Контакты
Подписка
МЕНЮ
Контакты
Подписка

Цели обработки ПД - Форум по вопросам информационной безопасности

Цели обработки ПД - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Вопрос | 75827 18.08.2017 12:42
Товарищи, просьба, пожалуйста, проконсультировать.

В 152-ФЗ есть требование о недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Речь конечно не про объединение БД, но если например определить ИСПДн "Сотрудники", где обработка будет вестись для разных подцелей: передача данных в разные органы, начисление з/п (в том числе, передача в банк), использование ПД для различных внутренних мероприятий и т.п.

Так вот, можно ли все это назвать одной ИСПДн или нужно выделять несколько испдн для каждой подцели?

Автор: Константин | 75838 18.08.2017 19:02
Обсуждали недавно. Если не ошибаюсь решили, что можно назвать одной.

Автор: oko | 75839 18.08.2017 20:45
Передача, хранение, расчет (с участием ПДн) и проч - уже задачи. А цель одна - обработка ПДн сотрудников организации в соответствии с требованиями ТК и иных законодательных актов РФ в области труда. Так что да, можно объединить. Хотя я бы советовал либо сегментировать, либо все-таки разбить на разные ИСПДн, в случае, если персонал (пользователи) различны. Чтобы не вступать на скользкую тропу выбора и интеграции (при их отсутствии) средств разграничения доступа на всех уровнях (физический, локальный, межсетевой и т.д.)...

Автор: Вопрос | 76052 21.08.2017 06:57
Спасибо.

oko
"Чтобы не вступать на скользкую тропу выбора и интеграции (при их отсутствии) средств разграничения доступа на всех уровнях (физический, локальный, межсетевой и т.д.)"
А что имеется ввиду?

------------------
Еще вопрос.

В рамках мунуслуг делаются смэв запросы результатом которым являются доки, содержащие ПДн.

Т.е. не мы передаем, а нам передают. Вопрос можно ли это считать действием - "передача"?

Автор: oko | 76056 21.08.2017 09:06
to Вопрос
1. При сегментации ИС реализуется разграничение доступа к ИОД, в ней обрабатываемой, на всех уроанях обработки. Если ИС развернута на базе одной ПЭВМ (АРМ) - на физическом уровне (непосредственный доступ к устройствам ввода-вывода, в помещение, к машинным носителям и т.п.) и на локальном уровне (вход в ОС, запуск программ и т.п.). Если несколько сетевых ПЭВМ (peer-to-peer, выделенный сервер и т.п.), то добавляем межсетевой уровень (фильтрация по адресам, по портам, по полям протоколов, ids/ips при желании/необходимости и т.п.). Если ИОД обрабатывается в СУБД, то еще и уровень СУБД (фильтрация запросов, потоков к разным базам данных, уч.записей и т.п.). И далее по такому же принципу, что нередко превращается в крайне увлекательную игру под названием 'слепи и обоснуй защиту в отсутствие бюджета и кадров'...
2. СМЭВ, как много в этом звуке... Вашу ситуацию лучше описать как 'предоставление доступа к данным по запросу установленным порядком'. А далее конкретизировать, что, когда, кому и как. Но... По-хорошему, вам также нельзя забывать о разграничении доступа к ИОД и контролю (фильтрации) в рамках таких смэв-запросов.
Прошла пара недель

Автор: Вопрос | 77130 05.09.2017 14:00
oko
Спасибо.

Интересно. А если есть БД (1С Бухгалтерия) где ведется учёт контрагентов (фио директора, должность, телефон), учет выдачи мат. ценностей (сотрудники, фио, должность, паспорт), доходов по муниципальным услугам (ФЛ, фио, адрес, телефон, паспорт).
Как это вообще делить - ведь цели-то разные?

Просмотров темы: 1635

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*