|
Нужна помощь
|
|
| asd (Аедрей) | Дата: Среда, 28.04.2010, 16:09 | Сообщение # 31 |
|
Сержант
Группа: Пользователи
Сообщений: 32
Репутация: 8
Статус: Offline
| А как быть с централизованной бухгалтерией, которая обслуживает несколько юр лиц, чисто организационный вопрос, неужели для каждого юр лица указываем все ПДн из этой ИС, и оформляем документы на нее для каждого Юр Лица,?
|
| |
| |
| anvolkov (Алексей Волков) | Дата: Среда, 28.04.2010, 16:29 | Сообщение # 32 |
 Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| В перечне обрабатываемых ПДн централизованной бухгалтерии нужно сделать раздел "ПДн сотрудников сторонних организаций", далее - указать, какие виды ПДн обрабатываются (они все по идее типизированные). Сторонние организации должны:
1. Взять согласие субъектов на передачу ПДн третьим лицам - централизованной бухгалтерии, в целях, в которых они там обрабатываются.
2. Заключить с централизованной бухгалтерией соглашение о конфиденциальности переданных ей ПДн.
|
| |
| |
| andr (Андрей) | Дата: Вторник, 25.05.2010, 10:59 | Сообщение # 33 |
|
Рядовой
Группа: Пользователи
Сообщений: 18
Репутация: 4
Статус: Offline
| добрый день.
У меня в ЖКХ а именно в управлении строительства стоят три ПК все три испоьзуються как печатная машинка, для печати справок или договоров, при этом используются только программы офиса, как таковой БД нет.
Что посоветуете...
Я так понимаю ИСПДн к3, распределенная, без разграничения прав обработки или по N 687
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
не признавать обработку ПДн автоматизированной? и еще является ли информация о судимости спец категорией?
Сообщение отредактировал andr - Вторник, 25.05.2010, 11:32 |
| |
| |
| Kostik (Иванов Константин) | Дата: Вторник, 25.05.2010, 16:06 | Сообщение # 34 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| В данной теме ранее обсуждался подобный случай. Если документы вообще не хранятся, т.е. сотрудник печатает документ и тот сразу удаляется (гарантированным средством удаления) то можно еще сказать, что обработка ведется без средств автоматизации. По поводу распределенности - ПК находятся в одном защищаемом контуре (здании под контролем или этаже...)? Если в Windows (или какая у Вас ОС) есть учетные записи хотя бы администратора и пользователя, то уже ведется разграничение прав доступа. К3 или нет - это зависит от характера и объема обрабатываемых данных. Количество машин тут роли не играет. Так же (вероятнее всего) у Вас система специальная (требуется обеспечение не только конфиденциальности) тогда еще и модель угроз влияет. По поводу судимости - я точно не знаю. Может кто-нибудь из коллег подскажет. Подумайте - может имеет смысл ввести терминальную обработку ПДн. Почитайте тут или тут - возможно найдете что-нибудь интересное. 
|
| |
| |
| andr (Андрей) | Дата: Вторник, 25.05.2010, 17:17 | Сообщение # 35 |
|
Рядовой
Группа: Пользователи
Сообщений: 18
Репутация: 4
Статус: Offline
| ну так как договора скорее всего сохраняются будем делать к3, локальную, а как быть в тех случаях когда выходит новый закон или постановление и сверху спускают буагу :к такому то числу с использованием интернета запонить форму (наприер по аварийному жилью), кидают ссылку, устанавливаем клиента, сертификат и пошли ПДн в сеть... как это в документах отразить? ведь не знаешь когда появиться что то "новенькое" и какие Пдн запросять
|
| |
| |
| Kostik (Иванов Константин) | Дата: Вторник, 25.05.2010, 17:43 | Сообщение # 36 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| Т.е. Вы вводите новые формы в существующий документооборот? Или просто отсылаете ПДн через "клиента" в стороннюю организацию? Если второе - то необходимо взять согласие субъекта на передачу его ПДн третьему лицу (где написано кому, что и с какой целью). Ну и тогда при исследовании исходной защищенности отметите, что часть "БД" предоставляется сторонней организации.
Если хотите перестраховаться, то можно изначально брать согласие у субъекта ПДн на передачу сторонней организации всех сведений, которые он предоставляет Вам, тогда что бы у Вас не запросили - передача будет законной.
|
| |
| |
| andr (Андрей) | Дата: Среда, 26.05.2010, 08:50 | Сообщение # 37 |
|
Рядовой
Группа: Пользователи
Сообщений: 18
Репутация: 4
Статус: Offline
| Еще подскажите у Вас выожены примеры заполнения документов, в перечне ИСПДн две ИС, а в уведомлении Информационной системе присвоен класс К3. а на самом деле перечисляем все ПДн какие есть во всех ИСПДн, и указываем класс для каждой?
