Автор: Сергей | 109551 | 21.09.2021 15:17 |
Разумеется, я ознакомился с законом N 1119 и 152 фз.
Посмотрел несколько готовых моделей типовых угроз мед учреждений. И прочитал статью Возник логичный вопрос - в типовом мед учреждении есть отделы: бухгалтерия, отдел кадров и поликлиника. В каждом отделе обрабатываются разные перс. данные, для разных целей, с разными сроками хранения и т.д. Получается что нужно для каждого отдела писать свою документацию? Модель угроз, формы согласия и т.д.? Перс данные то разные, цели обработки данных разные, сроки разные. Это же сколько нужно документации... Но уже из 152 фз следует, что нужно писать для каждого "отдела" отдельную документацию. Есть даже мнение, что в среднем нужно составлять около 7 согласий на обработку ПНд. Сколько целей, столько и согласий. Проще говоря - разные отделы, разные данные, разные цели - там зп выдать, тут людей лечить, а иногда нужно будет и передать данные в другую больницу... - делай для каждого отдела свою документацию. Работа умножается? Пример из статьи Кадры/бухгалтерия - 4 уровень защищенности персональных данных. Поликлиника - 3 уровень защищенности персональных данных (обычно). Возникает мысль, что хорошо бы технически защитить систему по максимальному уровню. Единому - 3 уровню. Чтобы не возится с настройками СЗИ. Дороже не выйдет т.к. это вопрос настроек СЗИ (для данных уровней в силу ценовой политики СЗИ). Но документацию то всё равно придется писать разную. И второй вопрос. По сути 152 фз четко разделяет все сущности персональных данных - цели сбора, цели обработки, состав и хранение. Но обычно данные хранятся в одной общей бд. Там и ФИО и адрес и заболевание и ИНН - там всё. Я видел такие базы, выписки из них. И этой БД пользуются все отделы, бухгалтерия, кадры. И вносят туда изменения. И как быть? Изменять структуру БД, таблиц, ключевых полей? И запросы? Это же полный абзац, который технически никому не нужен. Закон говорит - разделяй ПНд от целей. Пусть технически разделили. Цель изменилась или появилась новая. Снова лезть в структуру БД, бизнес логику и все подстраивать под требования закона? |
Автор: oko | 109554 | 22.09.2021 00:40 |
*в сторону*
При пространных вопросах на форуме могут запросто научить плохому, ага... to Сергей Цели не обязательно строго детализировать - отдано на откуп владельцу (оператору) ИСПДн. А раз так, то и в будущем их придется менять/дополнять с очень малой вероятностью... Модель угроз при прочих равных можно оформить одну на все системы (и обозвать Базовой, ага). Лишь бы это не была бумага из сортира (что в свете новой Методики... впрочем, не важно). И чтобы никто не повесился, пока будет ее составлять и/или читать на 100500-то объектов... А там, где единая Модель, там и до единых Положений, регламентов, приказов, инструкций, единой и логически верной КСЗ и, как следствие, до единой оценки недалеко. Только увлекаться не надо. Но сокращение бумаги и работы по ее оформлению вполне реально... И да, объединение баз, используемых с разными целями, недопустимо. Думайте над разграничением, над разносом баз (хоть тупо в разные инстансы), над иным выходом из ситуации - их, собственно, достаточно для любого случая... |
Автор: Алексей, - | 109570 | 30.09.2021 08:37 |
Добрый день, в ходе подготовки доклада для учебного заведения не из РФ столкнулся с необходимостью сравнения соответствия стандарта ИСО/Гост 27001 применительно к ПРИКАЗУ ФСТЭК от 18 февраля 2013 г. N 21 об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. К сожалению в интернете ничего подобного не нашелб может кто то этим вопросом занимался и может поделиться?
|
Просмотров темы: 1026