Использование внешних ГИСов - Форум по вопросам информационной безопасности

Товарищи, спасибо конечно. Все же я наверное не точно вопрос сформулировал - полез в техническую часть.
Вопрос, скорее, в юридической - границы ИСПДн. Сложно определять, когда они пересекаются с другими испдн. При том все в кучу.
Например, есть деятельность органа по регистрации людей у которых, вместо головы капуста (как я). И вот они ведут себе перечень этих людей со всеми ПДнами.
Ведут с помощью средств автоматизации, и без неё. Есть БД, а есть всякого рода эксельки, где содержаться отчеты по этим людям. Отчеты сохраняются на компах.
На мой взгляд, чистая ИСПДн - цели одни, источники получения, категории лиц и данных одни.

Но у всякого госоргана есть обязанность по работе с обращения граждан (59-ФЗ) и на мой взгляд этот надо выделять в отдельную ИСПДн, потому что. запросы могут быть вообще не теме деятельности организации, а реагировать на них надо.
Проблема в том, что обращения приходят и по почте и лично и через сайт. Ответы в различных форматах разбросаны по компам пользователей.
И получается, что они по сути лежат вместе с всякого рода реестарами капустоголовых.
Как здесь можно разделить - не понятно. Это как удержать воду в решете.

Вот проблема, казалось бы.

Для next:

Как говорил Христофор Бонифатьевич Врунгель: "Как вы яхту назовёте, так она и поплывёт".
Посмотрите ещё раз определение ИСПДн. Вам всего лишь надо определиться границами ИСПДн и их количеством. По сути разграничить имеющуюся у Вас совокупность БД+ИТ+ТС. Если технологический процесс обработки ПДн одинаков, угрозы и меры защиты аналогичные, админы общие, то можно АРМы объединить в одну ИСПДн. А если на каких-то АРМах отличаются - отделить. Вплоть до того, когда каждый АРМ будет представляться отдельную ИСПДн. Дело вкусовщины. Основное отличие будет заключаться в количестве и объеме оформляемых бумажек.

Для CM:
"Как вы яхту назовёте..."
"то можно АРМы объединить в одну ИСПДн"

А как же разница в целях обработки?

Чуть выше я писал про бухгалтерию и это, к слову, очень удобный вариант определения ИСПДн, т.к. вот компы, вот люди и все. С другими данными не работают - другим сотрудникам данные не дают.

А вот остальную сеть разделить по АРМам проблематично - одни и те же сотрудники могут одновременно вести БД и тут же работать с обращением гражданина, который спросил невесть что - цели обработки, на мой взгляд разные.
Админы то одни, уровень ПДн тоже один, но тех процесс, все же маленько отличается - в одном случае есть специализированная программа, куда вносится информация, а в другом чисто работа с офисными документами, хотя и в первом случае тоже офисные доки имеют место быть (отчеты).
И хорошо, если у пользователя эти файлы лежат в разных каталогах, а то и в один все скидывают.

Классно было бы определить, что вот ты работаешь только с этими данными, а ты с этими и к друг друге не лезете, тогда и границей теле армы были, но не реально это.

Исправление последнего абзаца:
Классно было бы определить, что вот ты работаешь только с этими данными, а ты с этими и к друг другу не лезете, тогда и границей ИСПДн стали бы армы, но это проблематично организовать.

Для next:

> А как же разница в целях обработки?
Для определения границ ИСПДн они (границы) не являются определяющими признаками. Цели обработки нужны для соблюдения принципов обработки ПДн (см. ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных"). Другими словами цели обработки можно соблюдать, обрабатывая ПДн и на 1 ИСПДн и на 20 и на 100. Если, конечно, в обязательстве на обработку у Вас не прописана конкретная ИСПДн. А как вы сгруппируете средства в ИСПДн'ы - дело удобства.

CM

Понятно. Спасибо. Будем разбираться дальше.

Для next:

> Для определения границ ИСПДн они (границы) не являются определяющими признаками.
Прошу прощения за опечатку: вместо "они (границы)" надо было написать "они (цели)". Речь, конечно, шла о целях обработки, как это видно далее по тексту. Именно они не зависят на каком количестве ИСПДн они будут обеспечены и достигнуты.