ПД в ЕИС - Форум по вопросам информационной безопасности
ПД в ЕИС - Форум по вопросам информационной безопасности
| Автор: ask | 92714 | 10.05.2018 21:42 |
|
Добрый вечер! Не судите строго за вопросы, которые могут быть очень тупыми))). И так возник тут вопрос, нужно ли проводить аттестацию ИСПнД, информация в которой обрабатывается на АРМ, которые имеют доступ к ПД через веб-клиент, а вся инфа хранится на удаленных серверах. Т.е. по сути у пользователя есть только логин и пароль для входа в веб-клиент, в котором он уже совершает все действия с ПД.
|
|
| Автор: С, С | 92715 | 10.05.2018 21:49 |
|
Обязанности по аттестации ИСПДн нормативно не определено.
|
|
| Автор: oko | 92723 | 11.05.2018 01:25 |
|
to C
+1 to ask Если протекает ванна и топит соседей, то плохо закрученный кран не при чем - вода же в ванне сама по себе появляется, ага... |
|
| Автор: ask | 92726 | 11.05.2018 08:41 |
|
Да тут больше вопрос в другом. Необходимо ли проводить какие либо мероприятия по защите? У сотрудника есть только доступ через веб-клиент, все данные на удаленных серверах. Защиту данного АРМ необходимо осуществлять? Опять же необходимо ли делать АКТ классификации, модель угроз и т.д.? Или же будет достаточно ознакомить под роспись сотрудника с НПА по работе с ПД и на этом закончить?
|
|
| Автор: oko | 92727 | 11.05.2018 08:56 |
|
to ask
Пример с ванной же. Иными словами, ввод-вывод ПДн все равно осуществляется: - сотрудником, сидящим за АРМ; - программными средствами, установленными в памяти АРМ; - аппаратными средствами АРМ; - в помещении с установленным АРМ. Сиречь, АРМ - часть ИСПДн, как ни крути. Были бы данные обезличенными на этапе ввода - другой коленкор. А так, разумеется, надо защищаться. Как? Вот для начала и следует сформировать МУ (МУН), чтобы оценить и прикинуть каналы утечки, актуальные угрозы, возможные векторы атак нарушителя, исходя из структуры системы, ценности информации и масштаба трагедии, ага... |
|
| Автор: ask | 92729 | 11.05.2018 09:13 |
|
Тогда получается необходимо руководствоваться 17 приказом ФСТЭК так как система является частью ГИС\МИС? Если брать как пример систему "Единая информационная система оказания услуг", которая используется в МФЦ и Администрациях городов и округов.
|
|
| Автор: С, С | 92793 | 11.05.2018 12:39 |
|
Здесь лучше руководствоваться частью 1 статьи 19 Федерального закона от 27.07.2007 № 152-ФЗ "О персональных данных": оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обратитесь за разъяснениями к оператору ИСПДн. ответственность по этому поводу за ним. |
|
| Автор: oko | 92797 | 11.05.2018 15:44 |
|
to ask
Если ваша ИС является частью бОльшей ИС (и вас вначале вынудили к ней подключиться, а теперь задалбывают вопросами защиты), то обращайтесь к авторам/операторам бОльшей ИС. Они должны выставить требования безопасности, которые вы со своей стороны в праве либо расширить (исходя из своей специфики) и выполнять, либо просто принять за данность и выполнять... Что же касается аттестации, то, чисто формально, это головная боль той же самой бОльшей ИС. Повторюсь, ваша задача четко выполнить выставленные требования ИБ + следить за отсутствием проявления новых угроз безопасности... |
|
Просмотров темы: 1688
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"