ПДн в БОСС-Кадровик - Форум по вопросам информационной безопасности

Коллеги, доброго времени суток.
На предприятии эксплуатируется система управления SAP ERP (ИСПДн).
Пользвателю могут быть присвоены различные роли с определенными правами доступа.
Вопрос: Если пользователю присвоены роли, где не предусмотрена обработка персональных данных можно ли исключить пользователя из ИСПДн????

При наличии единой БД вне зависимости от ролей пользователя считаем всех пользователей допущенных к обработке ИСПДн?

Нет. Это для ИСПДн будут внешние пользователи (фактически, другой подсистемы этого же ПО), И требуется указать, какие меры разграничения доступа предприняты. ИС может иметь данные не только ПДн. Если вам так удобнее, можно считать их пользователями с доступом к ПДн равном нулю))) Но это чисто формальный приём.

Была такая идея, но если разграничение полномочий пользвателей осуществляется сертифицированными СЗИ от НСД, то можем ли мы считать средства разграничения доступа системы (SAP ERP) достаточными в части безопасности информации для регулятора?

"...можем ли мы считать средства разграничения доступа системы (SAP ERP) достаточными...?"

Все зависит от того, какими требованиями вы руководствуетесь, например если требуется применять сертифицированные СЗИ, а на SAP ERP сертификата нет, то нет...

Спасибо)
В итоге ИСПДн разделить на обрабатывающих и необрабатывающих ПДн не можем. Формально обрабатывают все, кто работает в системе

*в сторону*
Который раз читаю название темы вместо "Босс-кадровик" как "Босс-массовик". Затейливо, ага...
to SIG
Для таких вещей существуют "внешние пользователи" (+1 к тов. Практик) и Матрица доступа, в которой права явно указываются (можно по уч.записям/ролям/группам - как удобнее)...
И при всем формализме рекомендую в отдельном документе явно прописать сотрудников, допущенных до обработки ПДн, ознакомив их под роспись со всей внутренней макулатурой по этой части. Во избежание, ага...