|
Нужна помощь
|
|
| anvolkov (Алексей Волков) | Дата: Понедельник, 09.08.2010, 16:06 | Сообщение # 91 |
 Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Если скажете, что это ИСПДн, то да. Если скажете, что это - неавтоматизированная обработка - то нет. Решать Вам - регуляторы поправят 
|
| |
| |
| Andrey_cm (Андрей) | Дата: Вторник, 10.08.2010, 08:52 | Сообщение # 92 |
 Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
| Quote (Artem) а на такую ситему нужна Частная модель угроз? и классифицировать такую систему нужно? вот в управлении строительства и ЖКХ куча ПДн береться с человека и категория скорее К2 плюс более 1000 субъектов, получаетсся ИСПДн К2 но неавтоматизированная.... приэтом она только печатают договора и отчеты... Каким образом вы классифицируете, если у вас неавтоматизированная?
Действительно нужных законодательных актов не так уж и много. Понятно, что пакет шаблонов документов это очень удобно, но всё-равно нужно подумать, чтобы его заполнить. Большинство из этих документов вытекают из 152 ФЗ, 781 ПП, тройственного приказа, 687 ПП (если неавтоматизированная). Модель угроз упоминается в 781 ПП, и если у вас неавтоматизированная обработка ПДн, то вы 781 ПП вообще не трогайте. Насчет классификации:
«Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» :
"В соответствии с пунктом 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, № 48, часть II, ст. 6001), приказываем:"
Т.е. Классифицировать вы должны, когда ведете автоматизированную обработку.
Сообщение отредактировал Andrey_cm - Вторник, 10.08.2010, 09:06 |
| |
| |
| Artem (Артем) | Дата: Среда, 11.08.2010, 16:00 | Сообщение # 93 |
|
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
| В уведомлении РСКН указвается класс системы ... а если несколько ИСПДн? ставим навысший .... или указываем все сисетмы?
и еще бухгалтерия отправляет отчетность в ПФР с ПДн работников для работы программы устанавливается Крипто про его нужно укзывать в Уведомлении?
Сообщение отредактировал Artem - Среда, 11.08.2010, 16:02 |
| |
| |
| Kostik (Иванов Константин) | Дата: Среда, 11.08.2010, 18:32 | Сообщение # 94 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| В уведомлении не указывается класс системы. Там указывается перечень ПДн, которые обрабатывает организация (категории персональных данных) для всех ИСПДн. Насколько мне известно, конкретные решения в уведомлении так же не указываются (КриптоПРО, как внедренное средство защиты информации, укажете в тех. паспорте системы), в уведомлении же указывается "Описание мер, которые оператор обязуется осуществлять", т.е. "передача информации осуществляется по защищенным каналам связи".
|
| |
| |
| Andrey_cm (Андрей) | Дата: Среда, 11.08.2010, 20:58 | Сообщение # 95 |
|
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
| Quote (Kostik) В уведомлении не указывается класс системы. Там указывается перечень ПДн, которые обрабатывает организация (категории персональных данных) для всех ИСПДн. Вологодский Роскомнадзор немножко особенный  Я не раз уже писал, что в их форме есть класс ИСПДн.
http://35.rsoc.ru/directions/p1419/ Смотрите образцы
http://35.rsoc.ru/docs/35/skola.doc
http://35.rsoc.ru/docs/35/detskij_dom.doc "Информационной системе присвоен 3 класс."
|
| |
| |
| Kostik (Иванов Константин) | Дата: Среда, 11.08.2010, 21:53 | Сообщение # 96 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| Честно говоря я тогда в замешательстве... практически в любой организации существует не одна ИСПДн, причем зачастую их классы различаются... может писать "система не классифицирована"?
|
| |
| |
| anvolkov (Алексей Волков) | Дата: Четверг, 12.08.2010, 11:01 | Сообщение # 97 |
|
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Блин, точно - класс! И на Питерском, и на Московском РКН такая же бадяга! Вот это да! Интересно, каким приказом они утвердили новую форму? Ну, товарищи.... пипец.
