Контакты
Подписка
МЕНЮ
Контакты
Подписка

Определение ИСПДН и Оператора ПДн - Форум по вопросам информационной безопасности

Определение ИСПДН и Оператора ПДн - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: falata | 104117 06.11.2018 11:06
Приветствую уважаемые! Заранее прошу прощения за глупые вопросы. Допустим, в моей конторе есть следующие ИС: "1С" и "СУФД". Сервер 1С установлен в конторе. Так как ИС чисто наша, выделяю 1С в ИСПДн конторы. Контора с Казначейством обменивается информацией содержащую ПДн через "СУФД", которая является ИС Казначейства, у конторы с Казначейством заключен договор "Об обмене электронными документами", Казначейство выдвигает требования по подключению и работе с "СУФД", выдает СКЗИ для работы с "СУФД". Вопрос, нужно ли выделять подобные ИС как "СУФД", где владельцами выступают гос.органы и др.юр.лица в ИСПДн конторы? Указывать "СУФД" в перечне ИСПДн конторы и разрабатывать все необходимые документы на нее или нужно просто выполнять требования Казначейства?

Автор: Анна | 104132 06.11.2018 17:04
"СУФД" это отдельный компьютер, который стоит на балансе вашей организации?

Автор: oko | 104135 06.11.2018 19:12
to falata
<...через "СУФД", которая является ИС Казначейства...> - какие тут могут быть еще комментарии?
Если хотите "как белые люди" - запросите у Казначейства набор документов, как то: Модель угроз, Тех.проект системы защиты, выписка требований по безопасности, предъявляемых к вашей (или типовой) конторе, которая к данной ИС "СУФД" подключается. И от этого пляшите (вероятнее всего, крайне удивитесь результату, ага). А брать на себя чужое ярмо в полном, так сказать, объеме, imho, не советую. Каждый должен отвечать за то, что породил сам, а не за чужое...

Автор: falata | 104140 06.11.2018 22:33
"СУФД" это по сути web портал, подключение к нему защищается СКЗИ, также в нем осуществляется подпись документов ЭП.

Автор: falata | 104141 06.11.2018 22:44
to oko

Я тоже склонялся к этому ответу. Просто раньше контора попадала под проверку ФСБ в области защиты ПДн с использованием СКЗИ.По сути, в ИСПДн конторы СКЗИ не используется, а используется в ИС где владельцами являются гос.органы и др.юр.лица. ФСБ такое не понравилось, они считали такие ИС нашими ИСПДн.

Автор: falata | 104142 06.11.2018 23:12
to oko

Я тоже склонялся к этому ответу. Просто раньше контора попадала под проверку ФСБ в области защиты ПДн с использованием СКЗИ.По сути, в ИСПДн конторы СКЗИ не используется, а используется в ИС где владельцами являются гос.органы и др.юр.лица. ФСБ такое не понравилось, они считали такие ИС нашими ИСПДн.

Автор: oko | 104144 06.11.2018 23:44
to falata
Нравится им или нет, не суть важно. Ваша задача (если по линии ФСБ) - организовать хранение, учет, выдачу и правильную эксплуатацию СКЗИ в соответствии с 152-Инструкцией (в организационной части) и формуляром на СКЗИ (в технической части). +, если имеются доп.требования со стороны владельца ИС, выполнить и их. И жить спокойно. Но только в том случае, если есть хоть какое-то основание для эксплуатации "сегмента" чужой ИС у вас (распоряжение, договор и т.п.), где явно указано, кто владелец, а кто эксплуатант *зачеркнуто* на птичьих правах */зачеркнуто*. Ежели такого нет - поздравляю, вас поимели (юридическим языком звучит иначе, но мне, честно признаться, лень). И будут, соответственно, продолжать иметь все уполномоченные (и не очень) наши контролирующие органы, ага...

Просмотров темы: 1296

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*