Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Что понимать под запросами пользователей ИС на получение ПД (п.15 ПП№781)?, Что понимать под запросами пользователей ИС на получение ПД (п.15 ПП№781)?
Что понимать под запросами пользователей ИС на получение ПД (п.15 ПП№781)?
Это каждый запрос SQL в БД к ПД каждого субъекта? Или факт вывода на экран монитора/принтера ПД? Или более обобщенно - регистрация пользователя в ИС...
Как программист я понимаю это по своему. А может юрист/пользователь понимает это по-другому?
Вопрос стоит в свзяи с необходимостью настройки программы ИСПД для регистрацией этих запросов в электронном журнале обращений. (в частонсти в 1С 7.7 и 8)
Журнал регистрации должен следовать вместе с бумажными обращениями граждан, которые хотят осведомиться о наличии их ПДн в системе. Поступило обращение, допустим к кадровикам, занесли в журнал. А запросы SQL это уже технологический процесс, без которого невозможно функционирование ИСПДн.
Человечище - совсем не о том.
Гость_ISPDN, форма журнала никакими документами не установлена. Как и сроки его хранения. Но он должен быть. Всё.
Я потом уже понял, что немного не в ту тему меня понесло. Сорри!
Госкомнадзор комментирует данный вопрос так, что запрос это получение или вывод информации ПД на монитор, бумагу или другим способом. Т.е. Открыл документ с зарплатной ведомостью или распечатал,то ты сделал запрос, т.е. ты уже оператор ПД.
Все равно непонятно.
Я зашел в систему, веду поиск ПДн по каким то определенным критериям.
Делаю выборки (без экспорта из системы). Естественно, в процессе работы, вижу те или иные ПДн.
Что надо логировать?
На мой взгляд, нужно вести журнал входа-выхода в ИСПДн и факты экспорта конкретных ПДн на печать или в другую ИС (комп., внешний носитель и т.п.)
Может у кого другое мнение?
Такой электронный журнал ведут почти все СЗИ, например - Аккорд , Secret Net.
Цитата
Гость пишет:
Все равно непонятно.

Я зашел в систему, веду поиск ПДн по каким то определенным критериям.

Делаю выборки (без экспорта из системы). Естественно, в процессе работы, вижу те или иные ПДн.

Что надо логировать?

На мой взгляд, нужно вести журнал входа-выхода в ИСПДн и факты экспорта конкретных ПДн на печать или в другую ИС (комп., внешний носитель и т.п.)

Может у кого другое мнение?
Если пользователь вошел в ИСПД он автоматически становится оператором ПД. Т.к. он сформировал запрос о ПД, неважно, открыл он справочник или журнал или исчо чего.
Логированию в ИСПД подлежит от времени входа, запросы, поведение в ИСПД вплоть до времени выхода, даже такие вещи как приостановка ИСПД, Перезапуск и т.п.
Но тут надо принимать во внимание и класс ИСПД.

Вот например для класса 1

Для информационных систем 1 класса при однопользовательском режиме обработки, персональных данных применяются следующие основные методы и способы защиты информации:
б) регистрация и учет:
регистрация входа (выхода) пользователя в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная);
регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), краткое содержание документа (наименование, вид, код), спецификация устройства выдачи (логическое имя (номер) внешнего устройства);
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;
дублирующий учет защищаемых носителей информации;
очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних носителей информации;

А вот для класса 3

2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
б) регистрация и учет:
регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы;
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;

Для класса 2 все тоже самое что и для класса 3, отличие в основном только в требованиях к фаерволу.

Полную инфу смотри Приказ ФСТЭК России от 5 февраля 2010 г. № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
Изменено: Fox_JT - 17.11.2010 21:59:45
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)