Автор: next | 110575 | 07.12.2022 13:13 |
Добрый день!
Проконсультируйте, пожалуйста! Сейчас много разных федеральных гисов, представленных в виде веб-систем. Ты в них регистрируешься, и вносишь свою информацию. Поскольку это гисы то, получается, что раз ты в них зарегистрировался и пользуешься, значит рабочее место должно соответствовать 17 приказу ФСТЭК. Быть классифицировано, разработана документация, реализованы меры защиты, аттестовано соответствующим образом и т.п. 1) Все верно же излагаю? 2) Но если таких систем десяток - это что на каждую нужно свое ТЗ техпроект, модель угроз, аттестат и т.д.? 3) Можно из считать сегмент такой-то гис? 4) Отдельный вопрос про персданные - как вообще можно понять ИСПДн они или нет? 4.1) Если везде исходить, что они не ИСПДн? Заранее спасибо за ответы. |
Автор: oko | 110576 | 07.12.2022 16:39 |
п. 1 - п. 4.1, глобальный ответ "нет". Более детальный: "не всегда, в зависимости от". Еще более детальный - "подробности см. в согласованных Моделях, ТЗ и проч. документах на конкретную ГИС"...
Так-то по умолчанию сегменты ГИС тоже должны соответствовать выставленным требованиям безопасности. И аттестованы (либо раздельно, либо в рамках единого аттестата на всю ГИС - это уже детали). Ключевой вопрос: что считать сегментом ГИС? Кого считать "внешними пользователями" и, соответственно, оборудованием и средствами "внешних пользователей". А уже от этого плясать... А про ИСПДн - если есть обработка (в любой ее ипостаси) ПДн с использованием инф.технологий и ТСС (СВТ) и некоей базы данных, значит, ИСПДн. Иные толкования по согласованию с РКН, ага... |
Автор: next | 110578 | 08.12.2022 03:50 |
oko
Спасибо. "в согласованных Моделях..." "...А уже от этого плясать..." Но это недоступная информация. Как тут вообще можно правильно оценить ситуацию? "если есть обработка" Есть, конечно, очевидные системы, где ПДн прям вот имеются (например, росреестровские системы). Но многие системы, они явно (для нашего сектора, так сказать) содержат только фамилию и инициалы руководителя (нашей организации и (или) другой организации) и тогда они все испдн. Опять же спор о том вялятся ли ФИО персданными как-то еще не закрыт, кажется. А что там делается в недоступных разделах системы - вообще неизвестно. Как систему позиционирует владелец и т.д. |
Автор: nekto | 110581 | 08.12.2022 13:18 |
ФИО руководителя организации в контексте юр.лиц - это общедоступная информация, поскольку реестр общедоступный...
Данные юр.лиц - это не персональные данные... |
Автор: oko | 110582 | 08.12.2022 16:52 |
to nekto
+1 to next Так-то "Фамилия И.О." без дополнительной информации вообще != ПДн... |
Автор: next | 110671 | 16.02.2023 08:16 |
Товарищи, проконсультируйте еще пожалуйста.
Вот есть программа - назовем ее "Зарплата и Кадры". В ней содержится много разных ПДн на сотрудников организации. БД на сервере - все понятно. Бухгалтер формирует разные отчеты в ФНС, там другие фонды. Отправка их происходит через 3-й сервис. Соответственно, файлы xml выгружаются в каталоги на АРМ бухгалтера. И вроде бы они все из одной программы (из одной БД), но в среднем содержат в себе несколько отличающийся набор ПДн (где-то есть снилс и паспортные данные, а где-то инн и паспортные данные). Ну и цели - одни для такого отчета, другие для другого отчета. Получается, каждый такой каталог - это отдельная ИСПДн со всеми вытекающими последствиями? Или их можно классифицировать как 1 ИСПДн - по названию этой программы? Спасибо. |
Автор: next | 110672 | 16.02.2023 10:06 |
И сразу в дополнение вопрос.
Если посмотреть, то все эти каталоги с реестрами, выгруженными из БД программы лежат на одном компе, но одни на диске C (РС), другие на диске - D. Может быть компьютер бухгалтера, включить в состав единой ИСПДн? Ну то есть, сервер+1арм - это и есть ТС ИС. Поставить на нее СЗИ от НСД и антивирус и не парится, не плодить испдны. Тем более СЗИ там уже есть, осталось описать правильно. |
Автор: next | 110675 | 17.02.2023 06:52 |
Люди добрые, неужели никто не имеет подобной практики?
|
Автор: CM | 110679 | 17.02.2023 15:10 |
Для next:
> Получается, каждый такой каталог - это отдельная ИСПДн со всеми вытекающими последствиями? Нет. ИСПДн не может быть каталогом. Понятие ИСПДн определено в п. 10 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. В Вашем случае с каталогом, как совокупностью файлов представляющих базу данных ПДн, отсутствуют другие элементы ИСПДн (информационные технологии, обеспечивающие их обработку, и технические средства). > Или их можно классифицировать как 1 ИСПДн - по названию этой программы? Классифицировать можно. Да и к названию ИСПДн ограничений нет. > Может быть компьютер бухгалтера, включить в состав единой ИСПДн? > Ну то есть, сервер+1арм - это и есть ТС ИС. Да. Такой вариант возможен. Это вопрос определения границ ИСПДн, т.е. границ совокупности ее элементов: БД ПДн + ИТ + ТС. |
Автор: oko | 110683 | 17.02.2023 15:55 |
to next
imho, вам тоже нужно: - читать законы и подзаконные акты, первично загуглив структуры обеспечения безопасности в ИСПДн за долгие годы практики; - гуглить этот форум - 100500 раз одно и тоже обсуждается; - обратиться к лицензиату за консультацией, если Гугл не помог; - записаться на курсы общего характера по ИБ и по ИСПДн в частности, если лицензиаты говорят на другом языке. |
Просмотров темы: 1018