Контакты
Подписка
МЕНЮ
Контакты
Подписка

Определение ИСПДн - Форум по вопросам информационной безопасности

Определение ИСПДн - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: feredon.anton | 72574 10.06.2017 21:53
Добрый вечер! Помогите определить, является ли MS Dynaics CRM ИСПДн. Совсем запутался. Там используются некоторые ПДн, но не обрабатыаются.

Автор: oko | 72575 10.06.2017 23:04
Обработка - это и использование в том числе. MS Dynaics CRM - это в первую очередь инструмент. А ПДн, которые маркируют "является ли система ИСПДн или нет", - это уже наполнение. Т.е. если с помощью "наполнения", обрабатываемого в этом "инструменте", возможно однозначно идентифицировать некое физ.лицо, то это уже ИСПДн...
Например, в этой CRM в качестве клиентской информации полностью указано, что главным менеджером в ООО "Рога-и-копыта" является Пупкин Иван Иванович 79го года рождения, проживающий по адресу Арзамас-16, ул. Инопланетная, д. 15, контактный телефон которого +7-999-999-99-99 - и при этом все указанные данные верны (не ложны) => эта CRM в данной конкретной организации будет де юре являться ИСПДн. Пример, конечно, грубый, но, надеюсь, понятный...

Автор: feredon.anton | 72576 10.06.2017 23:21
oko, спасибо за пример. А подскажите еще пожалуйста на счет 3 типов актуальных угроз для определения уровня защищенности. К какому типу угроз отнести данные работников и клиентов в 1С и MS Dynamics.
Не понимаю в недекларированных возможностях и т.п.

Автор: oko | 72580 11.06.2017 15:35
Заметно...
Что такое угрозы НДВ применительно к ПП 1119 никто не знает достоверно, поскольку само Правительство так ясности и не внесло, а наши основные регуляторы (ФСБ и ФСТЭК) за "грехи" Правительства не отвечают...
В целом, сложилось мнение, что НДВ в ИСПДн - это заранее неизвестное (и не описанное) поведение используемых аппаратных, программных, логических и проч. элементов ИСПДн. Возможно, внесенное умышленно (злонамеренно). Теперь думайте сами, насколько можно доверять софту от Microsoft применительно к вашей конкретной ИСПДн (не только и не столько в масштабах тотальной слежки от этой корпорации, но и в плане отказоустойчивости, например).
Суть в том, что Методика определения угроз НДВ для тех или иных ИСПДн также отсутствует (привет Правительство, ага). Следовательно, каждый владелец/оператор ИСПДн имеет право самостоятельно решить, насколько для его ИСПДн актуальны угрозы НДВ того или иного типа.
*минутка ликбеза* 1 тип - ОПО - это аппаратный состав, всяческие прошивки (BIOS в том числе), гипервизоры и операционные системы. 2 тип - ППО - это прикладной софт (MS Office, например), включая СУБД, и прошивки прикладных контроллеров. 3 тип - это отсутствие первых двух типов.
Прошло несколько месяцев

Автор: Dimon | 78256 28.09.2017 14:12
Добрый день! Не буду плодить темы, поэтому свой вопрос напишу здесь. Как лучше выделять ИСПДн? У нас есть две корпоративные системы: "1С: Предприятие" и другая система. С точки зрения ПДн, они обрабатывают данные сотрудников. "1С: Предприятие" внедряется сейчас, и позже полностью вытеснит другую систему. БД каждой системы размещается на своем сервере. Состав ПДн, объем, цели, задачи, перечень АРМ и людей совпадает. Как лучше сделать? Объединить их в одну ИСПДн "Зарплата и кадры" или разбить на две ИСПДн по названию корпоративной системы?

Автор: Практик | 78257 28.09.2017 14:35
Dimon

Чисто ИМХО:
проще сделать 2 системы, если копипастить: значительная часть совпадёт, но средства реализации защиты, расположение БД и пр. будут отличаться названиями.
То есть разработать одну, доработать её копию для второй, при выводе из эксплуатации одной из ИС честно закрыть актом ИСПДн.
Тем более, физически серверы разделены, то есть вопрос взаимозащиты минимален.

Автор: oko | 78262 28.09.2017 22:35
to Dimon
Если все совместное (люди, задачи, цели), то можно и совместить в одну, разбив на сегменты. Тогда и вывод из эксплуатации через вывод именно сегмента (бумажно сложно, но можно). И плодить лишних сущностей не придется...

Просмотров темы: 3987

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*