|
Нужна помощь
|
|
| anvolkov (Алексей Волков) | Дата: Среда, 27.10.2010, 18:00 | Сообщение # 136 |
 Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Товарищи, не путайте: ПДн - категория, ИСПДн - класс. Разные вещи.
|
| |
| |
| asd (Аедрей) | Дата: Четверг, 28.10.2010, 09:02 | Сообщение # 137 |
|
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
| Дело вот в чем -
В перечне ПДн Сведения о реквизитах работника ФИО 4 категория ---------------
-дата рождения
-адрес прописки
-ИНН это все
-данные паспорта
-номер страхового свидетельства
---------------
это все 3 категория Но если мы берем ИСПДн в которой есть все эти ПДн, тогда получается мы можем идентифицировать субъекта по ФИО, паспорту и получить доп. информацию адрес, инн, дата рождения - это получаеся уже 2 категория, в акте классификации то нужно уже писать будет 2 категория ПДн ...или я что то путаю?получается как можно определить в Перечне ПДн категорию? если в ИС вместе они получаются не 3 а 2 класс, может в Перечне не нужно указывать категорию. с другой стороны в другой ИСПДн у меня обрабатываются только ИО и паспорт - т.е. получается 3 категория.
Сообщение отредактировал asd - Четверг, 28.10.2010, 09:11 |
| |
| |
| Kostik (Иванов Константин) | Дата: Четверг, 28.10.2010, 09:13 | Сообщение # 138 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| Алексей прав - вы смешиваете понятия из Приказа трех: п. 6
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные. Получаем, что указанный набор относится ко второй категории персональных, далее вычисляем класс ИСПДн по таблице (п.15)
- если в ИСПДн количество субъектов менее 1000 (или в рамках конкретной организации), то получаем ИСПДн класса К3.
- если в ИСПДн количество субъектов от 1000 до 100000, то уже будет К2. Далее уточняем класс на основе модели угроз, т.к. у Вас система все-таки не типовая (вероятнее всего), а специальная.
|
| |
| |
| asd (Аедрей) | Дата: Четверг, 28.10.2010, 09:22 | Сообщение # 139 |
|
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
| проблема не в определении класса, а то что в Перечне ПДн мы указываем одну категорию а в акте классификации должны уже другую,
ну вот как в Перечне у нас категории 4 и 3, а в акте я пишу категория 2 ... какая то не стыковка. та же бухгалтери 1С зик, есть ПДн по которым можно идентифицировать пользователя и получить доп. инф. следовательно в акте я пишу 2 атегория ПДн. но в перечне ПДн у меня ФИО - 4 категория, паспорт -3, и т.д.
Сообщение отредактировал asd - Четверг, 28.10.2010, 09:25 |
| |
| |
| Kostik (Иванов Константин) | Дата: Четверг, 28.10.2010, 09:26 | Сообщение # 140 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| Хм, а зачем Вы вообще в Перечне ПДн указываете категорию? И почему в таком случае не указать общую категорию для всего Перечня? Иначе в таком случае можно и первую категорию представить как четвертую, если диагноз, например, рассматривать отдельно от ФИО (тогда получится что это вообще обезличенная информация).
|
| |
| |
| asd (Аедрей) | Дата: Четверг, 28.10.2010, 09:35 | Сообщение # 141 |
|
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
| посмотрел как у Вас сделано в примерных документах.....больше таких документов не видел ни где, и тех паспорте у Вас тоже указывается категория для каждой группы ПДн....спрашиваю у Вас - Зачем???
