Контакты
Подписка
МЕНЮ
Контакты
Подписка

ПДн в БОСС-Кадровик - Форум по вопросам информационной безопасности

ПДн в БОСС-Кадровик - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: SIG | 107989 18.03.2020 17:24
Коллеги, доброго времени суток.
На предприятии эксплуатируется система управления SAP ERP (ИСПДн).
Пользвателю могут быть присвоены различные роли с определенными правами доступа.
Вопрос: Если пользователю присвоены роли, где не предусмотрена обработка персональных данных можно ли исключить пользователя из ИСПДн????

Автор: SIG | 107999 19.03.2020 08:53
При наличии единой БД вне зависимости от ролей пользователя считаем всех пользователей допущенных к обработке ИСПДн?

Автор: практик | 108000 19.03.2020 10:00
Нет. Это для ИСПДн будут внешние пользователи (фактически, другой подсистемы этого же ПО), И требуется указать, какие меры разграничения доступа предприняты. ИС может иметь данные не только ПДн. Если вам так удобнее, можно считать их пользователями с доступом к ПДн равном нулю))) Но это чисто формальный приём.

Автор: SIG | 108002 19.03.2020 10:47
Была такая идея, но если разграничение полномочий пользвателей осуществляется сертифицированными СЗИ от НСД, то можем ли мы считать средства разграничения доступа системы (SAP ERP) достаточными в части безопасности информации для регулятора?

Автор: nekto | 108008 19.03.2020 11:32
"...можем ли мы считать средства разграничения доступа системы (SAP ERP) достаточными...?"

Все зависит от того, какими требованиями вы руководствуетесь, например если требуется применять сертифицированные СЗИ, а на SAP ERP сертификата нет, то нет...

Автор: SIG | 108010 19.03.2020 13:07
Спасибо)
В итоге ИСПДн разделить на обрабатывающих и необрабатывающих ПДн не можем. Формально обрабатывают все, кто работает в системе

Автор: oko | 108018 20.03.2020 11:41
*в сторону*
Который раз читаю название темы вместо "Босс-кадровик" как "Босс-массовик". Затейливо, ага...
to SIG
Для таких вещей существуют "внешние пользователи" (+1 к тов. Практик) и Матрица доступа, в которой права явно указываются (можно по уч.записям/ролям/группам - как удобнее)...
И при всем формализме рекомендую в отдельном документе явно прописать сотрудников, допущенных до обработки ПДн, ознакомив их под роспись со всей внутренней макулатурой по этой части. Во избежание, ага...

Просмотров темы: 148

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*