Конференция по вопросам информационной безопасности Вторник, 03.12.2024, 22:09
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Kostik, anvolkov  
ПДн и партнеры 1С
akatrin (Катерина)Дата: Среда, 13.04.2011, 15:48 | Сообщение # 1
Рядовой
Группа: Пользователи
Сообщений: 5
Репутация: 0
Статус: Offline
здравствуйте!

в нашей организации ведется учет в 1С бухгалтерии 8.2 и в 1С - Зарплате
доступ к пдн есть только на 3-х компьютерах и у кадровика - бумажные документы
в организации есть положение об обработке пдн
класс мы определили как 3-ий, сами себе издали декларацию
1С - ПО вроде сертифицированное

достаточно ли этих мер?

и еще вопрос - обновлениями и тех.поддержкой программ у нас занимается фирма-партнер 1С - должны ли мы и от них требовать каких-то сертификатов/лицензий?


никто кроме нас
 
Kostik (Иванов Константин)Дата: Четверг, 14.04.2011, 17:41 | Сообщение # 2
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Здравствуйте, Катерина!

1. Если мне не изменяет память - 1С стратифицировали только ограниченный набор экземпляров бухгалтерии (Защищенный программный комплекс 1С:Предприятие 8.2z). Относится ли сюда ваша сборка? Если да, то требуйте сертификат ФСТЭК (его при проверке точно попросят).

2. Защита ПДн подразумевает целый комплекс мероприятий:
а. Организационные - в ПДн выражен в качестве набора документов.
б. Инженерно-технические (физические) - осуществление физической защиты от несанкционированного доступа (НСД).
в. Программно-аппаратные - создание системы защиты ПДн (СЗПДн).
г. Контролирующие.

Что у Вас сделано, что нет - мне пока не ясно, но одно могу сказать точно, что если Вас сейчас интересует только хватит ли сертифицированной 1С для перекрытия всех мероприятий по созданию СЗПДн по третьему классу, то могу наверняка сказать что нет. Точно видно только если смотреть схему ИСПДн, модель угроз, модель злоумышленника и т.д., что у вас сделано в организационных мероприятиях.

 
akatrin (Катерина)Дата: Пятница, 15.04.2011, 06:39 | Сообщение # 3
Рядовой
Группа: Пользователи
Сообщений: 5
Репутация: 0
Статус: Offline
Спасибо за Ваш ответ!

программа у нас "Бухгалтерия предприятия" и "Зарплата и Управление персоналом" на платформе 8.2, Лицензионное соглашение есть по обоим продуктам (просертификацию - да, я напутала - они заявляли о 8.2.z).

Получается, обеспечением защиты персональных данных занимаемся мы сами:
- отнесли себя к 3-му классу;
- определились с порядком обработки и уровнями допуска к ПДн, определили ответственных;

по ИСПДн:
- используем лицензионное ПО и антивирус;
- вход - только по логину и паролю;
- разграничили уровни доступа пользователей к информационным ресурсам;
- все запросы в системе - автоматом регистрируются
- резервное копирование;
- ограниченный доступ к серверу.

по обработке ПДн без использования средств автоматизации:
- определили что и для каких целей обрабатываем таким образом;
- разделили потоки
- ограничили доступ к этим документам - только у ответственных, под ключом

в итоге:
- выпутили положение о ЗПДн;
- выпустили декларацию о защите ПДн.

скажите, пожалуйста - достаточно ли предпринятых мер?


никто кроме нас
 
anvolkov (Алексей Волков)Дата: Пятница, 15.04.2011, 10:24 | Сообщение # 4
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
По ИСПДн - она у Вас типовая или специальная? Методы и способы защиты информации в специальных необходимо выбирать на основе модели угроз из перечня, приведенного в ПР58. У Вас есть модель угроз? Для типовых - есть соответствующие приложения в ПР58, берете и делаете как там написано, один-в-один.

По бумажной обработке: берете 687ПП и делаете все так как там написано, один-в-один.

Вы ничего не сказали о разработанных организационных документах, а их д.б. достаточно много.

В любом случае определить, достаточно ли мер или нет, можно только в ходе аудита либо проверки регуляторов - очень много нюансов, универсальных рецептов здесь нет и на словах ничего не оценить, даже пытаться не стоит.

 
Kostik (Иванов Константин)Дата: Пятница, 15.04.2011, 15:22 | Сообщение # 5
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Алексей прав.

