Контакты
Подписка
МЕНЮ
Контакты
Подписка

Просьба помочь разобраться с классификацией ИСПДН и частной моделью угроз - Форум по вопросам информационной безопасности

Просьба помочь разобраться с классификацией ИСПДН и частной моделью угроз - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Igor_Iw | 109147 05.04.2021 14:38
Выпала мне честь разработать данные документы, теперь у меня возникли вопросы:
1. Есть сервер на котором расположены ИСПДН Парус(Зарплата, кадры) и 1с Предприятие(Для учета материальных запасов и материальной ответственности)
Могу ли я считать этот сервер 1 целой ИСПДН и записать его допустим ИСПДН (Сотрудники) или нужно отдельно классифицировать Парус и 1с.
2. Есть медицинская информационная система, сервер которой расположен в министерстве, подключение происходит с помощью vipner coordinator. Мне необходимо классифицировать только ее или каждый АРМ подключенный к МИС считать отдельной ИСПДН и классификацию делать соответственно отдельно?
3. Есть АРМ в котором ведется обработка ПДн в нескольких ИСПДН. Можно ли этот АРМ считать одной ИСПДН или необходимо проводить классификацию каждой ИСПДн установленной на нем.

4. Частную модель угроз необходимо делать на каждую ИСПДн или можно объединить и сделать две, одну для ИСПДн с пациентами, другую для ИСПДн с сотрудниками.

Надеюсь понятно передал смысл той "каши" которая у меня сейчас в голове)

Автор: VM | 109148 05.04.2021 15:34
Модель угроз всё равно без согласования в дело не запускается, насколько я помню. Поэтому возможно, что какие-то пункты всё равно будут скорректированы.
1. Технически, вам никто не запретит. Но с точки зрения количества записей о субъектах дешевле считать двумя мелкими системами (УЗ может быть ниже, и требования соотв.). Потому что 1 СВТ может поддерживать несколько ИС. И менять конфигурацию системы (выводить из эксплуатации, например) можно будет, не затрагивая то, что остаётся неизменным.
Минус - в два раза больше бумаг.
по 2 - у вас скорее всего абонентский пункт ГИСа, связывайтесь с его техподдержкой. Требования к защите на абонентской стороне их рук дело (по идее. по крайней мере в Минобрнауки было так с ФИС ЕГЭ и приёма в ВУЗы).
3. см. пункт 1. так "дешевле", хоть и бумаги больше.
4. частную модель по идее делают на каждую ИСПДн.
Но! у вас в Минздраве вроде бы была какая-то ведомственная бумага про ИСПДн, описывающая типовые модели (считайте, полработы). Узнайте, может эта славная традиция продолжилась?

Особенно мне из ваших старых типовых моделей запомнился изящный ход про возможность не защищаться от утечек по техническим каналам ввиду большого количества техники, создающей ПЭМИН. До сих пор не могу понять, как ФСТЭК это согласовал.

Автор: Igor_Iw | 109149 05.04.2021 17:50
У нас несколько филиалов, допустим на филиале А у нас стоит АРМ в котором используется ИСПДн для создание бланков смертности и родовых сертификатов.

На филиале Б у нас стоит АРМ в котором используется точно такой-же набор.

А на филиале В у нас допустим стоит АРМ в котором стоят ИСПДн родовые сертификаты и выдача больничных листов.

Как лучше тут поступить, сделать акт конкретно на каждый АРМ? Или сделать 3 акта на каждую ИСПДн:
1. Акт классификации родовых сертификатов, 3 ур. защищенности и т.д.
2. Акт классификации смертности, 3 ур. защищенности и т.д.
3. Акт классификации больничных листов, 3 ур. защищенности и т.д.
И еще тогда вопрос, если у нас несколько филиалов, то и актов соответственно должно быть равноценно кол-ву этих филиалов или можно просто в акте написать адреса где расположены данные ИСПДн?

Если можно каждый филиал записать в 1 акт, и не расписывать каждый АРМ, то бумаги кстати выходит намного меньше)

Автор: VM | 109157 07.04.2021 06:53
Акт классификации должен составляться не на АРМ, а на ИСПДн.
Опять же, что понимать под "АРМ". Автоматизированное рабочее место, не подключенное к сетям? Или подключенное? Если оно работает с какой-то централизованной системой, это получается случай распределенной ИСПДн.

И тут мы кстати упираемся в юридический статус филиала. Если это филиал в традиционном смысле слова, то есть просто ваше обособленное структурное подразделение, то всё просто, и эти системы можно провести как распределённые ИСПДн. Если это самостоятельное какое-то юрлицо, тут уже случай привлечения третьего лица для обработки персональных данных (и в этом случае в филиале назначается сувой ответственный и классифицируются свои ИСПДн, по крайней мере это мне видится решением в данном случае).

Автор: Igor_Iw | 109165 08.04.2021 07:17
Филиалы привычные, не отдельные юр. лица.
Все АРМ подключены к сети.

Просмотров темы: 193

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*