Конференция по вопросам информационной безопасности Четверг, 21.11.2024, 18:19
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
  • Страница 1 из 10
  • 1
  • 2
  • 3
  • 9
  • 10
  • »
Модератор форума: Kostik, anvolkov  
Нужна помощь
asd (Аедрей)Дата: Понедельник, 05.04.2010, 16:15 | Сообщение # 1
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
Добрый день. Подскажите пожалуста как быть в данном случае:-
В администрации есть ИСПД такие как 1С Бухгалтерия, 1С Документооборот, Реестр муниципльных служащих, и д.р. с ними все ясно есть ПД и мы их классифицируем, но есть отделы такие как Архитектура, Комитет по имуществу, Юристы у которых нет ИС проще говоря программы в которой они работают, но на ПК есть ПД в тех или иных рабочих документах, и ФИО, паспорт, адрес, .. те ПД с которыми работают служащие администрации, проще говоря ПК это печатная машинка,..
....что делать с такими ПК, тоже классифицировать?.....
 
Kostik (Иванов Константин)Дата: Понедельник, 05.04.2010, 16:24 | Сообщение # 2
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Если отдел Архитектура и т.п. получает сведения из 1С Бухгалтерия, т.е. существуют информационные потоки, то классификация данных отделов необходима вместе с ИСПДн 1С Бухгалтерии. Если информационных потоков вообще нет (руками ввели персональные сведения и распечатали и все) тогда классификация уже необходима как автономного рабочего места. В любом случае, если производится автоматизированная обработка ПДн (а это сбор, хранение, уточнение и т.п.) то необходимо проводить мероприятия по их защите. Коллеги меня поправят, если я не прав.
 
anvolkov (Алексей Волков)Дата: Понедельник, 05.04.2010, 16:50 | Сообщение # 3
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Надо понимать, что ИСПДн от ИСПДн разделяется либо физически, либо межсетевым экранированием.

Вам необходимо свести обработку ПДн к минимуму - то есть определить, реально ли необходим доступ и обработка ПДн такому количеству сотрудников? Возможно, понадобится перестроить процессы в Вашей организации, связанные с обработкой ПДн. Если же этого сделать не удастся, то Вы получите много-много однопользовательских ИСПДн, для каждой из которых необходимо составлять модель угроз и акт классификации.

Если Ваши рабочие места объединены в локальную сеть, то для того, чтобы этого избежать, Вам рекомендуется организовать распределенную обработку ИСПДн - выделить централизованный файл-сервер, например. Можно попробовать перевести ряд ПДн в категорию общедоступных на основании согласия субъектов.

Если же ПДн обрабатываются на всех без исключения рабочих местах Вашей организации и у Вас имеется единая ЛВС - имеет смысл определить все рабочие места как одну большую распределенную ИСПДн с разграничением доступа к информации, при этом в модели угроз и описании ИСПДн указать все ее элементы, при этом ИСПДн будет более высокого класса, но ее будет проще защитить - не надо тратиться на кучу межсетевых экранов.

В свете последних веяний, главное, чтобы Ваша ИСПДн не попала в 1 класс - все остальное, в принципе, решаемо.

 
asd (Аедрей)Дата: Вторник, 06.04.2010, 10:10 | Сообщение # 4
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
А если ПД используют только для оформления договоров, (Комитет по имуществу) человек пришел, ввели его ПД распечатали договор и после распечатки и выдачи тут же удалили... хранить его не нужно..... в этом случае мы тоже получаем ИСПДн???

я понимаю, что под обработкой понимают сбор, хранеие, ..... но как то не ясно, например сейчас на ПК нет ПД

 
Andrey_cm (Андрей)Дата: Вторник, 06.04.2010, 11:24 | Сообщение # 5
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
В понятии "хранение" минимальный срок не указан. Вы печатаете документ и он сохраняется в памяти компьютера. То, что Вы сразу удаляете, означает лишь то, что Вы выполняете требования Главы 2, статьи 5, пункта 2 ФЗ 152.
Если вы печатаете на принтере, то уже попадаете под автоматизированную обработку ПДн.
 
Kostik (Иванов Константин)Дата: Вторник, 06.04.2010, 11:42 | Сообщение # 6
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Раз данные сразу уничтожаются (и вы сможете это доказать), тогда в вашей "ИСПДн" обрабатываются сведения об одном субъекте персональных данных, соответственно необходимо смотреть на характер обрабатываемых данных. Если нет сведений специальной категории и очень постараться, то можно вывести ИСПДн на класс К4 и успокоиться.
 
anvolkov (Алексей Волков)Дата: Вторник, 06.04.2010, 12:28 | Сообщение # 7
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Удаление данных - спорный вопрос, потому как стирание файла не является гарантированным методом удаления. Удаление - это очистка памяти и обнуление носителя специальными средствами. Сами понимаете, что если файл удален стандартными средствами, то он может быть восстановлен специальными методами.
 
asd (Аедрей)Дата: Вторник, 06.04.2010, 12:30 | Сообщение # 8
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
да, нужно очень постараться, что бы эту ИСПДн в которой паспортные данные, по 152 ФЗ отнести к К4, обезличить их не получиться, а перевести в общедоступные.... я уж молчу про это...
 
