Меню сайта |
|
|
Скачать |
|
|
Поиск |
|
|
|
Описание технологических процессов обработки ПДн
| |
Dzirt (Колосовский Мирослав) | Дата: Среда, 21.07.2010, 10:38 | Сообщение # 1 |
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
| Добрый день, уважаемые коллеги. Давайте поговорим о составлении диаграмм процессов, в которых используются ПДн. Не секрет, что при составлении таких диграмм привлекаются сотрудники подразделений, учавствующих в этих процессах. Получить у них информацию не составляет особого труда, а вот приведение к виду диаграмм и блок-схем вызывает некоторые затруднения. Существуют ли какие-нибудь стандарты, рекомендации, статьи или комментарии, которые позволяют грамотно это сделать? Для примера предлагаю рассмотреть процесс кадрового учета (на мой взгляд он является самым распространенным).
|
|
| |
Kostik (Иванов Константин) | Дата: Среда, 21.07.2010, 11:37 | Сообщение # 2 |
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| Если мне не изменяет память, то существуют различные подходы построения технологических процессов, реализованные в различных специализированных программных комплексах (например BPwin). Лично я слышал о стандарте IDEF3, но глубоко в него не вчитывался. Так же используются различные модификации диаграммы Ишикавы (но это скорее для вычисления причинно-следственной связи).
|
|
| |
Dzirt (Колосовский Мирослав) | Дата: Среда, 21.07.2010, 11:42 | Сообщение # 3 |
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
| Это я тоже все слышал. А хочется узнать конкретые подходы на практике. На программу как обычно нет денег =) . Так что приходится работать основываясь на своих логических рассуждениях.
Сообщение отредактировал Dzirt - Среда, 21.07.2010, 11:43 |
|
| |
Kostik (Иванов Константин) | Дата: Среда, 21.07.2010, 11:48 | Сообщение # 4 |
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| Посмотри по ссылке BPWin-а - там есть и бесплатные программы правда с ними тоже помучаться надо. Беда в том, что это не стандарты РФ, а значит на них особо не сошлешься.
|
|
| |
Andrey_cm (Андрей) | Дата: Среда, 21.07.2010, 14:58 | Сообщение # 5 |
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
| IDEF3 больше подходит для описания жизни ПДн в ИСПДн. Общее описание процессов, в которых участвуют ПДн наверно лучше описать в IDEF0. По идее программы для этого не особо нужны, можно и в ворде нарисовать, только вот (если подходить к этому вопросу основательно) для каждого объекта (активити или стрелки) нужно добавлять описание, вот тогда и нужны программы типа bpWin. На прикладной математике обычно обучают этому по книжке "Маклаков С.В. Создание информационных систем с AllFusion Modeling Suite." Там есть описание этих моделей. Они на самом деле достаточно простые.
|
|
| |
anvolkov (Алексей Волков) | Дата: Среда, 21.07.2010, 22:28 | Сообщение # 6 |
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Друзья, не углубляйтесь в такие дебри. Описание техпроцессов - это важный, но все же вспомогательный документ. Главное чтобы вы сами понимали что у вас происходит - РКН этот документ без разницы, разве что показатель "порядка".
|
|
| |
Dzirt (Колосовский Мирослав) | Дата: Четверг, 22.07.2010, 13:42 | Сообщение # 7 |
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
| Ну все начинается с малого, а этот документ может оказаться очень полезным при составлении некоторых важных документов, наличие которых в свою очередь и проверяет РКН.
|
|
| |
anvolkov (Алексей Волков) | Дата: Четверг, 22.07.2010, 21:50 | Сообщение # 8 |
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Что да, то да
|
|
| |
АлешКа (Алексей) | Дата: Вторник, 07.09.2010, 16:09 | Сообщение # 9 |
Рядовой
Группа: Пользователи
Сообщений: 15
Репутация: 0
Статус: Offline
| Хочется задать вопрос и получить компетентный ответ*** После проведения всех перечисленных мероприятий и введения режима обработки ПДн (так сказать) как быть с носителями, нет что на них будит ставится отметка К,И, или ПДн (возможно даже ДСП), но как быть с носителями И которые были изданы до введения режима, неужели все их придется приводить в соответствие с действующим законодательством, это же сколько работы (ведь учет и условия хранения должны быть в соответствии с НКД*)…
|
|
| |
Kostik (Иванов Константин) | Дата: Среда, 08.09.2010, 08:16 | Сообщение # 10 |
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| Если говорим об электронных (в том числе и отчуждаемых) носителях информации, то безусловно необходимо производить учет и контроль не только новых, но и тех, которые уже вращаются в организации. Если Вы имеете ввиду бумажные носители информации, то тут работает 687-е постановление, в частности п.13, 14, 15: "13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. 14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором." Если Вы это можете сделать без маркировки старых носителей, то пожалуйста.
