Контакты
Подписка
МЕНЮ
Контакты
Подписка

ПД в ЕИС - Форум по вопросам информационной безопасности

ПД в ЕИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: ask | 92714 10.05.2018 21:42
Добрый вечер! Не судите строго за вопросы, которые могут быть очень тупыми))). И так возник тут вопрос, нужно ли проводить аттестацию ИСПнД, информация в которой обрабатывается на АРМ, которые имеют доступ к ПД через веб-клиент, а вся инфа хранится на удаленных серверах. Т.е. по сути у пользователя есть только логин и пароль для входа в веб-клиент, в котором он уже совершает все действия с ПД.

Автор: С, С | 92715 10.05.2018 21:49
Обязанности по аттестации ИСПДн нормативно не определено.

Автор: oko | 92723 11.05.2018 01:25
to C
+1

to ask
Если протекает ванна и топит соседей, то плохо закрученный кран не при чем - вода же в ванне сама по себе появляется, ага...

Автор: ask | 92726 11.05.2018 08:41
Да тут больше вопрос в другом. Необходимо ли проводить какие либо мероприятия по защите? У сотрудника есть только доступ через веб-клиент, все данные на удаленных серверах. Защиту данного АРМ необходимо осуществлять? Опять же необходимо ли делать АКТ классификации, модель угроз и т.д.? Или же будет достаточно ознакомить под роспись сотрудника с НПА по работе с ПД и на этом закончить?

Автор: oko | 92727 11.05.2018 08:56
to ask
Пример с ванной же. Иными словами, ввод-вывод ПДн все равно осуществляется:
- сотрудником, сидящим за АРМ;
- программными средствами, установленными в памяти АРМ;
- аппаратными средствами АРМ;
- в помещении с установленным АРМ.
Сиречь, АРМ - часть ИСПДн, как ни крути. Были бы данные обезличенными на этапе ввода - другой коленкор. А так, разумеется, надо защищаться. Как? Вот для начала и следует сформировать МУ (МУН), чтобы оценить и прикинуть каналы утечки, актуальные угрозы, возможные векторы атак нарушителя, исходя из структуры системы, ценности информации и масштаба трагедии, ага...

Автор: ask | 92729 11.05.2018 09:13
Тогда получается необходимо руководствоваться 17 приказом ФСТЭК так как система является частью ГИС\МИС? Если брать как пример систему "Единая информационная система оказания услуг", которая используется в МФЦ и Администрациях городов и округов.

Автор: С, С | 92793 11.05.2018 12:39
Здесь лучше руководствоваться частью 1 статьи 19 Федерального закона от 27.07.2007 № 152-ФЗ "О персональных данных": оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обратитесь за разъяснениями к оператору ИСПДн. ответственность по этому поводу за ним.

Автор: oko | 92797 11.05.2018 15:44
to ask
Если ваша ИС является частью бОльшей ИС (и вас вначале вынудили к ней подключиться, а теперь задалбывают вопросами защиты), то обращайтесь к авторам/операторам бОльшей ИС. Они должны выставить требования безопасности, которые вы со своей стороны в праве либо расширить (исходя из своей специфики) и выполнять, либо просто принять за данность и выполнять...
Что же касается аттестации, то, чисто формально, это головная боль той же самой бОльшей ИС. Повторюсь, ваша задача четко выполнить выставленные требования ИБ + следить за отсутствием проявления новых угроз безопасности...

Просмотров темы: 1469

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*