Конференция по вопросам информационной безопасности Суббота, 18.11.2017, 11:25
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
Страница 2 из 3«123»
Модератор форума: Kostik, anvolkov 
Форум » Персональные данные » Этапы проведения работ » Организационно-распорядительный этап (Этап создания документации в организации)
Организационно-распорядительный этап
OLS (Андрей)Дата: Среда, 07.04.2010, 10:00 | Сообщение # 16
Рядовой
Группа: Пользователи
Сообщений: 3
Репутация: 4
Статус: Offline
Quote (Andrey_044)
Спасибо за ответы. Но хотелось бы еще посмотреть типовой ответ на запрос! Если есть у кого то возможность, киньте ссылку, пожалуйста!

Кое что есть здесь :
http://infowatch.livejournal.com/613.html
 
anvolkov (Алексей Волков)Дата: Среда, 07.04.2010, 10:45 | Сообщение # 17
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Типовых ответов не бывает - в каждой организации по-разному обработка ПДн построена.
 
АлешКа (Алексей)Дата: Вторник, 07.09.2010, 15:52 | Сообщение # 18
Рядовой
Группа: Пользователи
Сообщений: 15
Репутация: 0
Статус: Offline
В документации ни у кого не упоминается инструкция о порядке действия в ЧС (везде может называться по разному, к примеру о действиях сотрудников *** при возникновении внештатных ситуаций)… Считаю очень важным документом + Журнал регистрации внештатных ситуаций…
 
Kostik (Иванов Константин)Дата: Среда, 08.09.2010, 08:28 | Сообщение # 19
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Согласен, данные документы будут полезны, причем журнал регистрации позволит собрать статистику, которая поможет в дальнейшем более адекватно оценивать угрозы ИБ.
 
vahoma (Вячеслав)Дата: Пятница, 29.10.2010, 13:18 | Сообщение # 20
Рядовой
Группа: Пользователи
Сообщений: 3
Репутация: 0
Статус: Offline
Если не трудно, проясните ситуацию, что в настоящий момент вместо декларации соответствия. Чем же заканчивается этап подготовки всевозможных бумаг?

Добавлено (29.10.2010, 13:18)
---------------------------------------------
Т.е. каким документом! %-0

 
Kostik (Иванов Константин)Дата: Пятница, 29.10.2010, 17:32 | Сообщение # 21
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Вы, конечно, можете оценить соответствие системы на выполнение поставленных для СЗПДн требований, но в конечном счете у Вас должны быть распланированы мероприятия по контролю адекватности предпринятых мер, согласно которым Вы будете проводить модернизацию системы. Собственно план по поддержанию необходимого уровня безопасности и будет одним из заключительных документов.
 
vahoma (Вячеслав)Дата: Среда, 03.11.2010, 16:58 | Сообщение # 22
Рядовой
Группа: Пользователи
Сообщений: 3
Репутация: 0
Статус: Offline
Разве план по поддержанию необходимого уровня безопасности составляется на каждую ИСПДн???
 
anvolkov (Алексей Волков)Дата: Среда, 03.11.2010, 21:10 | Сообщение # 23
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Этап подготовки всевозможных бумаг заканчивается ничем, потому как вы должны будете еще реализовать технические меры защиты ИСПДн в соответствии с ПП 781 и 58 приказом ФСТЭК, и меры защиты ПДн, обрабатываемых без использования средств автоматизации, в соответствие с ПП 687. Институт декларирования соответствия умер вместе с кончиной "Основных мероприятий", равно как и необходимость использования сертифицированных средств ЗИ. Поэтому, 58 приказ - и не забивайте себе голову.
 
vahoma (Вячеслав)Дата: Понедельник, 08.11.2010, 08:51 | Сообщение # 24
Рядовой
Группа: Пользователи
Сообщений: 3
Репутация: 0
Статус: Offline
Спасибо! ".... померла так померла..." biggrin
 
nikiton (Никита)Дата: Среда, 01.12.2010, 12:18 | Сообщение # 25
Рядовой
Группа: Пользователи
Сообщений: 2
Репутация: 0
Статус: Offline
Quote (anvolkov)
например, Active Directory имеет смысл сделать общедоступным источником ПДн, чтобы перевести его в 4 класс и не защищать.

Добрый день!