Могу добавить, что классификация тоже зависит от того, специальная у Вас система, или типовая. Класс специальной уточняется на основании модели угроз.
Еще посмотрите приказ №58, который содержит требования к системе защиты (СЗПДн) по различным классам. Там указаны параметры для каждой подсистемы, на которые стоит обратить внимание.

 
akatrin (Катерина)Дата: Пятница, 22.04.2011, 09:45 | Сообщение # 6
Рядовой
Группа: Пользователи
Сообщений: 5
Репутация: 0
Статус: Offline
эмм
простите за тупой вопрос - по какому принципу идет разделение - типовая или специальная система?
ни в одном нормативном документе определений не нашла.


никто кроме нас
 
anvolkov (Алексей Волков)Дата: Пятница, 22.04.2011, 10:24 | Сообщение # 7
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Как же Вы классифицировали Вашу систему, если Вы не видели такой документ: "ПРИКАЗ от 13 февраля 2008 года N 55/86/20 Об утверждении Порядка проведения классификации информационных систем персональных данных". Вот в этом "Порядке...", пункт 8:

По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

 
Kostik (Иванов Константин)Дата: Пятница, 22.04.2011, 10:26 | Сообщение # 8
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Здравствуйте, Катерина.

Определения описаны в Приказе Трех, а именно:

"8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы."

Но, т.к. с точки зрения здравого смысла практически для любого бизнеса важно обеспечение целостности и доступности данных, то большая часть ИСПДн автоматически становятся специальными.

 
anvolkov (Алексей Волков)Дата: Пятница, 22.04.2011, 10:28 | Сообщение # 9
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Я бы сказал, все - специальные. Никто и никогда не видел типовой. Это какой-то музейный экспонат.
 
akatrin (Катерина)Дата: Среда, 18.05.2011, 11:24 | Сообщение # 10
Рядовой
Группа: Пользователи
Сообщений: 5
Репутация: 0
Статус: Offline
и снова здравствуйте)

является ли информация о наличии судимостей - персональными данными?
насколько правомерен сбор такой информации?
получаем инфо у кандидатов из анкет в бумажном виде. анкеты вышедших в последний тур соискания - храним как кадровый резерв,под замком, вместе с личными делами, трудовыми и прочей трудовой требухой. отвалившихся - удаляем через шредер.
в конце анкеты есть пункт "даю разрешение на обработку моих персональных данных"
достаточно ли?


никто кроме нас
 
anvolkov (Алексей Волков)Дата: Среда, 18.05.2011, 14:30 | Сообщение # 11
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Здравствуйте!
1. Да, является, как и любая другая информация о субъекте.
2. Неправомерен. Организация не имеет право собирать или требовать от кандидатов указать эту информацию в обязательном порядке. Тем более, что термин "судимость" - это спорный термин. Максимум что можно спросить - привлекался ли субъект к ответственности (административной или уголовной), варианты ответов - да или нет. Кандидат должен иметь право не указывать эти (как и любые другие) сведения в анкете.
3. Анкеты отвалившихся нужно либо хранить до письменного отзыва (вечно), либо удалять по акту, либо возвращать соискателям под роспись по почте с уведомлением.
4. Нет. Согласие должно предусматривать все то, что написано в законе, а не только "даю согласие".
 
akatrin (Катерина)Дата: Пятница, 20.05.2011, 14:11 | Сообщение # 12
Рядовой
Группа: Пользователи
Сообщений: 5
Репутация: 0
Статус: Offline
ок,

1. вставила в анкету соискателей:

Даю согласие на обработку Оператором своих персональных данных, то есть совершение следующих действий:
- сбор;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- использование;
- обезличивание;
- блокирование;
- уничтожение персональных данных, при этом описание вышеуказанных способов обработки данных приведено в федеральном законе №152-ФЗ "О персональных данных".

2. а по хранению/уничтожению Анкет - это пипец о_О и действительно кто-то ТАК изголяется?! ладно, пусть в этом будет несоответствие формальное, но по факту совесть чиста.

3. еще вопрос по ИСПДн - перс.данные сотрудников обрабатываются 5-ю сотрудниками, в сетевой версии 1С:ЗУП на 5 пользователей. компы к инторнэту подключены. они же не подпадают под "наличие соединения с сетями общего пользования" или таки да??

4. еще вопрос по ИСПДн -перс.данные клиентов - фио, должность, контактная инфо - тел рабочий/мобильный, почта, адрес - в принципе - инфо - не супер секретная - на сайтах компаний публикуюца МНОГИЕ. так же нужно меры принимать?

спасибо вам за ваше внимание, терпение и знания)


никто кроме нас
 
  • Страница 1 из 1
  • 1
Поиск:

Copyright Ivanov Konstantin © 2024Используются технологии uCoz