Автор: SIG | 107989 | 18.03.2020 17:24 |
Коллеги, доброго времени суток.
На предприятии эксплуатируется система управления SAP ERP (ИСПДн). Пользвателю могут быть присвоены различные роли с определенными правами доступа. Вопрос: Если пользователю присвоены роли, где не предусмотрена обработка персональных данных можно ли исключить пользователя из ИСПДн???? |
Автор: SIG | 107999 | 19.03.2020 08:53 |
При наличии единой БД вне зависимости от ролей пользователя считаем всех пользователей допущенных к обработке ИСПДн?
|
Автор: практик | 108000 | 19.03.2020 10:00 |
Нет. Это для ИСПДн будут внешние пользователи (фактически, другой подсистемы этого же ПО), И требуется указать, какие меры разграничения доступа предприняты. ИС может иметь данные не только ПДн. Если вам так удобнее, можно считать их пользователями с доступом к ПДн равном нулю))) Но это чисто формальный приём.
|
Автор: SIG | 108002 | 19.03.2020 10:47 |
Была такая идея, но если разграничение полномочий пользвателей осуществляется сертифицированными СЗИ от НСД, то можем ли мы считать средства разграничения доступа системы (SAP ERP) достаточными в части безопасности информации для регулятора?
|
Автор: nekto | 108008 | 19.03.2020 11:32 |
"...можем ли мы считать средства разграничения доступа системы (SAP ERP) достаточными...?"
Все зависит от того, какими требованиями вы руководствуетесь, например если требуется применять сертифицированные СЗИ, а на SAP ERP сертификата нет, то нет... |
Автор: SIG | 108010 | 19.03.2020 13:07 |
Спасибо)
В итоге ИСПДн разделить на обрабатывающих и необрабатывающих ПДн не можем. Формально обрабатывают все, кто работает в системе |
Автор: oko | 108018 | 20.03.2020 11:41 |
*в сторону*
Который раз читаю название темы вместо "Босс-кадровик" как "Босс-массовик". Затейливо, ага... to SIG Для таких вещей существуют "внешние пользователи" (+1 к тов. Практик) и Матрица доступа, в которой права явно указываются (можно по уч.записям/ролям/группам - как удобнее)... И при всем формализме рекомендую в отдельном документе явно прописать сотрудников, допущенных до обработки ПДн, ознакомив их под роспись со всей внутренней макулатурой по этой части. Во избежание, ага... |
Просмотров темы: 783