Конференция по вопросам информационной безопасности Суббота, 23.11.2024, 13:17
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Kostik, anvolkov  
О классификации
seminar ()Дата: Понедельник, 15.03.2010, 09:14 | Сообщение # 1
Группа: Удаленные





Добрый днь. Подскажите пожалуйста как классифицировать ИСПДн, в отделе кадров на ПК стоит небольшая прорамма Реестр муниципальных служащих+кадровый резерв, ее можно отнести к классу К3, но в кадрах есть и не автоматизированная обработка ПДн и в сейфе хранятся справки о состоянии здоровья, которые берут при приеме на работу, это я так понимаю уже специальная категория ПД, т.е. класс К2, как быть в этом случае? получается две ИСПДн К2 и К3 или или одна К2?
 
anvolkov (Алексей Волков)Дата: Понедельник, 15.03.2010, 09:51 | Сообщение # 2
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Добрый день!

Начнем с того, что при приеме на работу берутся не справки о состоянии здоровья (да и вообще в любой компании в отношении сотрудников), а СВЕДЕНИЯ ОБ ОГРАНИЧЕНИЯХ ТРУДОСПОСОБНОСТИ ПО МЕДИЦИНСКИМ ПОКАЗАНИЯМ. В справке, выдаваемой медицинской комиссией, сведений о состоянии здоровья нет. Нет их, как ни странно, и в больничном листе - в этом документе указывается, что человек не мог находиться на работе по причине, связанной с медицинским ограничением, и проставлен код ограничения. И это не обязательно болезнь - может, это уход за больным.

Состояние здоровья - это нечто более обширное (например, сведения указанные в медицинской карте, о истории лечения больного и т.д.). Надо понимать, что если я чихнул - то это не сведения о состоянии здоровья. Или например я ношу очки - а эти сведения в особых отметках пишут в водительском удостоверении - то это означает, что я могу допуститься к управлению ТС только в очках - ОГРАНИЧЕНИЕ. А вот какое у меня зрение, в связи с чем так получилось и как и где я лечу свое зрение - это уже сведения о состоянии здоровья.

Далее. Специальная категория превращает Вашу ИСПДн в 1 класс, а не во 2й.

Говоря о классификации ИСПДн, термин применим только к информационным системам, в которых ПДн обрабатываются автоматизированным способом или с использованием средств автоматизации (781 постановление правительства и "приказ трех"). Если обработка специальных категорий ПДн ведется исключительно неавтоматизированными способами, то в "Перечень ПДн" попасть они должны, а вот далее для организации системы защиты применяется не 781 ПП, а 687-е, и никакой классификации ИСПДн здесь делать не нужно (собственно, классифицировать нечего).

В Вашем случае, ничто не мешает обрабатывать больничные листы и медсправки, как в бумажной, так и в электронной форме (хотя лучше оставить в бумажной - нет необходимости в них в электронной форме). Вы же, например, табель заводите, буковку "Б" ставите... И никакие это не "спецкатегории". Ваш компьютер с ПО и человек, который за ним работает, и бумаги, которые используются для ввода данных в ПК и вывода - это все одна ИСПДн К3 (ну, или К2, если в К3 не попадаете). Если вы решите выкинуть компьютер - то ИСПДн останется только бумажной, а стало быть классифицировать ее не надо, модель угроз разрабатывать тоже... Надо просто выполнять 687 ПП по защите документов.

С уважением, А.Н.Волков.

 
Kostik (Иванов Константин)Дата: Понедельник, 15.03.2010, 15:03 | Сообщение # 3
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Хочется добавить, что Постановление правительства РФ N687 от 15.09.2008 вы можете скачать отсюда, а Постановление правительства РФ N781 от 17.11.2007 отсюда.
 
voditel_tramvaya (Федор)Дата: Вторник, 29.03.2011, 17:04 | Сообщение # 4
Рядовой
Группа: Пользователи
Сообщений: 1
Репутация: 0
Статус: Offline
как осуществить классификацию специальной ИСПДн (ей ведь нельзя присвоить класс исходя из порядка классификации?) это надо делать на основе модели угроз как тогда выглядит акт классификации? там ведь в любом случае необходимо указывать класс системы..
что такое дополнительная информация (в этом контексте):
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1
 
anvolkov (Алексей Волков)Дата: Вторник, 29.03.2011, 17:49 | Сообщение # 5
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Глядите здесь:

http://anvolkov.blogspot.com/2010/11/blog-post_02.html

http://anvolkov.blogspot.com/2011/03/blog-post_22.html

 
  • Страница 1 из 1
  • 1
Поиск:

Copyright Ivanov Konstantin © 2024Используются технологии uCoz