Контакты
Подписка
МЕНЮ
Контакты
Подписка

Правильный подход к построению модели угроз - Форум по вопросам информационной безопасности

Правильный подход к построению модели угроз - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 >

Автор: oko | 107233 18.09.2019 17:16
to WORM
Вряд ли противоречит. Есть в 152-ФЗ ст. 4 п. 3, который как раз "уточняется" 687-ПП. Хреново, правда, но уточняется...

Автор: oko | 107234 18.09.2019 17:17
to WORM
(...продолжение из-за мисклика...)
А "понимание" законов со стороны РКН, ФСТЭК и других регуляторов, по-хорошему, их проблема. С другой стороны, они могут устроить "проблемы" оконечным эксплуатантам (владельцам, операторам). Так и живем, ага...

Автор: WORM, MK | 107235 18.09.2019 21:00
to oko

Документ Word, содержащий ПДн, - это автоматизированная обработка или неавтоматизированная?

А по поводу регуляторов, как раз-таки их произвольные трактовки наших резиновых законов создают проблемы владельцам-операторам. Так и живем, да.

Автор: Alex | 107237 19.09.2019 10:17
кесарю - слесарево (с)

не забываем, что проверяет РКН, что ФОИВ и кто и кого привлекают в каких случаях и для чего. РКН проверяет "бумажное" соответствие и наличие МУ и МУ ему не "по зубам"

Автор: xel | 107239 19.09.2019 11:27
Спасибо, коллеги за советы! Склоняюсь подойти к построению одной модели угроз ИСПДн для всех структурных подразделений, а внутри этой модели угроз можно расписать отдельные ИСПДн, например 1С бухгалтерии,кадровую ИСПДн и др?
Для понимания поправьте, раньше считал неавтоматизированной обработкой, обработку ПДн только на бумаге (ведение журнала, прием и отправка документов, в том числе почтовой корреспонденции, ведение карточек Т2, трудовых книжек, копирование ПДн без применения СВТ и т.д.).
В каких случаях при помощи ПК может проходить неавтоматизированная обработка, наверное только если ПДн набираются в WORD но не хранятся во внутренней памяти и сразу распечатываются? А если данные с журналов, трудовых книжек, карточек Т2, писем – обращений граждан вносятся в ИСПДн, то получается обработка ведется как в неавтоматизированном виде, так и в автоматизированном? И всех этих сотрудников нужно уведомлять, что они ведут неавтоматизированную обработку ПДн…….

Автор: Практик | 107241 19.09.2019 12:37
2 xel

Я встречал толкование и понимание, что неавтоматизированной можно считать если АС не может вносить (изменять, выгружать данные) произвольно, то есть производить выгрузки, выборки и пр. по внешнему или встроенному алгоритму.
В таком случае отсекаются "пишущие машинки с жестким диском", каковыми обычно и являются источники документов в Word и Excel
Но даже это толкование достаточно "резиновое", в том же Excel фильтрами и пр. можно очень много делать. А, главное, это было понимание конкретной "группы проверяющих", без доведенного до нас первоисточника (хотя бы методички).
Поэтому желательно встретиться с вашим местным РКН за чашкой кофе и спросить, какими методическими документами они руководствуются, чтобы при смене проверяющего не получить букет нарушений.

Автор: oko | 107242 19.09.2019 13:19
to WORM
Смотрите, какая выходит штука:
- ФЗ-152: "...автоматизированная обработка ПДн - обработка ПДн с помощью СВТ...";
- но ПП-687 уточняет: "...обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн либо были извлечены из нее...";
- и дополнительно ПП-687 уточняет: "...обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается неавтоматизированной, если такие действия ... осуществляются при непосредственном участии человека ..."
- и такое уточнение допустимо, потому что ст. 4 п. 3 ФЗ-152 (тот же Консультант сразу ведет на ПП-687): "...особенности обработки ПДн, осуществляемой без использования средств автоматизации, могут быть установлены ФЗ и иными нормативными правовыми актами Российской Федерации..."

При этом +1 к тов. Практику на тему фильтров, макросов и проч.