ну общий тоже не пойдет.. Добавлено (28.10.2010, 09:35)
---------------------------------------------
ну короче нужно убрать категорию из перечня не то на пустом месте путанница какая то
Сообщение отредактировал asd - Четверг, 28.10.2010, 09:38 |
| |
| |
| Kostik (Иванов Константин) | Дата: Четверг, 28.10.2010, 09:43 | Сообщение # 142 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| С тех пор как эти документы делались уже много воды утекло... Действительно уберите лучше просто этот столбец. Чтобы лишней путаницы не разводить.
|
| |
| |
| anvolkov (Алексей Волков) | Дата: Четверг, 28.10.2010, 10:53 | Сообщение # 143 |
|
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Делайте как хотите. Четких форм никто не устанавливал - так что простор для творчества. В примерных документах есть категорияПДн - для того, чтобы человек из РКН не задавал лишних вопросов. На тот момент не все были готовы отвечать.
|
| |
| |
| asd (Аедрей) | Дата: Воскресенье, 14.11.2010, 19:49 | Сообщение # 144 |
|
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
| Подскажите Народ, как по Вашему правильно ли я в модели угроз написал: на 1 ПК обрабатываются ПДн, но он включен в локальную сеть, для обновления антивируса и консультанта +, я пишу: ИСПДн является автономным АРМ имеющим подключение к локальной сети,...... и тогда угрозы по базовой модели угроз такие же как для АРМ без подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, и локальной ИСПДн без подключения к сетям связи общего пользования и (или) сетям международного информационного обмена.
Ведь локальная система как минимум 2 ПК Сервер и клиент. И еще, сеть связи общего пользования - это ??? - типа городской сети
и сети международного информационного обмена - ??? - Итернет И еще план контролируемой зоны - если такой ПК как я описал выше - это уже всясеть или только кабинет в котором стоит этот ПК?
Сообщение отредактировал asd - Понедельник, 15.11.2010, 08:39 |
| |
| |
| Kostik (Иванов Константин) | Дата: Вторник, 16.11.2010, 10:05 | Сообщение # 145 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| Я думаю, Вы не совсем правы. Смотрим п.9 Приказа трех: "...По структуре информационные системы подразделяются:
на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места)..." Но у Вас ИСПДн подключена к другой информационной системе, а значит она не автономна. Сетью связи общего пользования может быть не только что-то наподобие городской сети, но и информационная система Вашей организации, не входящая в ИСПДн, т.е. получается при подключении Вашей ИСПДн к незащищенному сегменту сети Вы так же должны применять меры межсетевого экранирования и другие меры, как при подключении к сетям общего пользования.
Сеть международного информационного обмена - информационная система для которой справедлива трансграничная передача данных, т.е. Интернет сюда относится, но он может быть не единственным представителем такой сети. План контролируемой зоны - это вся Ваша физически контролируемая зона, но подробному описанию на этом плане подлежит только кабинет в котором расположен АРМ. Как-то так 
|
| |
| |
| asd (Аедрей) | Дата: Вторник, 16.11.2010, 15:44 | Сообщение # 146 |
|
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
| Quote (Kostik) "...По структуре информационные системы подразделяются: на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места)..."
И что получается автономная с подклюение к ССОП что ли, но ведь это ерунда какая то....
Ведь есть автономные с подключением к ССОП и без подключеня...
Отключить от сети я не могу АРМ.
|
| |
| |
| Kostik (Иванов Константин) | Дата: Пятница, 26.11.2010, 09:21 | Сообщение # 147 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| Quote (asd) Ведь есть автономные с подключением к ССОП и без подключеня Я не совсем понял откуда Вы вообще берете понятие "автономный АРМ с подключением к ССОП"?
Если в Базовой модели, то там нет такого: "автоматизированные рабочие места, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
автоматизированные рабочие места, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
локальные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
локальные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
распределенные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
распределенные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена." У Вас явный второй вариант: "автоматизированное рабочее место, имеющее подключение к сетям связи общего пользования и (или) сетям международного информационного обмена".
|
| |
| |
| asd (Аедрей) | Дата: Пятница, 24.12.2010, 17:00 | Сообщение # 148 |
|
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
| Людиииииии...
Случайно ни у кого нет инструкции порядке отнесения информационных ресурсов к защищаемым и организации доступа к ним. Чет ни че не могу найти , что за порядок, хотя бы примерный...
|
| |
| |
