Автор: next | 110690 | 20.02.2023 10:28 |
Товарищи, спасибо конечно. Все же я наверное не точно вопрос сформулировал - полез в техническую часть.
Вопрос, скорее, в юридической - границы ИСПДн. Сложно определять, когда они пересекаются с другими испдн. При том все в кучу. Например, есть деятельность органа по регистрации людей у которых, вместо головы капуста (как я). И вот они ведут себе перечень этих людей со всеми ПДнами. Ведут с помощью средств автоматизации, и без неё. Есть БД, а есть всякого рода эксельки, где содержаться отчеты по этим людям. Отчеты сохраняются на компах. На мой взгляд, чистая ИСПДн - цели одни, источники получения, категории лиц и данных одни. Но у всякого госоргана есть обязанность по работе с обращения граждан (59-ФЗ) и на мой взгляд этот надо выделять в отдельную ИСПДн, потому что. запросы могут быть вообще не теме деятельности организации, а реагировать на них надо. Проблема в том, что обращения приходят и по почте и лично и через сайт. Ответы в различных форматах разбросаны по компам пользователей. И получается, что они по сути лежат вместе с всякого рода реестарами капустоголовых. Как здесь можно разделить - не понятно. Это как удержать воду в решете. Вот проблема, казалось бы. |
Автор: CM | 110692 | 20.02.2023 14:21 |
Для next:
Как говорил Христофор Бонифатьевич Врунгель: "Как вы яхту назовёте, так она и поплывёт". Посмотрите ещё раз определение ИСПДн. Вам всего лишь надо определиться границами ИСПДн и их количеством. По сути разграничить имеющуюся у Вас совокупность БД+ИТ+ТС. Если технологический процесс обработки ПДн одинаков, угрозы и меры защиты аналогичные, админы общие, то можно АРМы объединить в одну ИСПДн. А если на каких-то АРМах отличаются - отделить. Вплоть до того, когда каждый АРМ будет представляться отдельную ИСПДн. Дело вкусовщины. Основное отличие будет заключаться в количестве и объеме оформляемых бумажек. |
Автор: next | 110693 | 20.02.2023 15:08 |
Для CM:
"Как вы яхту назовёте..." "то можно АРМы объединить в одну ИСПДн" А как же разница в целях обработки? Чуть выше я писал про бухгалтерию и это, к слову, очень удобный вариант определения ИСПДн, т.к. вот компы, вот люди и все. С другими данными не работают - другим сотрудникам данные не дают. А вот остальную сеть разделить по АРМам проблематично - одни и те же сотрудники могут одновременно вести БД и тут же работать с обращением гражданина, который спросил невесть что - цели обработки, на мой взгляд разные. Админы то одни, уровень ПДн тоже один, но тех процесс, все же маленько отличается - в одном случае есть специализированная программа, куда вносится информация, а в другом чисто работа с офисными документами, хотя и в первом случае тоже офисные доки имеют место быть (отчеты). И хорошо, если у пользователя эти файлы лежат в разных каталогах, а то и в один все скидывают. Классно было бы определить, что вот ты работаешь только с этими данными, а ты с этими и к друг друге не лезете, тогда и границей теле армы были, но не реально это. |
Автор: next | 110694 | 20.02.2023 15:15 |
Исправление последнего абзаца:
Классно было бы определить, что вот ты работаешь только с этими данными, а ты с этими и к друг другу не лезете, тогда и границей ИСПДн стали бы армы, но это проблематично организовать. |
Автор: CM | 110695 | 20.02.2023 15:29 |
Для next:
> А как же разница в целях обработки? Для определения границ ИСПДн они (границы) не являются определяющими признаками. Цели обработки нужны для соблюдения принципов обработки ПДн (см. ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных"). Другими словами цели обработки можно соблюдать, обрабатывая ПДн и на 1 ИСПДн и на 20 и на 100. Если, конечно, в обязательстве на обработку у Вас не прописана конкретная ИСПДн. А как вы сгруппируете средства в ИСПДн'ы - дело удобства. |
Автор: next | 110696 | 21.02.2023 05:00 |
CM
Понятно. Спасибо. Будем разбираться дальше. |
Автор: CM | 110697 | 21.02.2023 07:42 |
Для next:
> Для определения границ ИСПДн они (границы) не являются определяющими признаками. Прошу прощения за опечатку: вместо "они (границы)" надо было написать "они (цели)". Речь, конечно, шла о целях обработки, как это видно далее по тексту. Именно они не зависят на каком количестве ИСПДн они будут обеспечены и достигнуты. |
Просмотров темы: 438