|
|
| |
АлешКа (Алексей) | Дата: Среда, 08.09.2010, 09:09 | Сообщение # 11 |
Рядовой
Группа: Пользователи
Сообщений: 15
Репутация: 0
Статус: Offline
| Quote (Kostik) Если Вы это можете сделать без маркировки старых носителей, то пожалуйста. Что же мы умнее других (улыбнулся), да это довольно сложно будет сделать))) Макулатуры накопилось много))) Спасибо за исчерпывающий ответ….
|
|
| |
Kostik (Иванов Константин) | Дата: Среда, 08.09.2010, 09:18 | Сообщение # 12 |
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| И еще хотелось бы добавить - не рекомендую вводить гриф ДСП если у Вас не организована защита конфиденциальной информации (согласно СТР-К и т.д.). Может возникнуть путаница в понятиях.
|
|
| |
АлешКа (Алексей) | Дата: Среда, 08.09.2010, 09:53 | Сообщение # 13 |
Рядовой
Группа: Пользователи
Сообщений: 15
Репутация: 0
Статус: Offline
| Quote (Kostik) И еще хотелось бы добавить - не рекомендую вводить гриф ДСП если у Вас не организована защита конфиденциальной информации (согласно СТР-К и т.д.). Может возникнуть путаница в понятиях. Я гос. служащий, у нас есть перечень КИ, так же были разработаны несколько инструкций и.т.п.))) в перспективе Концепция и Политика ИБ…) хотя должно быть наоборот Работаю совсем недавно)) отсюда и вопросы))) От законодательства РФ голова может лопнуть (все знать невозможно..) но надо к этому стремится (улыбнулся).. Так что я думаю гриф ДСП к нам в самый раз (Только вся соль что у грифа ДСП нет градации и за каждый к примеру утерянный носитель ПДн с номерами внутренней связи и ФИО+должность сотрудников = должно проводится расследование) Просто абсурд! все просто не начнет работать и будит только на бумаге
Сообщение отредактировал АлешКа - Среда, 08.09.2010, 10:00 |
|
| |
Kostik (Иванов Константин) | Дата: Среда, 08.09.2010, 11:13 | Сообщение # 14 |
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| Quote (АлешКа) за каждый к примеру утерянный носитель ПДн с номерами внутренней связи и ФИО+должность сотрудников = должно проводится расследование Вот как раз против таких ситуаций приходится создавать документы, объявляющие ФИО сотрудников, их рабочие телефоны, электронные адреса "общедоступной информацией в рамках организации", тогда для многих документов (реально не содержащих какую-либо значимую информацию) снимется необходимость защиты.
|
|
| |
АлешКа (Алексей) | Дата: Среда, 08.09.2010, 13:22 | Сообщение # 15 |
Рядовой
Группа: Пользователи
Сообщений: 15
Репутация: 0
Статус: Offline
| Хочется предложить тему на форуме или же обсуждение в данной теме «Программные, программно – аппаратные, инженерные и.т.п. средства для защиты ПДн в соответствии с базовой моделью» (только в модели перечислены функции этих средств, а не сами средства). Вообщем кто что поставил или собирается… Считаю что вопрос имеет серьезную актуальность Добавлено (08.09.2010, 13:22) ---------------------------------------------
Quote (Kostik) "общедоступной информацией в рамках организации" Гос организации не могут такого сделать в соответствии с «Порядком проведения классификации ИСПДн» пункт 7, 2- абзац дословно: ХНПД = 2 ……., работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; Если бы не эти слова у нас был бы К3 и проблем было бы поменьше….
|
|
| |
|
| Copyright Ivanov Konstantin © 2024 | Используются технологии uCoz | |
|