Поэтому, imho, обработка ПДн на ПЭВМ может считаться неавтоматизированной, если:
- ПДн "набираются" в Word без использования макросов автоматизации (читай, "ручные ввод/модификация данных");
- ПДн "хранятся" на отдельном МНИ (например, отдельный ЖМД или flash);
- ПДн никуда не передаются по каналам связи (потому что такой процесс уже явно идет без "участия человека");
- ПДн удаляются банальным стиранием памяти или уничтожением МНИ под полным контролем человека;
- ПДн выдаются в "твердую копию" на штатном печатающем устройстве, локально подключенном к ПЭВМ, в присутствии человека.

Злым языкам, желающим возразить, что "каждый клик в ОС или текстовом редакторе - это уже автоматизация, потому что в недрах ПЭВМ происходит множество неподконтрольных человеку-оператору процессов" рекомендую ответить на вопрос: "формирование снежного кома из одного снежка, запущенного вниз с горы - это автоматизированный процесс или ручной?"...

В качестве места хранения ПДн при неавтоматизированной обработке, если в ПЭВМ используется 1 ЖМД, можно привлечь понятие "специальный раздел" из п.4 ПП-687, но, imho, под такую формулировку лучше всего подходит только выделенная область файловой системы ЖМД с применением криптографической защиты, что, понятное дело, внесет еще больше путаницы и сложностей (хотя бы по линии ФСБ, ага)...

Но! НО! Любое использованием СВТ (ПЭВМ) и, особенно, СВТ, подключенных (для удобства оператора) к каким-либо ИТКС (особенно, Интернет) - влечет за собой расширение спектра потенциальных УБИ, не характерных для "бумажного делопроизводства с/без применением печатных машинок". Сиречь, актуализация УБИ все равно нужна, и никуда от этого не деться. Сиречь, проще не выделываться, а при любом раскладе сформировать ЧМУ, рассмотреть актуальные УБИ / каналы атак нарушителя и принять ряд технических и организационных мер по защите. Ориентируясь при этом на существующие НМД ФСТЭК и ФСБ России, которые, как ни странно, актуальны именно для "автоматизированной обработки"...

Вывод: обработку ПДн на СВТ="печатная машинка с Word" проще и выгоднее в средне/долгосрочной перспективе признать "автоматизированной", чтобы руки лиц, ответственных за обеспечение безопасности ПДн в организации, были развязаны, а принятые меры не противоречили существующей базе НМД регуляторов, ага...

Автор: WORM, MK | 107243 19.09.2019 14:26
to xel
На мой взгляд, все верно. Даже на КИИ допускается делать одну МУ на несколько объектов (со слов ФСТЭК)

to oko
Насчет "дополняет". ППр-687 вышло в 2008 г, а определение автоматизир. обработки в законе появилось в 2011 (при внесении изменений), и с этого момента возникло противоречие в определениях. Не дополняет, а противоречит. Поэтому исходят из закона. Тем более, что ряд требований ППр-687 не выполнимы в принципе.

Практика показывает, что Ваши рассуждения слишком сложны для РКН. Увидев компьютер или другое СВТ, они просто говорят: у вас автоматизированная обработка, и само СВТ есть ИСПДн. Есть СВТ = есть автоматизированная обработка. Точка. Переубедить их Вам вряд ли удастся.

Автор: xel | 107244 19.09.2019 15:13
to oko,WORM, Практик, всем кто делится опытом на этом форуме.

Спасибо огромное за потраченное время, очень многое стало понятно!
Но пробелы в знаниях еще имеются)))
Как быть в случае случае если до определенного момента идет обработка ПДн без использования средств автоматизации (допустим сотрудник получил письмо - обращение гражданина), потом занес письмо в ИСПДн, мы признаем такую обработку смешанной и все равно уведомляем сотрудника, что он ведет обработку ПДн без использования средств автоматизации? И имеет значение ПДн общедоступные или нет?

Автор: WORM, MK | 107245 19.09.2019 15:40
Да, все равно нужно уведомлять ( точнее, ознакомить).
Общедоступные или нет - без разницы.

Страницы: < 1 2 3 >

Просмотров темы: 1006

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*