Контакты
Подписка
МЕНЮ
Контакты
Подписка

Посторонние сотрудники в организации. - Форум по вопросам информационной безопасности

Посторонние сотрудники в организации. - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: oko | 107109 28.08.2019 11:07
to Ikebot
У Бизнеса нет ГТ, но конфи порой защищается не хуже, потому как риски ведут к потери денег и статуса. Принцип стар как мир - соглашение с нужным лицом, в котором явно указаны и границы ознакомления, и порядок доступа, и правила взаимодействия, и, главное, размеры ответственности. Все это либо в трудовой договор, либо отдельным заверенным документом. Сложность только в статичности такого соглашения - если условия работы будут меняться (читай, нужно ознакомить работника с новыми сведениями, не подпадающими под соглашение), то либо переделывать соглашение, либо изначально прописывать его связь с другими, более "динамичными" документами (например, должностная инструкция и т.п.).
Дальше важен не только факт ознакомления и утверждения соглашения, но и контроль его соблюдения. Спектр действий опять-таки разнообразен: от организационного контроля "доверенным лицом", до тех.мероприятий (DLP, жесткое разделение контуров, фиксация действий в помещениях и т.п.). Главное,уведомить работника обо всех данных мерах, иначе может выйти конфуз, ага...
Короче, тема непростая и зачастую индивидуальная. Нужно четко понимать границы и необходимость допуска к тем или иным сведениям. Составить непротиворечивую политику безопасности и заставить ее соблюдать неукоснительно. Прописные истины, да, но дьявол как всегда в деталях...
С ГТ лучше к своим режимщикам обратитесь. Если не помогут - к куратору....

imho, форум вам не поможет в этом вопросе - нужно слишком многое обсудить и посмотреть на месте, так сказать. Направление известно, план-порядок накидать можно, но детали... Тут либо самому во все вникать и разбирать до косточек (вам куда проще, чем форумчанам, зашедшим язык почесать, ага), либо нанимать контору для составления орг-реж базы и ее обязательного согласования с вашими отделом кадров и юр.службой. Обязательно, потому что об этом часто забывают, и в итоге все разработанные, четкие, грамотные инфобезные регламенты-инструкции разваливаются на кусочки при попытке их внедрения, ага...

Автор: Alex | 107110 28.08.2019 11:21
Ikebot >систему документооборота, в которой, в том числе, регистрируется ДСП

вы нарушаете требования пп 1233

Ikebot >велено девочку делопроизводителя, которая вводит эти документы...перевести в подвед

тт. tarakan и практик уже ответили. кроме того, я в подобной ситуации выбил командировку и поехал к аутсорсеру с проверкой условий обработки передаваемой информации с составлением акта соответствия

Автор: Ikebot | 107111 28.08.2019 11:44
to Alex, пп1233 к нам не относится по п.1.1 данного документа, но, даже если бы и относилось, то в СЭД вносятся только реквизиты подобных документов без скан-образов, но в тот момент когда в систему вносится подобный документ, то он фактически находится в руках у делопроизводителя, которого велено перевести в подвед... вот в этом суть моего вопроса. Конфиденциальный документ относящийся к деятельности одной организации держит в руках сотрудник другой организации, хоть и подведомственной.

Автор: Ikebot | 107112 28.08.2019 11:59
to oko, а такое соглашение должно быть между кем и кем… между основной организацией и подведом? Основная организация не может заключить трудовой договор с работником другой организации… стало быть соглашение между основной и подведом, а подвед уже включает данные пункты в трудовой договор со своим сотрудником. А у вас случаем нет текстов подобных соглашений в той части, где прописываются нужные нам вещи… чтобы велосипед не изобретать? Был бы чрезвычайно признателен!
А вот с технической точки зрения получается вообще абзац, когда в аттестованной ИСПДн или ГИС появятся сотрудники другой организации. По техпроцессу какое-либо разграничение прав там в принципе невозможно.

Автор: oko | 107129 29.08.2019 22:27
to Ikebot
Имеющиеся примеры соглашений подкинуть не смогу - боюсь, что они вас только запутают. Но смысл вы уловили верно: "голова" определяет, что можно, что нельзя и в каком количестве, а подвед транслирует это в приложение к трудовому договору со своим работником. Главное не забыть указать "временный" и "индивидуальный" характер для каждого подобного дела. Иначе подвед может начать тиражировать полученные инструкции на каждый случай, не особенно вникая и контролируя процесс, ага...
С технической точки зрения проблема есть, но решаемая. Считайте каждого пользователя ИС, не входящего в состав сотрудников "головы" (читай, работников подведа) "внутренними нарушителями". Разграничение доступа возможно настроить в любой системе - вопрос лишь в уровне. Утрируя, на уровне ОС разграничено, на уровне СУБД все равны (насколько понимаю, у вас как раз такой случай - в используемом специальном ПО обработки защищаемой информации функции разграничения не предусмотрены?). Эффективность такого подхода низкая, но лучше иметь хоть какой-то контур безопасности, чем полностью проходной двор. И сосредоточиться тогда надо в первую очередь на выявлении фактов доступа к явно "ненужным" указанным сотрудникам данным. А для этого вначале следует четко понять, к чему работники подведа должны быть допущены, запретив доступ ко всему остальному по умолчанию. Хоть технически, хоть организационно и юридически...

Страницы: < 1 2

Просмотров темы: 887

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*