Помогите пожалуйста, сижу понять не могу никак.
Не могу понять перечень ИСПДн, это то чем мы владеем или чем мы пользуемся? Просто нужно ли включать в перечень ИСПДн государственные информационные системы в которых организация пользуется? (подмечу что Базы Данных находятся не на территории организации)
Допустим у нас есть региональная система кадры медицинских учреждении, там кадровики заполняют информацию о мед.работников, нужно ли ее указывать в перечне ИСПДн и писать о ней модель угроз, или же перечень ИСПДн это то чем мы владеем?
to Игорь
Любопытная вещь получается: по-хорошему, все, которыми пользуетесь вне зависимости от "владения". С другой стороны, для всех сторонних ИСПДн, к которым вы подключаетесь и вносите "свою лепту", уже должны быть разработаны и Модель, и Требования, и проч. Поэтому в официальных письмах к регуляторам стоит различать: свои ИСПДн и "чужие", со ссылкой на то, что меры, установленные владельцами этих "чужих" ИСПДн, у вас приняты. Даже если этих мер никто не выставлял :)
