Контакты
Подписка
МЕНЮ
Контакты
Подписка

Вопросы по ИСПДн помогите новичку) - Форум по вопросам информационной безопасности

Вопросы по ИСПДн помогите новичку) - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Алексей | 66076 07.10.2016 15:10
Доброго времени суток коллеги, не так давно занимаюсь защитой информации, возникли вопросы,возможно глупые))прошу помощи.
1) Если мы операторы,пользователи ИСПД (не владельцы этих систем, системы на балансе другога юридического лица ) нужно ли указывать эти системы в Перечне информационных систем персональных данных, или достаточно указать только те системы которые мы приобретали,разрабатывали за свой счет и которые находятся на балансе нашей организации?
2) Если владелец ИСПДн не выдвигает требований к защите должны ли мы сами разрабатывать модель угроз и принимать меры к защите?
3) Есть куча ИСПДн которые крутятся на серверах другой организации (какие требования выдвигать к организации у которой находится серверная часть),каналы связи шифруются ViPNet, пользователи моей организации доступ к ИСПДн осуществляют через web интерфейс,персональные данные на локальных машинах в 90% случаев не хранятся.Нужно ли защищать локальные машины, или достаточно чтобы защищалась только серверное оборудование на стороне сторонней организации.

Автор: oko | 66079 07.10.2016 15:28
Все определяет владелец ИСПДн, кроме случаев, установленных в ином порядке нашим законодательством. ИСПДн крутится у вас, но не вы владелец? Требуйте от владельца бумагу, в которой:
- либо он указывает, что защиту строить не требуется, и тем самым принимает ответственность полностью на себя;
- либо он указывает мероприятия и конкретные способы защиты ИСПДн. И далее вы уже с ним в договорном порядке решаете, кто и за что будет отвечать, кто и как это все будет внедрять и обеспечивать...

Автор: Алексей | 66092 09.10.2016 19:27
Попробую пояснить.У нас достаточно большая организация и сложная структура ( более десятка разных юридических лиц). Есть вышестоящие органы которые разрабатывают ИСПД и обязуют ими пользоватся нижестоящие органы...со стораны защиты информации никто не когда не разрабатывал ничего. Я сейчас в этой чудной структуре первый начинаю заниматься ЗИ. Задача разработать требования к защите ИСПДн со стороны владельца ИС (часть ИСПДн будут иными,часть муниципальными) спустить их на нижестоящие организации.
На данный момент возникли следующие вопросы:
1)Должны ли нижестоящие организации указывать в Перечне ИСДн системы в которых они не являются владельцами, а лиш по поручению владельца вносят и обрабатывают ПД (операторы ИСПДн), или нижестоящие организации вносят в перечень ИСДн системы которые приобретались ими за свой счет и числятся на их балансе.
2)Есть доступ к ИСПДн осуществляется через WEB нужно ли защищать локальные машины, или достаточно чтобы защищалась только серверное оборудование и каналы связи.Персональные данные на локальных машинах в 90% случаев не хранятся.
3) И последний вопрос с чего начать ........Есть куча разных ИСПДн стоит ли их группировать или для каждой в отдельности строить модель угроз.

Автор: oko | 66100 10.10.2016 10:33
1. Если нижестоящая организация не самостоятельно определяет цели, состав и действия, совершаемые с ПДн в "не-ее" ИСПДн, то такая организация не является "Оператором ПДн" в понимании 152-ФЗ. Тогда все вопросы к вышестоящей организации, которая как раз Оператором является. Но вопросы безопасности несколько отдельно. Тут должна присутствовать договорная основа или распоряжение "от верха к низу" в части всех нюансов, определяющих безопасную обработку ПДн в любой системе нижестоящей организации. Не важно, на балансе такая система у нее или нет.
Вывод: вышестоящая организация должна явно указать себя Оператором; нижестоящую организацию - либо представителем Оператора, либо "лицом с правом обработки ПДн"; предоставить нижестоящей организации регламентированный порядок обработки ПДн + описать правила (требования) безопасности, которые нижестоящая организация обязана выполнять.

2. Вопрос непростой. Все зависит от:
- уровня защищенности ИСПДн;
- характерных (актуальных) угроз и нарушителей безопасности;
- самой схемы техпроцесса обработки ПДн;
- еще нескольких нюансов (как минимум, права доступа пользователей через web к системам хранения или СУБД ПДн).
Вывод: однозначно ответить не получится. Нужно провести полноценный анализ структуры ИСПДн и характера работы с ПДн в ней. Составить Модель угроз и нарушителей, определить уровень защищенности. И т.д. и т.п.

3. Мой совет: если ИСПДн пересекаются по сотрудникам и техническим средствам, обрабатывающим ПДн, - рассматривайте не несколько ИСПДн раздельно, а одно ИСПДн комплексно. Но в Актах классификации указывайте "сегменты" с разными целями обработки. Т.е. описать все ИСПДн в одном документе, собрать единую Модель угроз и внедрить единую систему защиты. Придется, правда, в таком случае уровень защищенности брать по максимуму, но, как мне кажется, при любом раскладе так на то и выйдет.
Если же ИСПДн не пересекаются, то ответ очевиден - каждому свой дом (с)

Автор: Алексей | 66103 10.10.2016 11:28
Спасибо Вам большое! Потихоньку все становиться на свои места.
1. То есть в Перечне информационных систем персональных данных указываем только те системы где мы являемся операторами, не зависимо от того на нашем балансе эта система или нет. У нас в большинстве случае оператор и владелец разные юридические лица. Получилось так что все разрабатываемые ИСПДн в моей организации (назовем ее организация №1 передали на баланс другой организации № 2 (получилось изменили владельца). Сейчас пытаюсь разобраться кто в этих системах оператор,кто обрабатывает по поручению оператора, может быть так что Владелец не является оператором?Пока путаница в голове... Получается нужно заключить соглашения между оператором и тем кто обрабатывает ПД о разграничении ответственности?

Автор: oko | 66104 10.10.2016 12:13
В целом, все верно. А по ФЗ 152 "Оператор" это:
"...государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными"
Прошла пара лет

Автор: Артем | 94111 01.06.2018 12:03
Добрый день.
Изучаю тему аттестации ИС. Интересует следующий вопрос: может ли у одной ИСПДн или ГИС быть несколько операторов?

Автор: Константин | 94115 01.06.2018 13:55
2 Артем

Не может..

Согласно 149-ФЗ
оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных

Просмотров темы: 5890

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*