Автор: Goblin | 93824 | 29.05.2018 11:18 |
Добрый день! Возник вопрос в плане оформления типовых документов в организации. Существует АС в 150 компьютеров, в основном здании находится порядка 100, остальные раскиданы в другие здания, причем некоторые территориально не очень близко. В состав сети входит 2 ИСПДн на 8 и 7 компьютерах (они в 2-х отделах) основного здания. Так вот возник вопрос, какие документы делать? Делать документы на АС (концепция, политика, РСД, акты, паспорт и инструкции) и потом делать документы на ИСПДн (модель угроз, инструкции, приказы и и.д.). В большой АС циркулирует просто служебная информация, ПД не циркулируют. Или можно как то все под одно дело подогнать чтобы не плодить по сути дублирующие документы?
|
Автор: Alex | 93847 | 29.05.2018 13:09 |
Я бы занялся в первую очередь ПДн, а затем уже "подогнал" комплект ОРД для АС. для унификации защииты применил бы те же СрЗИ, что и для ИСПДн
|
Автор: sekira | 93852 | 29.05.2018 14:15 |
"В большой АС циркулирует просто служебная информация"
Вот здесь зарыта самая большая проблема в дальнейшей деятельности... |
Автор: Goblin | 93853 | 29.05.2018 14:31 |
to sekira
"В большой АС циркулирует просто служебная информация" Вот здесь зарыта самая большая проблема в дальнейшей деятельности... А если конкретнее? |
Автор: sekira | 93855 | 29.05.2018 15:03 |
Вы в этой части не понимаете что защищать. А если не знаешь что защищать то и защитить не получится. Документация это всего лишь отражение организационных правовых и технических мер по защите информации. Это инструмент.
Защита информации это не только и иногда совсем не только защита конфиденциальной информации. Про ПДн есть требования (с вольным трактованием в пользу оператора) для "служебной информации" (если это не СИОР ДСП) требований нет вы формируете и отражаете их и их исполнение в своих документах. Форма и иерархия, решаемые документами вопросы все ваше в зависимости от многих факторов в вашей организации. Вопрос очень походит на как сделать кнопку в программе нажав которую все делается само. Так не получится, нужна серьезная последовательная работа (в ПДн тоже). Начните с того что защищать где это находится и от чего защищать (модели угроз нарушителя (рисков). |
Автор: Goblin | 93860 | 29.05.2018 19:26 |
Ну с ИСПДн я разберусь, так как по ним все ясно, что их надо защищать, от чего защищать и как защищать. А вот с большой АС не совсем понятно. И пусть документы будут формальностью, но они будут. В связи с этим всем и возник вопрос. Как подогнать документацию чтобы она хотела хотя бы была. И такой момент. Если инфа по сути общедоступная и является не ДСП, не Гос тайной и не ПД, то какой класс защищенности присваивать АС? 1Д?
|
Автор: Alex | 93883 | 30.05.2018 12:07 |
если бы под "служебной информацией" ТС подразумевал "сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании" (98-ФЗ), то 1Г
> Если инфа по сути общедоступная и является не ДСП, не Гос тайной и не ПД, то какой класс защищенности присваивать АС? а смысл? |
Автор: Goblin | 93885 | 30.05.2018 12:47 |
Т.е. если инфа общедоступная никаких документов не нужно? И классификация АС не нужна? Может я что то не правильно объяснил. Есть АС (сетка в 150 компов) в этой сетке есть 2 ИСПДн. Остальные компы взаимодействуют между собой в плане передачи информации, которая к ИСПДн не имеет отношения. Это могут быть: распоряжения, приказы, какие то документы по юридической деятельности, земельной и т.д.
|
Автор: Alex | 93892 | 30.05.2018 15:39 |
>если инфа общедоступная
наверное, стоит определится в терминах > Это могут быть: распоряжения, приказы, какие то документы по юридической деятельности, земельной и т.д. вряд ли это информация, упомянутая в пп.1, 2 ст. 7 федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации": Статья 7. Общедоступная информация 1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. 2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. ergo, если вы (как юр.лицо) приняли решение о необходимости защиты своей внутренней информации, для начала смотрим 149-ФЗ в части требований по защите информации |
Автор: Goblin | 93895 | 30.05.2018 17:10 |
Все таки тогда получается, что у нас будет "служебная информация" как писалось ранее. Значит необходимо делать АКТ и классифицировать как 1Г. Сразу тогда вопрос. Необходимо ли разделять документацию для АС общей и ИСПДн, входяище в состав, если АС будет классифицирована как 1Г?
|
Просмотров темы: 5921