Посторонние сотрудники в организации. - Форум по вопросам информационной безопасности
Посторонние сотрудники в организации. - Форум по вопросам информационной безопасности
| Автор: Ikebot | 107096 | 27.08.2019 12:32 |
|
Товарищи, подскажите, может кто сталкивался (а, если нет, то судя по тенденциям, в ближайшее время столкнется, особенно в органах власти)… тенденция, однако, выводить в подведы айтишников, делопроизводителей, помощников там всяких идет полным ходом, а что нам на это говорят документы соответствующие? Может, кто уже боролся с этим делом в плане наличия на объекте людей, которые официально числятся в другой организации, но выполняют работу в интересах организации основной. Да, и находятся они физически прямо на объектах…
|
|
| Автор: oko | 107097 | 27.08.2019 14:30 |
|
Дык, если оные люди не входят в состав персонала гос.орг., но работают рядом с объектом ГТ (секретка гос.орга, например), то вопрос переходит в плоскость режимных мероприятий и допуска (запрета длпуска) установленным порядком. А в этой теме все уже "расписано за нас", ага...
Если речь идет об их возможном влиянии на конфи-объекты (системы), то все регламентируется внутренними инструкциями и договорными отношениями... В чем проблема-то? Тут всецело зависит от головы на плечах "владельца" объекта, не более... |
|
| Автор: Alex | 107098 | 27.08.2019 15:02 |
|
>кто уже боролся
какую цель вы желаете достигнуть? |
|
| Автор: Ikebot | 107099 | 27.08.2019 16:31 |
|
Вопрос мой был связан с тем, что, например, возьмем систему документооборота, в которой, в том числе, регистрируется ДСП или другая охраняемая законом информация и вот велено девочку делопроизводителя, которая вводит эти документы в систему перевести в подвед или возьмем ИСПДн, в которую попадают обращения граждан и специалистов, которые их принимают, оформляют и запускают по цепочке в работу тоже вывести во всякие подведы… и еще кучу примеров можно нарисовать, неговоря уже об админах, которые обслуживают эти системы и их тоже в подведы… Я так понимаю, что ни в одном документе данный вопрос не рассматривается в прямую, нет ни запрета на такие вещи, ни разрешения, отсюда вопрос как такие ситуации урегулировать документально? Как на этих сотрудников распространять действие инструкции пользователя ЛВС или инструкции по ИСПДн или ГИСам?
|
|
| Автор: tarakan | 107100 | 27.08.2019 17:28 |
|
to Ikebot
Прописать в договоре/соглашении между сторонами условия исполнения внутренних орд/лнд, а также соблюдение условий конфиденциальности и т.д. |
|
| Автор: tarakan | 107101 | 27.08.2019 17:30 |
|
to Ikebot
Если хотите тех.меры, то покупайте средство контроля привилегированных пользователей, выделяйте АРМы таких сотрудников в отдельную подсеть и пускайте их через такое средство. Будете иметь полную картину всех действий таких сотрудников |
|
| Автор: практик | 107102 | 27.08.2019 17:36 |
|
алаверды tarakan
Штатные и кадровые вопросы подведа (а то и вообще аутсорсера) не должны становиться вашими. Значит заключается договор (или иной двустронний документ) между организациями, в котором Исполнитель несёт все предусмотренные законом виды ответственности за выполнение режимных и технических мероприятий. Придумывать долго (зависит от ваших задач наёмникам), но эффективно. Но разрабатывать и согласовывать такое под ГТ очень проблемно, поскольку получается допуск к ГТ сотрудников сторонней организации со всеми вытекающими. Единственный легальный вариант, это не допускать их к собственно секретке, и проводить в РП и ВП все их работы в сопровождении, согласно согласованным спискам допускаемых исполнителей. Сталкивались с таким при текущих ремонтах. От аутсорса при уборке отказались, слишком много организационных сложностей |
|
| Автор: tarakan | 107103 | 27.08.2019 17:51 |
|
to практик
автор вел речь про ДСП, ИСПДн. Не вижу слов про ГТ. |
|
| Автор: oko | 107106 | 27.08.2019 20:29 |
|
*в сторону*
ГТ, конфи, ПДн - не велика разница, поскольку "белые пятна" были и будут. Невозможно покрыть любые ситуации централизованными инструкциями. В ГТ разве что более-менее прописан принцип "запрещено все, что не разрешено явно". И то не всегда, ага... Поэтому означенная в теме проблема - целиком и полностью задача отдела безопасности, кадрового и юридического отделов владельца объекта. Косяк в том, что Бизнес вопросы инфобеза при привлечении сторонних и "вроде бы своих" сотрудников давно научился решать (речь не об эффективности, конечно), а Госы, увы, нет. Поэтому зачастую не понимают,что делать и куда бежать... |
|
| Автор: Ikebot | 107108 | 28.08.2019 09:26 |
|
to oko, если Вам не сложно, то может вы поделитесь опытом о том, как это делает бизнес? Боюсь только, что практики бизнеса не в полной мере решат вопрос в госах. Бизнес не так сильно мучают регуляторы и решения в бизнесе принимаются совсем не так как в госах. А так вы совершенно правы, для госов это новая тема, но она приняла уже очень большой размах. Для себя понял, что нужно во все документы начиная от внутриобъектовки и до последней инструкции пользователям вносить этих сотрудников. Вопрос в том, достаточно ли этого? И вопрос не только конфиденциалки касается… например, в приемной ВП сидит секретарь, который является сотрудником другой организации, есть проблемы в этом случае?
|
|
Страницы: 1 2 >
Просмотров темы: 1344
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"