Читая рекомендации Банка России по выполнению требований при обработке ПДн, наткнулся на такой абзац, касающийся классификации ИСПДн:
"Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн"

Хотелось бы услышать Ваше мнение по этому поводу:

1. Это Банк России сам придумал и наказал всем банкам так работать или это где-то прописано законодательно?
2. Как понять какая система имеет цель обрабатывать ПДн, а какая нет? Если взять 1С, то интуитивно понятно, что цель этой системы обрабатывать персональные данные, а если взять тот же AD с прикрученным к нему MS Exchange или любую другую систему, в которой есть данные о пользователе (ФИО), его должность и адрес рабочей электронной почты.
В принципе можно сказать, что цель этой системы - разграничение прав доступа в ЛВС и организация электронной почты, но не обработка ПДн и их можно не классифицировать? Как Вы считаете?
3. Правильно ли я понимаю, что те ИС, которые не классифицируются как ИСПДн можно и не защищать, несмотря на то, что в них обрабатываются персональные данные?

 
АлешКа (Алексей)Дата: Среда, 01.12.2010, 13:06 | Сообщение # 26
Рядовой
Группа: Пользователи
Сообщений: 15
Репутация: 0
Статус: Offline
Никита в любом случае Вы используете ПДн))) Сделайте перечень общедоступных ПДн и не обращайте внимание более на такие вещи))
 
Kostik (Иванов Константин)Дата: Четверг, 02.12.2010, 23:40 | Сообщение # 27
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Здравствуйте, Никита.

Лично я не встречал ни в одном нормативном документе подобной формулировки. И если Вы не относитесь к банковской сфере, то стандартами наших банков пользоваться затруднительно - они всегда стояли особняком.

По поводу последнего вопроса - встретил такую интересную вещь, например, при неавтоматизированной обработке Роскомнадзор Вологодской области не требует классификацию ИСПДн, но при этом ПДн защищать все-равно надо (согласно соответствующим нормативным актам).

 
nikiton (Никита)Дата: Пятница, 03.12.2010, 05:44 | Сообщение # 28
Рядовой
Группа: Пользователи
Сообщений: 2
Репутация: 0
Статус: Offline
Quote (Kostik)
Здравствуйте, Никита.
Лично я не встречал ни в одном нормативном документе подобной формулировки. И если Вы не относитесь к банковской сфере, то стандартами наших банков пользоваться затруднительно - они всегда стояли особняком.

По поводу последнего вопроса - встретил такую интересную вещь, например, при неавтоматизированной обработке Роскомнадзор Вологодской области не требует классификацию ИСПДн, но при этом ПДн защищать все-равно надо (согласно соответствующим нормативным актам).

Здравствуйте, Константин!

Большое спасибо за ответ!
Согласен, что руководствоваться стандартами банков затруднительно, просто хотелось понять откуда ноги растут.
Видимо растут из самих банков, чтож, значит будем классифицировать всё.

 
АлешКа (Алексей)Дата: Вторник, 14.12.2010, 09:24 | Сообщение # 29
Рядовой
Группа: Пользователи
Сообщений: 15
Репутация: 0
Статус: Offline
Помогите советом
- необходимость простановки отметки ДСП (для служебного пользования) на протоколах об административно правовом нарушении;(нигде об этом не упоминается КоАП молчит и.т.п. за исключением ФЗ 152 и перечня КИ)
- правомерность согласия субъекта (контрагента) на общедоступность его персональных данных.(насколько правомерно брать согласие субъекта (об общедоступности его ПДн)если его ПДн обрабатывается в К3 )
спасибо


Сообщение отредактировал АлешКа - Вторник, 14.12.2010, 09:28
 
anvolkov (Алексей Волков)Дата: Пятница, 17.12.2010, 13:42 | Сообщение # 30
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Quote
"Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн"

Смотрите здесь: http://www.tsarev.biz/news....br-ibbs

Quote (Kostik)
Лично я не встречал ни в одном нормативном документе подобной формулировки. И если Вы не относитесь к банковской сфере, то стандартами наших банков пользоваться затруднительно - они всегда стояли особняком.

Если не относишься к банковской сфере - то и применять СТО БР права не имеешь, так как это отраслевой стандарт.

Quote (Kostik)
По поводу последнего вопроса - встретил такую интересную вещь, например, при неавтоматизированной обработке Роскомнадзор Вологодской области не требует классификацию ИСПДн, но при этом ПДн защищать все-равно надо (согласно соответствующим нормативным актам).

А что собственно в этом странного? Откуда возьмется ИСПДн при НЕавтоматизированной обработке? ИСПДн встречается только в 781-ПП. Константин, учите матчасть! smile

 
Форум » Персональные данные » Этапы проведения работ » Организационно-распорядительный этап (Этап создания документации в организации)
Страница 2 из 3«123»
Поиск:

Copyright Ivanov Konstantin © 2017Используются технологии uCoz