роскомнадзор немножко особенный wink Я не раз уже писал, что в их форме есть класс ИСПДн.
http://35.rsoc.ru/directions/p1419/

Смотрите образцы
http://35.rsoc.ru/docs/35/skola.doc
http://35.rsoc.ru/docs/35/detskij_dom.doc

"Информационной системе присвоен 3 класс."

 
Kostik (Иванов Константин)Дата: Среда, 11.08.2010, 21:53 | Сообщение # 96
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Честно говоря я тогда в замешательстве... практически в любой организации существует не одна ИСПДн, причем зачастую их классы различаются... может писать "система не классифицирована"?
 
anvolkov (Алексей Волков)Дата: Четверг, 12.08.2010, 11:01 | Сообщение # 97
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Блин, точно - класс! И на Питерском, и на Московском РКН такая же бадяга! Вот это да! Интересно, каким приказом они утвердили новую форму? Ну, товарищи.... пипец.
 
Dzirt (Колосовский Мирослав)Дата: Четверг, 12.08.2010, 11:46 | Сообщение # 98
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
Я так понимаю приказом Россвязькомнадзора №42 от 18.02.2009 «О внесении изменений в приказ Россвязькомнадзора от 17 июля 2008 г. №8 «Об утверждении образца формы уведомления об обработке персональных данных»
А именно:
в пункте 10 слова «организационные и технические меры, в том числе использование шифровальных (криптографических) средств, используемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке» заменить на слова:
«а) класс информационной системы персональных данных оператора (пункт 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. ЗЧ55/86/20 <Об утверждении Порядка проведения классификации информационных систем персональных данных»;
б) организационные и технические меры, применяемые для защитыперсональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:
а) наименование, регистрационные номера и производителей используемых криптографических средств;
б) уровень криптографической защиты персональных данных;
в) уровень специальной защиты от утечки по каналам побочньих излучений и наводок;
г) уровень защиты от несанкционированного доступа.
 
anvolkov (Алексей Волков)Дата: Четверг, 12.08.2010, 11:50 | Сообщение # 99
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Dzirt, +1 smile Точно. Совсем отупел я за жаркий период smile

Константин, я полагаю, следует задать РКН вопрос по поводу того, что писать, если есть несколько ИСПДн?

 
Andrey_cm (Андрей)Дата: Четверг, 12.08.2010, 15:55 | Сообщение # 100
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Может быть Костя и прав, в электронной форме на портале Роскомнадзора есть такой вариант "Система не классифицирована". И если внутри предприятия еще не введено акта классификации, то лучше конечно так указать.
Однако выбор класса системы "к1,к2,к3,к4" у них организован на базе checkbox, что позволяет выбрать все виды. (как ставить, если, например, несколько систем к3, не очень понятно).
В бумажной формочке уведомления для муниципальной поликлиники вроде перечисляли через запятую.
 
Artem (Артем)Дата: Четверг, 12.08.2010, 16:19 | Сообщение # 101
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
а что можете сказать по поводу доверенностей, забираем товар, отдаем доверенность, ни кто ни каких согласий с нас не берет.....
 
anvolkov (Алексей Волков)Дата: Четверг, 12.08.2010, 17:16 | Сообщение # 102
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Quote (Andrey_cm)
Может быть Костя и прав

Ну да, логично, вобщем.

Quote (Artem)
а что можете сказать по поводу доверенностей

Если речь идет о доверенности на получение ТМЦ (форма М2А) то на основании ГК - согласие не требуется. Она потом подшивается к товарной накладной и все. И потом там только ФИО и серия и номер паспорта - некоторые склонны считать это обезличенными данными, т.к. их раскрытие никакого ущерба субъекту не нанесет.

 
Artem (Артем)Дата: Пятница, 13.08.2010, 15:56 | Сообщение # 103
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
http://depositfiles.com/files/79lsrm1gw
что думаете, распределенная 3 ???? или я ошибаюсь
 
Kostik (Иванов Константин)Дата: Суббота, 14.08.2010, 11:51 | Сообщение # 104
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Quote (Artem)
что думаете, распределенная 3 ???? или я ошибаюсь

По рисунку - да, распределенная. 3 или нет - из рисунка не ясно.

 
Artem (Артем)Дата: Понедельник, 16.08.2010, 17:18 | Сообщение # 105
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
А для К4 модель угроз нужна"
 
Форум » Персональные данные » Общие вопросы » Нужна помощь (По различным вопросам)
Страница 7 из 10«125678910»
Поиск:

Copyright Ivanov Konstantin © 2017Используются технологии uCoz