Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Касперский перенесет данные пользователей в Швейцарию

15/05/2018

«Лаборатория Касперского» перенесет в Швейцарию хранение и обработку данных пользователей из Европы и еще пяти регионов мира. Об этом сообщается в пресс-релизе,опубликованном на сайте российской антивирусной компании во вторник, 15 мая.

Реклама

Партнеры

Лаборатория кибербезопасности



Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Что понимать под запросами пользователей ИС на получение ПД (п.15 ПП№781)?, Что понимать под запросами пользователей ИС на получение ПД (п.15 ПП№781)?
Что понимать под запросами пользователей ИС на получение ПД (п.15 ПП№781)?
Это каждый запрос SQL в БД к ПД каждого субъекта? Или факт вывода на экран монитора/принтера ПД? Или более обобщенно - регистрация пользователя в ИС...
Как программист я понимаю это по своему. А может юрист/пользователь понимает это по-другому?
Вопрос стоит в свзяи с необходимостью настройки программы ИСПД для регистрацией этих запросов в электронном журнале обращений. (в частонсти в 1С 7.7 и 8)
Журнал регистрации должен следовать вместе с бумажными обращениями граждан, которые хотят осведомиться о наличии их ПДн в системе. Поступило обращение, допустим к кадровикам, занесли в журнал. А запросы SQL это уже технологический процесс, без которого невозможно функционирование ИСПДн.
Человечище - совсем не о том.
Гость_ISPDN, форма журнала никакими документами не установлена. Как и сроки его хранения. Но он должен быть. Всё.
Я потом уже понял, что немного не в ту тему меня понесло. Сорри!
Госкомнадзор комментирует данный вопрос так, что запрос это получение или вывод информации ПД на монитор, бумагу или другим способом. Т.е. Открыл документ с зарплатной ведомостью или распечатал,то ты сделал запрос, т.е. ты уже оператор ПД.
Все равно непонятно.
Я зашел в систему, веду поиск ПДн по каким то определенным критериям.
Делаю выборки (без экспорта из системы). Естественно, в процессе работы, вижу те или иные ПДн.
Что надо логировать?
На мой взгляд, нужно вести журнал входа-выхода в ИСПДн и факты экспорта конкретных ПДн на печать или в другую ИС (комп., внешний носитель и т.п.)
Может у кого другое мнение?
Такой электронный журнал ведут почти все СЗИ, например - Аккорд , Secret Net.
Цитата
Гость пишет:
Все равно непонятно.

Я зашел в систему, веду поиск ПДн по каким то определенным критериям.

Делаю выборки (без экспорта из системы). Естественно, в процессе работы, вижу те или иные ПДн.

Что надо логировать?

На мой взгляд, нужно вести журнал входа-выхода в ИСПДн и факты экспорта конкретных ПДн на печать или в другую ИС (комп., внешний носитель и т.п.)

Может у кого другое мнение?
Если пользователь вошел в ИСПД он автоматически становится оператором ПД. Т.к. он сформировал запрос о ПД, неважно, открыл он справочник или журнал или исчо чего.
Логированию в ИСПД подлежит от времени входа, запросы, поведение в ИСПД вплоть до времени выхода, даже такие вещи как приостановка ИСПД, Перезапуск и т.п.
Но тут надо принимать во внимание и класс ИСПД.

Вот например для класса 1

Для информационных систем 1 класса при однопользовательском режиме обработки, персональных данных применяются следующие основные методы и способы защиты информации:
б) регистрация и учет:
регистрация входа (выхода) пользователя в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная);
регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), краткое содержание документа (наименование, вид, код), спецификация устройства выдачи (логическое имя (номер) внешнего устройства);
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;
дублирующий учет защищаемых носителей информации;
очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних носителей информации;

А вот для класса 3

2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
б) регистрация и учет:
регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы;
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;

Для класса 2 все тоже самое что и для класса 3, отличие в основном только в требованиях к фаерволу.

Полную инфу смотри Приказ ФСТЭК России от 5 февраля 2010 г. № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
Изменено: Fox_JT - 17.11.2010 21:59:45
Страницы: 1
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку