Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 5 ... 12 След.
Ответить
RSS
Active directory & Почта, Считать ли их ИСПДн?
Давно меня мучает вопрос, считать ли AD и почту ИСПДнами.
Циркулируют там ФИО, должности и служебные телефоны.
Цитата
Максим Репин пишет:
Давно меня мучает вопрос, считать ли AD и почту ИСПДнами.
Циркулируют там ФИО, должности и служебные телефоны.
Думаю да, ИСПДн будет. По крайней мере банкиры на конференции поднимали этот вопрос и говорили, что это ИСПДн.
Тогда просто абсурд получается, ИСПДн содержит вообще все компы организации.
Цитата
Максим Репин пишет:
Тогда просто абсурд получается, ИСПДн содержит вообще все компы организации.
ФИО, должность, тел. - ПДн? Тогда получается, что то где они обрабатываются - ИСПДн. Вроде все логично
Дмитрий
А есть идеи как это все защищать?
Я например собираюсь на такие вот вещи брать согласие на общедоступность ПДн.
К тому же, в почте например, сотрудники сами размещают информацию о себе.
Думаю так и надо.
Цитата
Дмитрий пишет:
ФИО, должность, тел. - ПДн?
Как можно идентифицировать субъекта ПДн на основании этой информации (телефон, надеюсь, служебный)? Давайте не доходить до абсурда. Дворник Иванов Иван Иванович, тел. ххххххх и менеджер Петров Петр Петрович, тел. хххххххх. Ну и что? А где обработка? Идентификация возможна только внутри организации! Так мы и визитки будем в сейфе хранить и выдавать после подписания соглашения о неразглашении ПДн.
Сергей С.
Я согласен, что это абсурд, но формально происходит хранение, уточнение, изменение ПДн.
Цитата
Сергей С. пишет:



Цитата


Дмитрий пишет:
ФИО, должность, тел. - ПДн?
Как можно идентифицировать субъекта ПДн на основании этой информации (телефон, надеюсь, служебный)? Давайте не доходить до абсурда. Дворник Иванов Иван Иванович, тел. ххххххх и менеджер Петров Петр Петрович, тел. хххххххх. Ну и что? А где обработка? Идентификация возможна только внутри организации! Так мы и визитки будем в сейфе хранить и выдавать после подписания соглашения о неразглашении ПДн.
А при чем здесь однозначная идентификация? :?: Кто про нее говорит? Я не говорю и Максим тоже. Читаем приказ 55/86/20 - категория 4 - обезличенные и (или) общедоступные ПЕРСОНАЛЬНЫЕ ДАННЫЕ.
Максим Репин,
Речь о том, что это НЕ ПДн, а АД и почта - не ИСПДн, цель этих ИС (да и ИС ли это вообще) - не обработка ПДн, и то, что в них присутствует ФИО таковыми их не делает
Цитата
Сергей С. пишет:
Максим Репин,
Речь о том, что это НЕ ПДн , а АД и почта - не ИСПДн, цель этих ИС (да и ИС ли это вообще) - не обработка ПДн, и то, что в них присутствует ФИО таковыми их не делает
в 152-ФЗ написано:
информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств
В этом определении нет указания на то для каких целей ПДн находятся в системе. Кстати там и про средства автоматизации написано тоже. :)
Изменено: Дмитрий - 03.02.2011 11:21:53
Сергей С.
Я тоже не согласен с вами. Таким образом можно вообще левую ИС состряпать, туда засунуть все ПДн и заявлять, что ИС вообще не для обработки предназначена.
ИМХО можно обозвать это все 4м классом и на этом вопрос закрыть.
Цитата
Максим Репин пишет:
ИМХО можно обозвать это все 4м классом и на этом вопрос закрыть.
Совершенно согласен
Максим Репин,
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
Пусть АД и почта ИС, но ИС нельзя относить к ИСПДн, только на том основании, что в ней содержатся ПДн, к тому же это фактически только ФИО. И эти данные не ИСПОЛЬЗУЮТСЯ: "5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;"
Цитата
Сергей С. пишет:
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц
Очень широкое опреденение которое можно читать, например, так:
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц
или так:
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц
или даже так:
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц :D
Дмитрий
Самое противное, что подобными склонениями может заниматься кто угодно, в том числе и регуляторы.
Дмитрий,
Признаюсь честно, 152 ФЗ писал не я.
Цитата
Сергей С. пишет:
Дмитрий,
Признаюсь честно, 152 ФЗ писал не я.
Я против вас ничего и не имею. :)
Для Банков тут вообще всё просто - "Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн". Даже голову ломать не надо.
Страницы: 1 2 3 4 5 ... 12 След.
Ответить
Читают тему (гостей: 6, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку