Конференция по вопросам информационной безопасности Суббота, 18.11.2017, 11:26
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
Страница 1 из 212»
Модератор форума: Kostik, anvolkov 
Форум » Персональные данные » Этапы проведения работ » Описание технологических процессов обработки ПДн (Составление диаграмм процессов, в которых используются ПДн)
Описание технологических процессов обработки ПДн
Dzirt (Колосовский Мирослав)Дата: Среда, 21.07.2010, 10:38 | Сообщение # 1
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
Добрый день, уважаемые коллеги. Давайте поговорим о составлении диаграмм процессов, в которых используются ПДн. Не секрет, что при составлении таких диграмм привлекаются сотрудники подразделений, учавствующих в этих процессах. Получить у них информацию не составляет особого труда, а вот приведение к виду диаграмм и блок-схем вызывает некоторые затруднения. Существуют ли какие-нибудь стандарты, рекомендации, статьи или комментарии, которые позволяют грамотно это сделать? Для примера предлагаю рассмотреть процесс кадрового учета (на мой взгляд он является самым распространенным).
 
Kostik (Иванов Константин)Дата: Среда, 21.07.2010, 11:37 | Сообщение # 2
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Если мне не изменяет память, то существуют различные подходы построения технологических процессов, реализованные в различных специализированных программных комплексах (например BPwin). Лично я слышал о стандарте IDEF3, но глубоко в него не вчитывался. Так же используются различные модификации диаграммы Ишикавы (но это скорее для вычисления причинно-следственной связи).
 
Dzirt (Колосовский Мирослав)Дата: Среда, 21.07.2010, 11:42 | Сообщение # 3
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
Это я тоже все слышал. А хочется узнать конкретые подходы на практике. На программу как обычно нет денег =) . Так что приходится работать основываясь на своих логических рассуждениях.

Сообщение отредактировал Dzirt - Среда, 21.07.2010, 11:43
 
Kostik (Иванов Константин)Дата: Среда, 21.07.2010, 11:48 | Сообщение # 4
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Посмотри по ссылке BPWin-а - там есть и бесплатные программы happy правда с ними тоже помучаться надо.
Беда в том, что это не стандарты РФ, а значит на них особо не сошлешься.
 
Andrey_cm (Андрей)Дата: Среда, 21.07.2010, 14:58 | Сообщение # 5
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
IDEF3 больше подходит для описания жизни ПДн в ИСПДн. Общее описание процессов, в которых участвуют ПДн наверно лучше описать в IDEF0.
По идее программы для этого не особо нужны, можно и в ворде нарисовать, только вот (если подходить к этому вопросу основательно) для каждого объекта (активити или стрелки) нужно добавлять описание, вот тогда и нужны программы типа bpWin.
На прикладной математике обычно обучают этому по книжке "Маклаков С.В. Создание информационных систем с AllFusion Modeling Suite." Там есть описание этих моделей.
Они на самом деле достаточно простые.
 
anvolkov (Алексей Волков)Дата: Среда, 21.07.2010, 22:28 | Сообщение # 6
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Друзья, не углубляйтесь в такие дебри. Описание техпроцессов - это важный, но все же вспомогательный документ. Главное чтобы вы сами понимали что у вас происходит - РКН этот документ без разницы, разве что показатель "порядка".
 
Dzirt (Колосовский Мирослав)Дата: Четверг, 22.07.2010, 13:42 | Сообщение # 7
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
Ну все начинается с малого, а этот документ может оказаться очень полезным при составлении некоторых важных документов, наличие которых в свою очередь и проверяет РКН.
 
anvolkov (Алексей Волков)Дата: Четверг, 22.07.2010, 21:50 | Сообщение # 8
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Что да, то да smile
 
АлешКа (Алексей)Дата: Вторник, 07.09.2010, 16:09 | Сообщение # 9
Рядовой
Группа: Пользователи
Сообщений: 15
Репутация: 0
Статус: Offline
Хочется задать вопрос и получить компетентный ответ***
После проведения всех перечисленных мероприятий и введения режима обработки ПДн (так сказать) как быть с носителями, нет что на них будит ставится отметка К,И, или ПДн (возможно даже ДСП), но как быть с носителями И которые были изданы до введения режима, неужели все их придется приводить в соответствие с действующим законодательством, это же сколько работы (ведь учет и условия хранения должны быть в соответствии с НКД*)…
 
Kostik (Иванов Константин)Дата: Среда, 08.09.2010, 08:16 | Сообщение # 10
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Если говорим об электронных (в том числе и отчуждаемых) носителях информации, то безусловно необходимо производить учет и контроль не только новых, но и тех, которые уже вращаются в организации.
Если Вы имеете ввиду бумажные носители информации, то тут работает 687-е постановление, в частности п.13, 14, 15:

"13. Обработка персональных данных, осуществляемая без использования
средств автоматизации, должна осуществляться таким образом, чтобы в
отношении каждой категории персональных данных можно было определить
места хранения персональных данных (материальных носителей) и установить
перечень лиц, осуществляющих обработку персональных данных либо имеющих к
ним доступ.
14. Необходимо обеспечивать раздельное хранение персональных данных
(материальных носителей), обработка которых осуществляется в различных
целях.
15. При хранении материальных носителей должны соблюдаться условия,
обеспечивающие сохранность персональных данных и исключающие
несанкционированный к ним доступ. Перечень мер, необходимых для
обеспечения таких условий, порядок их принятия, а также перечень лиц,
ответственных за реализацию указанных мер, устанавливаются оператором."

Если Вы это можете сделать без маркировки старых носителей, то пожалуйста.

 
АлешКа (Алексей)Дата: Среда, 08.09.2010, 09:09 | Сообщение # 11
Рядовой
Группа: Пользователи
Сообщений: 15
Репутация: 0
Статус: Offline
Quote (Kostik)
Если Вы это можете сделать без маркировки старых носителей, то пожалуйста.

Что же мы умнее других (улыбнулся), да это довольно сложно будет сделать))) Макулатуры накопилось много))) Спасибо за исчерпывающий ответ….
 
Kostik (Иванов Константин)Дата: Среда, 08.09.2010, 09:18 | Сообщение # 12
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
И еще хотелось бы добавить - не рекомендую вводить гриф ДСП если у Вас не организована защита конфиденциальной информации (согласно СТР-К и т.д.). Может возникнуть путаница в понятиях.
 
АлешКа (Алексей)Дата: Среда, 08.09.2010, 09:53 | Сообщение # 13
Рядовой
Группа: Пользователи
Сообщений: 15
Репутация: 0
Статус: Offline
Quote (Kostik)
И еще хотелось бы добавить - не рекомендую вводить гриф ДСП если у Вас не организована защита конфиденциальной информации (согласно СТР-К и т.д.). Может возникнуть путаница в понятиях.

Я гос. служащий, у нас есть перечень КИ, так же были разработаны несколько инструкций и.т.п.))) в перспективе Концепция и Политика ИБ…) хотя должно быть наоборот
Работаю совсем недавно)) отсюда и вопросы))) От законодательства РФ голова может лопнуть (все знать невозможно..) но надо к этому стремится (улыбнулся).. Так что я думаю гриф ДСП к нам в самый раз (Только вся соль что у грифа ДСП нет градации и за каждый к примеру утерянный носитель ПДн с номерами внутренней связи и ФИО+должность сотрудников = должно проводится расследование) Просто абсурд! все просто не начнет работать и будит только на бумаге


Сообщение отредактировал АлешКа - Среда, 08.09.2010, 10:00
 
Kostik (Иванов Константин)Дата: Среда, 08.09.2010, 11:13 | Сообщение # 14
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Quote (АлешКа)
за каждый к примеру утерянный носитель ПДн с номерами внутренней связи и ФИО+должность сотрудников = должно проводится расследование

Вот как раз против таких ситуаций приходится создавать документы, объявляющие ФИО сотрудников, их рабочие телефоны, электронные адреса "общедоступной информацией в рамках организации", тогда для многих документов (реально не содержащих какую-либо значимую информацию) снимется необходимость защиты.

 
АлешКа (Алексей)Дата: Среда, 08.09.2010, 13:22 | Сообщение # 15
Рядовой
Группа: Пользователи
Сообщений: 15
Репутация: 0
Статус: Offline
Хочется предложить тему на форуме или же обсуждение в данной теме «Программные, программно – аппаратные, инженерные и.т.п. средства для защиты ПДн в соответствии с базовой моделью» (только в модели перечислены функции этих средств, а не сами средства). Вообщем кто что поставил или собирается…
Считаю что вопрос имеет серьезную актуальность
cool

Добавлено (08.09.2010, 13:22)
---------------------------------------------

Quote (Kostik)
"общедоступной информацией в рамках организации"

Гос организации не могут такого сделать в соответствии с «Порядком проведения классификации ИСПДн» пункт 7, 2- абзац дословно: ХНПД = 2 ……., работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
Если бы не эти слова у нас был бы К3 и проблем было бы поменьше….
 
Форум » Персональные данные » Этапы проведения работ » Описание технологических процессов обработки ПДн (Составление диаграмм процессов, в которых используются ПДн)
Страница 1 из 212»
Поиск:

Copyright Ivanov Konstantin © 2017Используются технологии uCoz