Автор: next | 110690 | 20.02.2023 10:28 |
Товарищи, спасибо конечно. Все же я наверное не точно вопрос сформулировал - полез в техническую часть.
Вопрос, скорее, в юридической - границы ИСПДн. Сложно определять, когда они пересекаются с другими испдн. При том все в кучу. Например, есть деятельность органа по регистрации людей у которых, вместо головы капуста (как я). И вот они ведут себе перечень этих людей со всеми ПДнами. Ведут с помощью средств автоматизации, и без неё. Есть БД, а есть всякого рода эксельки, где содержаться отчеты по этим людям. Отчеты сохраняются на компах. На мой взгляд, чистая ИСПДн - цели одни, источники получения, категории лиц и данных одни. Но у всякого госоргана есть обязанность по работе с обращения граждан (59-ФЗ) и на мой взгляд этот надо выделять в отдельную ИСПДн, потому что. запросы могут быть вообще не теме деятельности организации, а реагировать на них надо. Проблема в том, что обращения приходят и по почте и лично и через сайт. Ответы в различных форматах разбросаны по компам пользователей. И получается, что они по сути лежат вместе с всякого рода реестарами капустоголовых. Как здесь можно разделить - не понятно. Это как удержать воду в решете. Вот проблема, казалось бы. |
Автор: CM | 110692 | 20.02.2023 14:21 |
Для next:
Как говорил Христофор Бонифатьевич Врунгель: "Как вы яхту назовёте, так она и поплывёт". Посмотрите ещё раз определение ИСПДн. Вам всего лишь надо определиться границами ИСПДн и их количеством. По сути разграничить имеющуюся у Вас совокупность БД+ИТ+ТС. Если технологический процесс обработки ПДн одинаков, угрозы и меры защиты аналогичные, админы общие, то можно АРМы объединить в одну ИСПДн. А если на каких-то АРМах отличаются - отделить. Вплоть до того, когда каждый АРМ будет представляться отдельную ИСПДн. Дело вкусовщины. Основное отличие будет заключаться в количестве и объеме оформляемых бумажек. |
Автор: next | 110693 | 20.02.2023 15:08 |
Для CM:
"Как вы яхту назовёте..." "то можно АРМы объединить в одну ИСПДн" А как же разница в целях обработки? Чуть выше я писал про бухгалтерию и это, к слову, очень удобный вариант определения ИСПДн, т.к. вот компы, вот люди и все. С другими данными не работают - другим сотрудникам данные не дают. А вот остальную сеть разделить по АРМам проблематично - одни и те же сотрудники могут одновременно вести БД и тут же работать с обращением гражданина, который спросил невесть что - цели обработки, на мой взгляд разные. Админы то одни, уровень ПДн тоже один, но тех процесс, все же маленько отличается - в одном случае есть специализированная программа, куда вносится информация, а в другом чисто работа с офисными документами, хотя и в первом случае тоже офисные доки имеют место быть (отчеты). И хорошо, если у пользователя эти файлы лежат в разных каталогах, а то и в один все скидывают. Классно было бы определить, что вот ты работаешь только с этими данными, а ты с этими и к друг друге не лезете, тогда и границей теле армы были, но не реально это. |
Автор: next | 110694 | 20.02.2023 15:15 |
Исправление последнего абзаца:
Классно было бы определить, что вот ты работаешь только с этими данными, а ты с этими и к друг другу не лезете, тогда и границей ИСПДн стали бы армы, но это проблематично организовать. |
Автор: CM | 110695 | 20.02.2023 15:29 |
Для next:
> А как же разница в целях обработки? Для определения границ ИСПДн они (границы) не являются определяющими признаками. Цели обработки нужны для соблюдения принципов обработки ПДн (см. ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных"). Другими словами цели обработки можно соблюдать, обрабатывая ПДн и на 1 ИСПДн и на 20 и на 100. Если, конечно, в обязательстве на обработку у Вас не прописана конкретная ИСПДн. А как вы сгруппируете средства в ИСПДн'ы - дело удобства. |
Автор: next | 110696 | 21.02.2023 05:00 |
CM
Понятно. Спасибо. Будем разбираться дальше. |
Автор: CM | 110697 | 21.02.2023 07:42 |
Для next:
> Для определения границ ИСПДн они (границы) не являются определяющими признаками. Прошу прощения за опечатку: вместо "они (границы)" надо было написать "они (цели)". Речь, конечно, шла о целях обработки, как это видно далее по тексту. Именно они не зависят на каком количестве ИСПДн они будут обеспечены и достигнуты. |
Автор: Jusver' | 110792 | 31.03.2023 17:26 |
А вот тоже еще подлить масла в огонь и вернуться к первому посту ветки.
Если организация вносит информацию в ГИС, выполняя определенные прописанные в Уставе функции, являясь, например, ГБУ (детский сад, школа, музей, библиотека и прочее). То есть по сути это не государственный или муниципальный орган (т.к. полномочий государственных не имеет), и оператором ГИС не является - только эксплуатирует в дозволенной регламентом подключения части. А теперь к сути вопроса. 17 приказом установлен перечень мер - например, классификация ГИС - но ведь эту классификацию должен проводит орган, назначенный оператором при создании ГИС. Так? Как я могу, например, определить класс защищенности ГИС, являясь лишь пользователем сегмента? Да, сам ГИС может быть федерального уровня, но ведь мне доступна лишь часть информации, которую вношу, например, я. таким образом, в моем случае - масштаб объектовый. Ну и следом еще один вопрос - необходимо ли тогда аттестовать рабочие места, которые имеют подключение к этой ГИС? Или же просто подогнать уже применяемые меры защиты из 21 приказа, расширив их так, чтобы они соответствовали требованиям 17-го приказа и успокоиться? и таки да, хорошо бы ссылку на позицию регулятора в этом вопросе. А то тут некоторые особо рьяные проверяющие полагают, что наличие слова "государственный" названии делает госорганом со всеми вытекающими - применение 17 приказа, пп рф 211 и иже с ними.. :( |
Автор: oko | 110793 | 31.03.2023 19:40 |
to Jusver'
Масло протухло уже... 100500 раз обсуждалось: владелец/оператор ГИС (в вашем случае ФГИС) выставляет требования по безопасности (безопасному подключению). Вы их выполняете... Скажет: нужная своя Модель, свой перечень мер защиты, свои СЗИ, аттестация по-полной - придется выполнить... Скажет: достаточно вот эти меры выполнить, если вот эти угрозы актуальны (и нет иных), и подтвердить все это Актом по такой-то форме - значит, так выполните... Не скажет ничего - решаете самостоятельно (я бы для очистки совести угрозы бы промоделировал, требования безопасности сам бы себе выставил и реализовал, но без лишнего фанатизма, по-существу)... Не станете обращаться к владельцу/оператору за разъяснениями - будете автоматически не правы. Вне зависимости от слова "государственное", ага... |
Автор: Jusver' | 110794 | 03.04.2023 13:58 |
Спасибо за ответ. То, что необходимо действовать по регламенту Оператора ГИС, это само собой понятно. Но, может, ткнете носом в официальную позицию Фстэк? Просто чтоб был ответ для проверяющих, почему не проводили классификацию ГИС (оператором которой является другое юрлицо) и почему не аттестованы рабочие места (а по регламенту такого оператор не запрашивал).
|
Просмотров темы: 1019