Автор: автор | 111009 | 27.07.2023 08:29 |
добрый день! коллеги, вопрос такой поступил: где написано, что в перечень ИСПДн мы включаем только те испдн, которые находятся на сервере нашей организации, а те что находятся на сервере другой организации, но нами используются - мы не включаем?
|
Автор: автор | 111010 | 27.07.2023 08:34 |
и вопрос вдогонку: мы передаем все перс данные из наших испдн в испдн другой организации на постоянку, собственных испдн больше у нас не будет.
перечень испдн и модели угроз наших испдн можно считать утратившими силу и по сути у нас их больше не будет? |
Автор: Константин | 111011 | 28.07.2023 10:38 |
2 автор нигде. А вы откуда данную информацию взяли?
|
Автор: Практик | 111012 | 28.07.2023 13:17 |
2 автор.
В таком случае главное - обложиться бумагами))) 1. Договор о передаче и обслуживании ваших ИСПДн с приложениями об ответственности и полномочиями по использованию, передаче третьим лицам и пр. Иначе в случае утраты или утечки можете долго доказывать, раз исходно данные собрали вы. 2. Акты и приказы о закрытии ваших ИСПДн с указанием мер по ликвидации самих ПДн на вашем оборудовании и резервных копий. 3. Приказы и инструкции лицам, работающим с "чужими" БД, это можно потребовать от их оператора, но все под росписи и по спискам. И это только самое основное)))) |
Автор: oko | 111013 | 29.07.2023 00:32 |
*в сторону*
Главное здесь понять, что: 1. ИСПДн - это не только (и не столько) софт на каком-то сервере... 2. Частью ИСПДн всегда должно считаться и клиентское рабочее место, и клиентский прикладной софт, через которые, собственно, ПДн в ИСПДн и вводятся/выводятся... 3. ИСПДн, которые разработаны и обслуживаются кем-то сторонним, или в которых "ядро и база" размещаются у кого-то другого - это зона ответственности в первую очередь кого-то другого. Но только тогда, когда эта зона ответственности, а также правила взаимодействия, меры и требования безопасности, четко распределены и декларированы. В противном случае, обвинить в утечке ПДн "оконечников" не вызывает особых проблем. А "оконечникам" доказать, что они тупо "пользователи" ИСПДн - еще сложнее... 4. Это все уже 100500 раз обсуждалось, рассматривалось и описывалось куда более подробно... |
Автор: Практик | 111017 | 01.08.2023 19:33 |
2 Око
Так если верить Автору, они закрывают и ликвидируют свои ИСПДн, и далее работают в ИСПДн смежников, которым передали. Поэтому разработка инструкций, мер защиты, требований к рабочему месту и персоналу - ЗАДАЧА НОВОГО ОПЕРАТОРА, ПРИНЯВШЕГО ИСПДн. Они теперь пользователь, максимум, субподрядчик. Но в чём не могу не согласиться, что "все сомнения толкуются в пользу обвиняемого". То есть автор должен иметь железные документы (и их исполнение), что в период работы их ИСПДн не было утечки и искажения данных, нет незаконных копий и т.д. Доказывать это на фоне обвинений в злоупотреблении будет труднее. Поскольку всем, кроме бывшего оператора, удобнее перевести стрелки. |
Автор: oko | 111018 | 02.08.2023 12:37 |
to Практик
Судя по всему, тов. автор не понимает, что такое ИСПДн и как быть в случае ее распределенности между двумя и более конторами (ядро у одних, база у других, раб.станции у третьих и т.д.)... А начать нужно с того, чтобы уточнить: кто во всей этой цепочке обеспечивает первичный сбор, кто хранение, кто уточнение и передачу и т.д. |
Автор: Практик | 111020 | 03.08.2023 14:21 |
2 Око
Согласен. Точнее, я бы сформулировал так: кто по приказам и прочим базовым документам является оператором ИСПДн, и кому и как (а это и организационные, и технические меры, и распределение зоны ответственности и полномочий) уже этот оператор делегировал права и обязанности. То есть, хозяин у ИСПДн один, а вот нюансов организации и эксплуатации очень много. В данном примере организация автора перестаёт быть оператором СИСТЕМЫ, и делянку по обслуживанию ИС им должен нарезать новый владелец системы. |
Просмотров темы: 452