|
| |
| |
| Dzirt (Колосовский Мирослав) | Дата: Четверг, 12.08.2010, 11:46 | Сообщение # 98 |
|
Подполковник
Группа: Пользователи
Сообщений: 21
Репутация: 8
Статус: Offline
| Я так понимаю приказом Россвязькомнадзора №42 от 18.02.2009 «О внесении изменений в приказ Россвязькомнадзора от 17 июля 2008 г. №8 «Об утверждении образца формы уведомления об обработке персональных данных»
А именно:
в пункте 10 слова «организационные и технические меры, в том числе использование шифровальных (криптографических) средств, используемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке» заменить на слова:
«а) класс информационной системы персональных данных оператора (пункт 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. ЗЧ55/86/20 <Об утверждении Порядка проведения классификации информационных систем персональных данных»;
б) организационные и технические меры, применяемые для защитыперсональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:
а) наименование, регистрационные номера и производителей используемых криптографических средств;
б) уровень криптографической защиты персональных данных;
в) уровень специальной защиты от утечки по каналам побочньих излучений и наводок;
г) уровень защиты от несанкционированного доступа.
|
| |
| |
| anvolkov (Алексей Волков) | Дата: Четверг, 12.08.2010, 11:50 | Сообщение # 99 |
|
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Dzirt, +1 Точно. Совсем отупел я за жаркий период Константин, я полагаю, следует задать РКН вопрос по поводу того, что писать, если есть несколько ИСПДн?
|
| |
| |
| Andrey_cm (Андрей) | Дата: Четверг, 12.08.2010, 15:55 | Сообщение # 100 |
|
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
| Может быть Костя и прав, в электронной форме на портале Роскомнадзора есть такой вариант "Система не классифицирована". И если внутри предприятия еще не введено акта классификации, то лучше конечно так указать.
Однако выбор класса системы "к1,к2,к3,к4" у них организован на базе checkbox, что позволяет выбрать все виды. (как ставить, если, например, несколько систем к3, не очень понятно).
В бумажной формочке уведомления для муниципальной поликлиники вроде перечисляли через запятую.
|
| |
| |
| Artem (Артем) | Дата: Четверг, 12.08.2010, 16:19 | Сообщение # 101 |
|
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
| а что можете сказать по поводу доверенностей, забираем товар, отдаем доверенность, ни кто ни каких согласий с нас не берет.....
|
| |
| |
| anvolkov (Алексей Волков) | Дата: Четверг, 12.08.2010, 17:16 | Сообщение # 102 |
|
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
| Quote (Andrey_cm) Может быть Костя и прав Ну да, логично, вобщем. Quote (Artem) а что можете сказать по поводу доверенностей Если речь идет о доверенности на получение ТМЦ (форма М2А) то на основании ГК - согласие не требуется. Она потом подшивается к товарной накладной и все. И потом там только ФИО и серия и номер паспорта - некоторые склонны считать это обезличенными данными, т.к. их раскрытие никакого ущерба субъекту не нанесет.
|
| |
| |
| Artem (Артем) | Дата: Пятница, 13.08.2010, 15:56 | Сообщение # 103 |
|
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
| http://depositfiles.com/files/79lsrm1gw
что думаете, распределенная 3 ???? или я ошибаюсь
|
| |
| |
| Kostik (Иванов Константин) | Дата: Суббота, 14.08.2010, 11:51 | Сообщение # 104 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
| Quote (Artem) что думаете, распределенная 3 ???? или я ошибаюсь По рисунку - да, распределенная. 3 или нет - из рисунка не ясно.
|
| |
| |
| Artem (Артем) | Дата: Понедельник, 16.08.2010, 17:18 | Сообщение # 105 |
|
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
| А для К4 модель угроз нужна"
|
| |
| |