|
| |
| |
| anvolkov (Алексей Волков) | Дата: Среда, 26.05.2010, 10:56 | Сообщение # 38 |
|
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| В уведомлении должны перечисляться все категории ПДн, обрабатываемые в организации, не зависимо от того, сколько и каких у Вас ИСПДн имеется. Класс ИСПДн в уведомлении не указывается, он указываются в акте классификации ИСПДн в зависимости от того, какие ПДн там обрабатываются. Уведомление и акт классификации - это разные документы: уведомление - одно на юрлицо, актов классификации должно быть столько, сколько ИСПДн в организации.
|
| |
| |
| sot (Константин) | Дата: Воскресенье, 30.05.2010, 21:57 | Сообщение # 39 |
|
Рядовой
Группа: Пользователи
Сообщений: 4
Репутация: 0
Статус: Offline
| Добрый вечер. Хочется услышать Ваше мнение по поводу защиты тонких клиентов. Сотрудники по протоколу RDP подключаются к серверу терминалов, с которого и ведется вся работа. По сути на АРМах сотрудников не ведется обработка ПД, они получают лишь изображения с результатами. Но по определению АРМы входят в ИСПДн. Как Вы думаете, требуется ли устанавливать на АРМы различные СЗИ от НСД или можно обойтись только орг. мерами?
|
| |
| |
| anvolkov (Алексей Волков) | Дата: Понедельник, 31.05.2010, 10:26 | Сообщение # 40 |
|
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Если реально хотите обеспечить защиту - нужно. И НСД, и шифрование канала, и антивирус. Сами подумайте. Вот к примеру я в РДПхе ставлю галку "запомнить мои учетные данные", и пароль при подключении больше не ввожу - не смотря на то, какая политика на сервере. Если клиента не защитить от НСД, то кто угодно может войти, нажать на иконку РДП и установить подключение. Не будет шифрования канала - трафик перехватывается в точке коммутации и легко воспроизводится. Залез на тонкого клиента какой-нибудь троян-кейлоггер - сами дальше придумайте. Мнение ФСТЭК мне не известно, но я полагаю что оно аналогичное. Тонкие клиенты предназначены для снижения класса ИСПДн - не более того.
|
| |
| |
| anvolkov (Алексей Волков) | Дата: Понедельник, 31.05.2010, 21:30 | Сообщение # 41 |
|
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Quote и еще является ли информация о судимости спец категорией? Сведения о наличии судимости собирать и обрабатывать можно только на уровне ДА/НЕТ и то с согласия субъекта, более того, если он скажет не скажу - имеет полное право. Спецкатегорией это не является, НО обрабатываться должно исключительно в случае, определенном законодательством РФ и уполномоченными организациями. ЖКХ, насколько мне известно, к таковым не относятся.
|
| |
| |
| andr (Андрей) | Дата: Понедельник, 07.06.2010, 14:59 | Сообщение # 42 |
|
Рядовой
Группа: Пользователи
Сообщений: 18
Репутация: 4
Статус: Offline
| ... Добавлено (07.06.2010, 14:59)
---------------------------------------------
Quote (anvolkov) В перечне обрабатываемых ПДн централизованной бухгалтерии нужно сделать раздел "ПДн сотрудников сторонних организаций для каждой ИСПДн еще отдельный перечень нужно утвердить???
Сообщение отредактировал andr - Понедельник, 07.06.2010, 14:55 |
| |
| |
| anvolkov (Алексей Волков) | Дата: Понедельник, 07.06.2010, 17:27 | Сообщение # 43 |
|
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Нет, не нужно. Перечень - один на организацию. В Акте классификации нужно написать категории ПДн.
|
| |
| |
| andr (Андрей) | Дата: Среда, 07.07.2010, 11:00 | Сообщение # 44 |
|
Рядовой
Группа: Пользователи
Сообщений: 18
Репутация: 4
Статус: Offline
| Скажите пожалуйста Тех процессы описываются все, с ипользованием средств автоматиации и без них? И еще как быть с отчетами для вышестоящих учреждений, Например в Управлении строительства и ЖКХ: Сбербанк на бумажном носителе приносит реестр получателей единовременной денежной помощи (с ФИО, счетом, суммой ...) а упр строитеьтва печатает отчеты еженидельные, ежемесячные ... и отправляет в Департамент муниципальных образований.
Или когда по программе подержки молодых семей Упр стр собирает пакет докум --отправляет его в Департ--а затем только вручает свидетельства. Тоже касается отдела молодежи: Заправшивают все что угодно... Так и описать этот процес: гражданин
|
Отдел->сбор сведений->Составление отчета->Подпись начальником->Регистрация->отпавка->Конец.
Сообщение отредактировал andr - Среда, 07.07.2010, 15:01 |
| |
| |
| anvolkov (Алексей Волков) | Дата: Среда, 07.07.2010, 15:02 | Сообщение # 45 |
|
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Техпроцессы описываются все - в описании надо отмечать, какие ПДн обрабатываются в БД (автом.), какие - нет. Гражданина нужно писать только в случае, если сведения запрашиваются у него самого. Если нет - то сотрудник отдела - БД - какие сведения извлекаются и в какой форме - куда отправляются и как - кто получатель.
|
| |
| |
