Контакты
Подписка
МЕНЮ
Контакты
Подписка

Использование внешних ГИСов - Форум по вопросам информационной безопасности

Использование внешних ГИСов - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: next | 110690 20.02.2023 10:28
Товарищи, спасибо конечно. Все же я наверное не точно вопрос сформулировал - полез в техническую часть.
Вопрос, скорее, в юридической - границы ИСПДн. Сложно определять, когда они пересекаются с другими испдн. При том все в кучу.
Например, есть деятельность органа по регистрации людей у которых, вместо головы капуста (как я). И вот они ведут себе перечень этих людей со всеми ПДнами.
Ведут с помощью средств автоматизации, и без неё. Есть БД, а есть всякого рода эксельки, где содержаться отчеты по этим людям. Отчеты сохраняются на компах.
На мой взгляд, чистая ИСПДн - цели одни, источники получения, категории лиц и данных одни.

Но у всякого госоргана есть обязанность по работе с обращения граждан (59-ФЗ) и на мой взгляд этот надо выделять в отдельную ИСПДн, потому что. запросы могут быть вообще не теме деятельности организации, а реагировать на них надо.
Проблема в том, что обращения приходят и по почте и лично и через сайт. Ответы в различных форматах разбросаны по компам пользователей.
И получается, что они по сути лежат вместе с всякого рода реестарами капустоголовых.
Как здесь можно разделить - не понятно. Это как удержать воду в решете.

Вот проблема, казалось бы.

Автор: CM | 110692 20.02.2023 14:21
Для next:

Как говорил Христофор Бонифатьевич Врунгель: "Как вы яхту назовёте, так она и поплывёт".
Посмотрите ещё раз определение ИСПДн. Вам всего лишь надо определиться границами ИСПДн и их количеством. По сути разграничить имеющуюся у Вас совокупность БД+ИТ+ТС. Если технологический процесс обработки ПДн одинаков, угрозы и меры защиты аналогичные, админы общие, то можно АРМы объединить в одну ИСПДн. А если на каких-то АРМах отличаются - отделить. Вплоть до того, когда каждый АРМ будет представляться отдельную ИСПДн. Дело вкусовщины. Основное отличие будет заключаться в количестве и объеме оформляемых бумажек.

Автор: next | 110693 20.02.2023 15:08
Для CM:
"Как вы яхту назовёте..."
"то можно АРМы объединить в одну ИСПДн"

А как же разница в целях обработки?

Чуть выше я писал про бухгалтерию и это, к слову, очень удобный вариант определения ИСПДн, т.к. вот компы, вот люди и все. С другими данными не работают - другим сотрудникам данные не дают.

А вот остальную сеть разделить по АРМам проблематично - одни и те же сотрудники могут одновременно вести БД и тут же работать с обращением гражданина, который спросил невесть что - цели обработки, на мой взгляд разные.
Админы то одни, уровень ПДн тоже один, но тех процесс, все же маленько отличается - в одном случае есть специализированная программа, куда вносится информация, а в другом чисто работа с офисными документами, хотя и в первом случае тоже офисные доки имеют место быть (отчеты).
И хорошо, если у пользователя эти файлы лежат в разных каталогах, а то и в один все скидывают.

Классно было бы определить, что вот ты работаешь только с этими данными, а ты с этими и к друг друге не лезете, тогда и границей теле армы были, но не реально это.

Автор: next | 110694 20.02.2023 15:15
Исправление последнего абзаца:
Классно было бы определить, что вот ты работаешь только с этими данными, а ты с этими и к друг другу не лезете, тогда и границей ИСПДн стали бы армы, но это проблематично организовать.

Автор: CM | 110695 20.02.2023 15:29
Для next:

> А как же разница в целях обработки?
Для определения границ ИСПДн они (границы) не являются определяющими признаками. Цели обработки нужны для соблюдения принципов обработки ПДн (см. ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных"). Другими словами цели обработки можно соблюдать, обрабатывая ПДн и на 1 ИСПДн и на 20 и на 100. Если, конечно, в обязательстве на обработку у Вас не прописана конкретная ИСПДн. А как вы сгруппируете средства в ИСПДн'ы - дело удобства.

Автор: next | 110696 21.02.2023 05:00
CM

Понятно. Спасибо. Будем разбираться дальше.

Автор: CM | 110697 21.02.2023 07:42
Для next:

> Для определения границ ИСПДн они (границы) не являются определяющими признаками.
Прошу прощения за опечатку: вместо "они (границы)" надо было написать "они (цели)". Речь, конечно, шла о целях обработки, как это видно далее по тексту. Именно они не зависят на каком количестве ИСПДн они будут обеспечены и достигнуты.
Прошел месяц

Автор: Jusver' | 110792 31.03.2023 17:26
А вот тоже еще подлить масла в огонь и вернуться к первому посту ветки.
Если организация вносит информацию в ГИС, выполняя определенные прописанные в Уставе функции, являясь, например, ГБУ (детский сад, школа, музей, библиотека и прочее). То есть по сути это не государственный или муниципальный орган (т.к. полномочий государственных не имеет), и оператором ГИС не является - только эксплуатирует в дозволенной регламентом подключения части.
А теперь к сути вопроса. 17 приказом установлен перечень мер - например, классификация ГИС - но ведь эту классификацию должен проводит орган, назначенный оператором при создании ГИС. Так? Как я могу, например, определить класс защищенности ГИС, являясь лишь пользователем сегмента? Да, сам ГИС может быть федерального уровня, но ведь мне доступна лишь часть информации, которую вношу, например, я. таким образом, в моем случае - масштаб объектовый.
Ну и следом еще один вопрос - необходимо ли тогда аттестовать рабочие места, которые имеют подключение к этой ГИС? Или же просто подогнать уже применяемые меры защиты из 21 приказа, расширив их так, чтобы они соответствовали требованиям 17-го приказа и успокоиться?
и таки да, хорошо бы ссылку на позицию регулятора в этом вопросе. А то тут некоторые особо рьяные проверяющие полагают, что наличие слова "государственный" названии делает госорганом со всеми вытекающими - применение 17 приказа, пп рф 211 и иже с ними.. :(

Автор: oko | 110793 31.03.2023 19:40
to Jusver'
Масло протухло уже...
100500 раз обсуждалось: владелец/оператор ГИС (в вашем случае ФГИС) выставляет требования по безопасности (безопасному подключению). Вы их выполняете...
Скажет: нужная своя Модель, свой перечень мер защиты, свои СЗИ, аттестация по-полной - придется выполнить...
Скажет: достаточно вот эти меры выполнить, если вот эти угрозы актуальны (и нет иных), и подтвердить все это Актом по такой-то форме - значит, так выполните...
Не скажет ничего - решаете самостоятельно (я бы для очистки совести угрозы бы промоделировал, требования безопасности сам бы себе выставил и реализовал, но без лишнего фанатизма, по-существу)...
Не станете обращаться к владельцу/оператору за разъяснениями - будете автоматически не правы. Вне зависимости от слова "государственное", ага...

Автор: Jusver' | 110794 03.04.2023 13:58
Спасибо за ответ. То, что необходимо действовать по регламенту Оператора ГИС, это само собой понятно. Но, может, ткнете носом в официальную позицию Фстэк? Просто чтоб был ответ для проверяющих, почему не проводили классификацию ГИС (оператором которой является другое юрлицо) и почему не аттестованы рабочие места (а по регламенту такого оператор не запрашивал).

Страницы: < 1 2

Просмотров темы: 1019

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*