Защита ПДн двух организаций в одной базе 1С - Форум по вопросам информационной безопасности
Защита ПДн двух организаций в одной базе 1С - Форум по вопросам информационной безопасности
| Автор: Александр | 82808 | 23.11.2017 15:55 |
|
Здравствуйте. У нас две организации в жилищной сфере (пусть будет А и Б), обе собирают ПДн, данные хранятся на одном серваке 1с. Все технические средства (в т.ч. средства защиты информации) числятся на балансе организации А. Подскажите, пожалуйста, как дешевле организовать защиту ПДн в этих организациях?
Есть варианты: Заключить договор между А и Б на аутсорсинг со стороны А (тут вопрос - нужна ли в таком случае А лицензия на ТКЗИ?). Подготовить отдельный пакет документов для каждой организации (тут опять же вопрос в том, что у Б нет на балансе ничего, плюс часть сотрудников А официально не устроена в Б, но при этом работает с ПДн Б) Может ,Вы предложите какие-то варианты. Спасибо. |
|
| Автор: oko | 82818 | 23.11.2017 21:10 |
|
to Александр
Тут щас скажут, что лицензия нужна, но, imho, это бред. Разведут лицензиатов по объявлениям, а потом удивляются, откуда столько "брошенных" и "дырявых" объектов... Про лицензию, кстати, все говорилось в соседних ветках форума (тов. ustav, кажись, цитировал). Цели и задачи - вот главное. А дальше волшебство юриспруденции в помощь. И никакой лицензии не надо, просто обработка данных с их защитой подручными средствами напополам, ага... Это я к тому, что вариант №2 уж точно не подходит. С вариантом №1 см. выше. Я бы вообще разделил базы между А и Б сертиф.средствами. Настроил бы права. Расписал бы ответственность за подключение А->Б и Б->А (при необходимости). Закрыл бы эти подключения сертиф.мерами. Составил договор о "ненападении", ага. И описывал бы это все как 2 раздельные ИСПДн. А что они лежат в памяти одного физ.сервера, то, знаете ли, многопользовательские системы тоже на базе одного и того же железа работают. На крайний случай - виртуализация (но с ней дороже и сложнее). Короче, прикидывать надо по конкретике "насколько дешевле и кому дешевле", ага... |
|
| Автор: Александр | 82861 | 25.11.2017 20:19 |
|
Спасибо за предложения. Под "дешевле" я понимал "как с наименьшими затратами обеспечить соответствие требованиям роскомнадзора с учетом описанных условий".
|
|
| Автор: oko | 82862 | 25.11.2017 21:02 |
|
to Александр
Идею "дешевле" я понял, не первый год замужем, как говорится :) Просто цимес в том, что для однозначного расчета и уверенности надо смотреть на ваши ИС в реали. Форумные советы всегда находятся на уровне "пол-палец-потолок", как ни крути... |
|
| Автор: Константин | 82923 | 28.11.2017 09:20 |
|
Добрый день!
Вопрос по лицензии ТЗКИ.. ИОГВ (исполнительный орган гос. власти) оператор ГИС создаёт подведомственное бюджетное учреждение, которое сопровождает и развивает эту ГИС, в частности сопровождает средства защиты информации ГИС. Это бюджетное учреждение работает по гос. заданию (государственное задание на выполнение государственных работ) и конечно же на деятельность учреждения выделяются деньги из бюджета. Подскажите, пожалуйста, вот нужна ли в таком случае лицензия ТЗКИ подведомственному бюджетному учреждению? Читал информационное сообщение ФСТЭК от 30 мая 2012 г. № 240/22/2222, но всё равно не уверен. |
|
| Автор: nekto | 82929 | 28.11.2017 11:13 |
|
to Константин
А в чём проблема с лицензией.... Лицензионные требования она всё равно должна выполнять... ведь работы она будет выполнять ... А из затрат чисто на лицензию - это сбор несколько рублей... |
|
| Автор: oko | 82932 | 28.11.2017 11:26 |
|
to Константин
Был же уже разговор... Главное - цели и задачи. Это гос.учреждение же не всем подряд услуги планирует оказывать? В том и суть. Считай, классический "админ-не-в-штате", только расширенный до организации (читай, подразделение), ага. Советуйтесь с юристами, думаю, можно обосновать отсутствие необходимости в лицензии... to nekto Оборудование, специалисты со стажем, время на получение, куча бумажек (по которым ЦА ФСТЭК всю душу вытрясет), последующая отчетность за период. Все это != нескольким рублям сбора. И, зачастую, игра свеч не стоит... |
|
| Автор: Константин | 82938 | 28.11.2017 12:35 |
|
2 oko
Был разговор, да только ни к чему не привел.. Вот именно, что услуги, а точнее работы только для ИОГВ. Спасибо. |
|
| Автор: nekto | 82946 | 28.11.2017 15:21 |
|
to OKO
"Оборудование, специалисты со стажем, время на получение, куча бумажек (по которым ЦА ФСТЭК всю душу вытрясет), последующая отчетность за период. Все это != нескольким рублям сбора. И, зачастую, игра свеч не стоит..." Специалисты нужны в любом случае, работать же кто-то должен... Оборудование, а как без оборудования выполнять все мероприятия... или привлекать кого-то имеющего лицензию? Так кто-то всё равно будет с лицензией... Отчётность по КИ - что-то не помню требования... Время, бумаги - ну так специалисты же будут - сделают... |
|
| Автор: oko | 82947 | 28.11.2017 15:47 |
|
to nekto
Это все верно, если не принимать условия задачи тов. Константина - одно БУ под одну ГИС одного ИОГВ. Как думаете, найдутся в таком БУ специалисты/техника/средства? Упреждающий ответ: только в том случае, когда БУ будет разрешено также работать "на сторону", чтобы хоть как-то сводить концы с концами в части средств, вложенных в получение лицензии... :) <Отчётность по КИ - что-то не помню требования> - требования явного, может, и нет. Да только пришлось мне на днях готовить годовой отчет по аттестованным КИ-объектам по настоятельной просьбе местного Управления. И это далеко не первый случай... |
|
Страницы: 1 2 >
Просмотров темы: 4139
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"