ИСПДн - Форум по вопросам информационной безопасности

добрый день! коллеги, вопрос такой поступил: где написано, что в перечень ИСПДн мы включаем только те испдн, которые находятся на сервере нашей организации, а те что находятся на сервере другой организации, но нами используются - мы не включаем?

и вопрос вдогонку: мы передаем все перс данные из наших испдн в испдн другой организации на постоянку, собственных испдн больше у нас не будет.
перечень испдн и модели угроз наших испдн можно считать утратившими силу и по сути у нас их больше не будет?

2 автор нигде. А вы откуда данную информацию взяли?

2 автор.
В таком случае главное - обложиться бумагами)))
1. Договор о передаче и обслуживании ваших ИСПДн с приложениями об ответственности и полномочиями по использованию, передаче третьим лицам и пр. Иначе в случае утраты или утечки можете долго доказывать, раз исходно данные собрали вы.
2. Акты и приказы о закрытии ваших ИСПДн с указанием мер по ликвидации самих ПДн на вашем оборудовании и резервных копий.
3. Приказы и инструкции лицам, работающим с "чужими" БД, это можно потребовать от их оператора, но все под росписи и по спискам.
И это только самое основное))))

*в сторону*
Главное здесь понять, что:
1. ИСПДн - это не только (и не столько) софт на каком-то сервере...
2. Частью ИСПДн всегда должно считаться и клиентское рабочее место, и клиентский прикладной софт, через которые, собственно, ПДн в ИСПДн и вводятся/выводятся...
3. ИСПДн, которые разработаны и обслуживаются кем-то сторонним, или в которых "ядро и база" размещаются у кого-то другого - это зона ответственности в первую очередь кого-то другого. Но только тогда, когда эта зона ответственности, а также правила взаимодействия, меры и требования безопасности, четко распределены и декларированы. В противном случае, обвинить в утечке ПДн "оконечников" не вызывает особых проблем. А "оконечникам" доказать, что они тупо "пользователи" ИСПДн - еще сложнее...
4. Это все уже 100500 раз обсуждалось, рассматривалось и описывалось куда более подробно...

2 Око
Так если верить Автору, они закрывают и ликвидируют свои ИСПДн, и далее работают в ИСПДн смежников, которым передали. Поэтому разработка инструкций, мер защиты, требований к рабочему месту и персоналу - ЗАДАЧА НОВОГО ОПЕРАТОРА, ПРИНЯВШЕГО ИСПДн. Они теперь пользователь, максимум, субподрядчик.
Но в чём не могу не согласиться, что "все сомнения толкуются в пользу обвиняемого". То есть автор должен иметь железные документы (и их исполнение), что в период работы их ИСПДн не было утечки и искажения данных, нет незаконных копий и т.д. Доказывать это на фоне обвинений в злоупотреблении будет труднее. Поскольку всем, кроме бывшего оператора, удобнее перевести стрелки.

to Практик
Судя по всему, тов. автор не понимает, что такое ИСПДн и как быть в случае ее распределенности между двумя и более конторами (ядро у одних, база у других, раб.станции у третьих и т.д.)...
А начать нужно с того, чтобы уточнить: кто во всей этой цепочке обеспечивает первичный сбор, кто хранение, кто уточнение и передачу и т.д.

2 Око
Согласен. Точнее, я бы сформулировал так: кто по приказам и прочим базовым документам является оператором ИСПДн, и кому и как (а это и организационные, и технические меры, и распределение зоны ответственности и полномочий) уже этот оператор делегировал права и обязанности.
То есть, хозяин у ИСПДн один, а вот нюансов организации и эксплуатации очень много. В данном примере организация автора перестаёт быть оператором СИСТЕМЫ, и делянку по обслуживанию ИС им должен нарезать новый владелец системы.