Kostik (Иванов Константин)Дата: Вторник, 06.04.2010, 12:44 | Сообщение # 9
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Еще не забывайте то, что по приказу N 55/86/20 категорирование ИСПДн по табличке проводится только для типовых систем. Иначе используйте модель угроз и в ней докажите, что Ваша ИСПДн относится к "информационной системе, для которой нарушение заданной характеристики безопасности персональных данных, обрабатываемых в ней, не приводит к негативным последствиям для субъектов персональных данных."
 
anvolkov (Алексей Волков)Дата: Вторник, 06.04.2010, 13:43 | Сообщение # 10
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Quote (asd)
да, нужно очень постараться, что бы эту ИСПДн в которой паспортные данные, по 152 ФЗ отнести к К4, обезличить их не получиться, а перевести в общедоступные.... я уж молчу про это...

Этот недостаток я и имел в виду, когда говорил о низкой степени автоматизации процессов обработки информации. По сути, у Вас получается некая недоделанная ИСПДн - с точки зрения автоматизации - никаких удобств, ведь гораздо проще было бы иметь централизованную базу клиентов, храняющуюся на сервере, прикладное ПО для печати договоров и построить систему по клиент-серверной архитектуре. Простая и понятная ИСПДн 2 класса. Или совсем отказаться от вбивания паспортных данных на ПК - к чему это? Распечатайте типовые формы договоров и вносите паспортные данные руками. Вот и усе.

Выхода три: отходите от автоматизированной обработки, либо делайте нормальную автоматизацию, либо пишите в модели, что у вас все рабочие места - это ИСПДн, и категорируйте ее со всеми вытекающими.

 
asd (Аедрей)Дата: Вторник, 06.04.2010, 16:20 | Сообщение # 11
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
Quote (Kostik)
Еще не забывайте то, что по приказу N 55/86/20 категорирование ИСПДн по табличке проводится только для типовых систем

по этому приказу все системы 1С Бухгалтерия и ЗиК являются специальными?

ведь в них требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

И еще один глупый вопрос: Скажите вот во многих огрнизациях используют программа 1С документооборот или какую то другую программу для регистрации входщей и исходящей почты, вроде ПД там не много ФИО адрес телефон должность и можно было бы присвоить ей класс К4 но опять же как получить согласие у другой строны, ведь это может быть не наш работник, и находиться он может в другом городе, что чаще всего....и вот такую систему мы в результате должны относить к мклассу К3? состовлять модель угроз и т.д. хотя ПД этой системы при желании можно узнать из телефонного справочника или др общедоступных источников.... просто дело в чем в администрации несколько отделов скажем Архитектура, Комитет по имуществу, управление сельского хоз. и каждому нужна такая программа....

 
Kostik (Иванов Константин)Дата: Вторник, 06.04.2010, 16:49 | Сообщение # 12
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Первое. Если Вы предъявляете требования по сохранению целостности и доступности, то да - это специальные системы (вообще практически любая информационная система сейчас попадает в разряд специальной). dry

По поводу второго вопроса - он затрагивался в этом разделе форума.
Т.е. для присвоения класса К4 необходимо ФИО, телефон, должность объявить общедоступными, для чего необходимо получить согласие субъекта этих ПДн. Т.е. если вам некая организация предоставляет персональные данные своих сотрудников, то она должна получить у них согласие на предоставление сведений третьему лицу, а так же согласие на размещение в общедоступных источниках и тем самым сделать эти данные общедоступными. Ваша же задача обеспечивать адекватную защиту этих данных.

 
asd (Аедрей)Дата: Вторник, 06.04.2010, 17:20 | Сообщение # 13
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
Короче говоря, в принципе практически все организации, учреждения с которыми мы ведем переписку, должны исполнить закон 152-ФЗ и взять согласие у своих сотрудников на обработку их пд в общедоступных ИСПДн, олучается пока они этого не зделают, мы не можем признать нашу ИСПДн К4? к тому же писма могут отправляться не только на рабочий адрес, но и на домашний, тогда вообще не реально плучить согласие ... хорошо если это ответ на обращение граждан, но веь случаи могут быть разные, я так понял что иногда легче сделать систему К3 чем заморачиваться с К4
 
anvolkov (Алексей Волков)Дата: Вторник, 06.04.2010, 17:29 | Сообщение # 14
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Если это ВАШ общедоступный источник, Вы им управляете и Вы вносите в него данные - то Вы должны брать согласие на размещение кого бы то ни было в этом источнике. Остальные им пользуются и все. Однако Вы должны довести до субъекта о том, каков масштаб общедоступного источника. Более того, не забывайте, что ПДн могут быть изъяты из общедоступных источников в любой момент, кроме того - "принудительное" получение согласия на размещение ПДн в ОДПДн - это нарушение, и Вы можете получить ряд неприятных моментов.
 
Kostik (Иванов Константин)Дата: Вторник, 06.04.2010, 17:41 | Сообщение # 15
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Еще по поводу писем - посмотрите, не попадаете ли Вы под действие Статьи 6. п.2 "Условия обработки персональных данных" 152-ФЗ, где говорится что согласие субъекта получать не обязательно при:
"5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;"
 
  • Страница 1 из 10
  • 1
  • 2
  • 3
  • 9
  • 10
  • »
Поиск:

Copyright Ivanov Konstantin © 2024Используются технологии uCoz