Обоснование наличия администратора безопасности ИСПДн - Форум по вопросам информационной безопасности

Для sekira:
В том то и дело, что "с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение".
А когда все эти действия выполняются пользователем (сотрудником) самостоятельно, в ручном режиме (Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.)
Другими словами: на компе в Word набирается текст, и сохраняется в памяти. Через некоторое время в ручную вносятся изменения, выводится текст на печать. Ещё через некоторое время информация удаляется. Это всё обработка без средств автоматизации.
Другой вариант: те же действия, но с использованием 1С Бухгалтерия, + Автоматически осуществляется расчет, ну к примеру заработной платы. Это автоматизированная обработка. Но в ИСПДн "Бухгалтерия" выполняются работы не только с 1С. Таким образом получаем смешанную обработку информации.

Прошу прощения, что вмешиваюсь в ваше бурное обсуждение, но хотелось бы внести дополнение к написанному Sekira.

"а методики оценки соответствия берутся согласно СТР-К "

Оценка соответствия может быть проведена в форме аттестации (для ИСПДн, не являющейся ГИС - не обязательно). В СТР-К нет МЕТОДИК оценки соответствия требований к системе защиты от несанкционированного доступа. Таких официальных методик по НСД вообще нет, за исключением приведенных в ГОСТ РО 0043-004-2013 при проведении аттестации. Но все приложения в этом ГОСТе с методиками аттестационных испытаний, в т.ч. по НСД, являются рекомендуемыми

"Для ИСПДн ФЗ 152, ППр 1119, Приказ 21 - в них требования к защите НСД."
Именно что требования. Но нет методик оценки защищенности.
По аналогии Есть мопед, есть требования: водитель должен иметь права на управления мопедом. Но нет методики принятия экзаменов. И мопеды не подведены ни в какую из имеющихся категорий транспортных средств.
Теперь смотрим квадроциклы: те же требования, но квадроциклы относятся к категории В1, то есть знания водителя оценивают в соответствии с требованиями к категории В.
С ИСПДн такая же ситуация. Требования есть. Но отдельно для ПДн методик оценки не существует. По этому в связи с тем, что ПДн являются разновидностью конфиденциальной информации, используются методики оценки защищенности применяемые к системе защиты конфиденциальной информации.

Дмитрий
В том то и дело, что "с применением автоматизированных средств: ...".
"А когда все эти действия выполняются пользователем (сотрудником) самостоятельно, в ручном режиме..."
Это вы сами придумали? В ФЗ и Конвенции такого нет!

Еще раз ФЗ
ст 3 4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

Есть СВТ автоматизированная - нет СВТ неавтоматизированная

Все остальное додумки трактовки и искажения фактов совместно с ахенеей ППр так и не исправленной.

"С ИСПДн такая же ситуация. Требования есть. Но отдельно для ПДн методик оценки не существует. По этому в связи с тем, что ПДн являются разновидностью конфиденциальной информации, используются методики оценки защищенности применяемые к системе защиты конфиденциальной информации".
Сколько можно подменять действительность своими додумками! Такого нет в НМД - это все придумали вы сами!
Кто вам сказал что должны быть для любой ИСПДн "методики оценки защищенности" . Они создаются для каждой ИСПД при ее аттестации на соответствие требованиям!

"методики оценки защищенности применяемые к системе защиты конфиденциальной информации."
Ссылку на данное "НМД" в студию пожалуйста. Название дата?

Для Игоря:
Эти методики (в том числе "Сборник руководящих документов по защите информации от несанкционированного доступа" Гостехкомиссия Россия, 1998г.).(приложение 1 к СТР-К) для "иных" информационных систем рекомендуемые документы. Не хотите использовать их - разработайте свои, но отвечающие требованиям действующих документов, в том числе и ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" и других документов. Заявление "всё хорошо, потому что мы так решили" при проверке роскомнадзором оператора не проходит.

"Эти методики (в том числе "Сборник руководящих документов по защите информации от несанкционированного доступа" Гостехкомиссия Россия, 1998г.).(приложение 1 к СТР-К) для "иных" информационных систем рекомендуемые документы. Не хотите использовать их - разработайте свои, но отвечающие требованиям действующих документов, в том числе и ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" и других документов. Заявление "всё хорошо, потому что мы так решили" при проверке роскомнадзором оператора не проходит."

Опять все в кучу!!
РД НСД АС ФСТЭК и СТР-К, ГОСТ Р 50739-95 - это ТРЕБОВАНИЯ !!!
Не методики!

"Заявление "всё хорошо, потому что мы так решили" при проверке роскомнадзором оператора не проходит."
А это фраза куда !? В доказательство чего? Никто и не собирается так заявлять.
Будьте добры выполнить в соответствии сНМД :
Пр 21 п. 6.
ФЗ 152 ст 18 п1 пп 4)
cт 19 п. 1 4)
ППр 1119 п. 17
В форме аттестации за неимением в НМД четкой альтернативы.

Для sekira:
Если у вас компьютер используется как печатная машинка с памятью, а вы хотите защищать её как автоматизированную систему, это ваше право. Только не забудьте, что все средства защиты должны быть сертифицированы.

для sekira
".. ППр 1119 п. 17
В форме аттестации за неимением в НМД четкой альтернативы."
Замечательно. Вы являетесь органом по аттестации? У вас есть соответствующая лицензия? По каким документам и методикам будете проводить аттестацию?

"Если у вас компьютер используется как печатная машинка с памятью, а вы хотите защищать её как автоматизированную систему, это ваше право."

Это вообще куда сейчас было сказано?
Защищать как ИСПДн!! Не АС! Я обязан это делать в соотвествии с ФЗ 152 18, 19 статья.
Ну и конечно все средства которые я буду использовать как СЗИ я буду использовать сертифицированные.