Контакты
Подписка
МЕНЮ
Контакты
Подписка

ПДн или конфиденциальная информация. Что такое категория информации. - Форум по вопросам информационной безопасности

ПДн или конфиденциальная информация. Что такое категория информации. - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 3 4 5 >

Автор: Бобр | 22857 22.10.2010 07:59
Коллеги, всем привет, ситуация: в ИСПДн обрабатываеется ПДн.
Являются ли "персональные данные" в этом случае категорией информации, либо категорией является "конфиденциальная информация"?
В общем, вопрос философский: ПДн - конфиденциальная информация, либо ПДн это ПДн (т.е. отдельная категория)?

Автор: Mac | 22859 22.10.2010 10:12
Ответ на вопрос зависит от знания и понимания того, кому это предназначается ответ.
Ответ первый: законодатель определил, что информация бывает двух видов: открытая информация и информация ограниченного доступа. В свою очередь последняя подразделяется на гос. тайну и конфиденциальную информацию. ПДн относится к конфиденциальной.
По самой сути - разницы между видами информации вообще нет никакой, и целей её использования. От того, что информация открыта или конфиденциальна она не перестаёт быть информацией. Не становится другим. Другое дело, что свойства отдельных видов несколько различаются (хотя категории одни и те же). Разница несуществанная. И защита информации за последние две-три тысячи лет не изменилась. Когда плотно занимаешься ИБ на орг. уровне понимаешь всю эту хрень.
Это если вдаваться в философию.

А вот второе: пришёл проверяющий, что не юрист, не философ, и у него в голове четыре извилины, которых ему достаточно, чтоб чуть ли не наизусть знать закон о ПДн, и вот для него вряд ли его "любимые" ПДн, будут с чем-то объединены.

Автор: Некто | 22861 22.10.2010 10:28
От на этот случай стоит распечатать 188 указ, вставить в рамочку и показать "четырехизвилинному" с намёком на то, что законодательство РФ состоит не только из 152-ФЗ

Автор: msergey, ЛабТЗИ | 22862 22.10.2010 10:58
Являются ли ПДн конфиденциальной информацией с точки зрения категории информации уже поднимался на этом форуме, вот здесь:
http://www.itsec.ru/forum.php?sub=4997&from=-1
Юридические доводы и аргументы очень интересные, но это если рассматривать ПДн через понятие КАТЕГОРИИ информации, рассматривая только з-ны «О персональных данных», «Об информации…». Но вот с точки зрения Системы технической защиты информации – ПДн является частью конфы!!! (отличается только объёмом предъявляемых к ней требованиями).
Указ Президента № 188 не является главным для системы технической защиты информации, он только поддерживает эту систему.
В жизни пока ещё не встречал, чтобы проверяющий контролёр отделял ПДн от конфы – при действующей системе технической защиты это будет полный бред!!!

Автор: Бобр | 22863 22.10.2010 11:10
Так вот этот "Перечень сведений конфиденциального характера" указывает лишь на то что ПДн является информацией конфиденциального характера, т.е. под "конфиденциальными" здесь понимается "некая характерная черта" такой информации, а никак не КАТЕГОРИЯ.
Цель-пишу договор с нуля на приведение ИСПДн Заказчика к требованиям законодательства, в котором в качестве объекта указываю название ИСПДн, местонахождение и КАТЕГОРИЮ обрабатываемой на нем информации.

В случае с аттестацией АС в договоре прописывается что обрабатывается КОНФИДЕНЦИАЛЬНАЯ информация либо информация содержащая сведения составляющие ГТ .

Вот и задумался насчет ПДн, конфиденциальная ли это информация, или тупо ПДн (новая отдельная категория).

Автор: Прохожий | 22864 22.10.2010 11:12
2mac
Цит: последняя подразделяется на гос. тайну и конфиденциальную информацию.

Высказывание в корне неверно т.к.
в состав категории конфиденциальная информация входит и информация, содержащая ГТ.

Думаю имелось в виду
последняя подразделяется на гос. тайну и информацию содержащую коммерческую и служебную и иные виды тайн.
В России жесткие категории имеет только ГТ -С-СС-ОВ.
Также дана робкая попытка назвать некоторые виды конфиденциальной информации в известном указе президента, имеющим временный статус до момента издания пп РФ или ФЗ РФ.
И в этом указе сказано ПД - конфиденциальная информация
Другие виды тайн категорируются произвольно по критериям задаваемым владельцем тайн.
У буржуев критерии категорирования как правило задаются в НПА и их можно для себя брать как пример - мне лично нравятся нормы Австралазии
там все разложено по полочкам по этому вопросу.

2Бобр - напишите свой внутренний НПА со своими категориями и от него пляшите и до момента появления законов или пп РФ никто вам не указ - можете категории назвать АВС... или 123... или как вам захочется но только верхних норм не нарушайте.

Автор: Прохожий | 22872 22.10.2010 14:51
Насчет методики категорирования - вот один из вариантов на основе BS 7799
http://asher.ru/security/book/its/14
Повторю методика не единственная и не самая ... ... просто пример, раз уж такие сложности, кстати Информзащита лет так десять назад также разрабатывала свой документ по этому вопросу - там также три критерия конфиденциальность-целостность-доступность из состава существующих критериев

Автор: malotavr | 22875 22.10.2010 18:18
> Высказывание в корне неверно т.к. в состав категории конфиденциальная информация входит и информация, содержащая ГТ.

+1

> В России жесткие категории имеет только ГТ -С-СС-ОВ

При этом ничто не мешает из каких-либо соображений засекретить персональные данные. Например, ФИО и адрес проживания осведомителя являются его персональнвыми данными и одновременно составляют государственную тайну.

Автор: msergey, ЛабТЗИ | 22876 22.10.2010 20:19
Засекретить, конечно, можно всё и ПДн в том числе. На мой взгляд в приведённом примере - ФИО и адрес проживание осведомителя - вопрос дважды спорный:
1) данная информация не столько государственная тайна, сколько больше подходит к служебной информации, определённой тайной следствия;
2) з-н "О персональных данных" на распространяется на гостайну (ч. 4 п. 2 ст. 1), т.е. если в ПДн "замешаны" со сведениями, составляющими гос.тайну, то они же ей и "поглощаются" и становятся неотделимы, иначе образно говоря ПДн вместе гостайной не принадлежат субъекту и перестают являться таковыми;
3) статус осведомителя для следствия и оперативной работы выше ПДн человека, которые являются "дополнением", частью информации об осведомителе (т.е. персональные данные у человека не включают сведения о его статусе осведомителя, но данные об осведомителе могут содержать в себе такие сведения как часть).

Последнее высказывание является моей сугубо личной точкой зрения. З-н "о персональных данных" в ч. 7 ст. 10 хоть и не прямо, а косвенно, относит ПДн, обрабатываемых оперативными службами, к категории специальных.

Автор: msergey, ЛабТЗИ | 22879 22.10.2010 20:41
Если рассматривать соотношение понятий "информация" и "категория" с философской точки зрения, то думается, что категория предполагает некое ранжирование, иерархию, уровень информации внутри её вида.
Так гостайна имеет внутри 3 категории: С, СС, ОВ.
У персональных данных с категориями интереснее: "просто" ПДн, специальная категория ПДн, биометрические ПДН.
Рассматривая Указ № 188 перечисленная в нём конфиденциальная информация слишком разная, чтобы пробовать ранжировать её между собой или определять уровень значимости одной по отношению к другой.

Страницы: 1 2 3 4 5 >

Просмотров темы: 28842

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*