Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Обучение

Бесплатный вебинар по применению комплексного средства защищенности «Сканер-ВС»
21 февраля 2018 года

036.2. Внедрение системы управления информационной безопасностью
27 - 28 февраля 2018 года

Бесплатный вебинар «SIEM-система КОМРАД. Часть 1 – сбор событий безопасности»
28 февраля 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013
01 - 02 марта 2018 года

037. Криптографические и технические методы защиты информации
12 - 23 марта 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа
19 - 23 марта 2018 года

009. Администрирование АПКШ «Континент» Версия 3.7. Базовый курс
19 - 21 марта 2018 года

011. Администрирование АПКШ «Континент» Версия 3.7. Расширенный курс
22 - 23 марта 2018 года

015.1. Основы работы в операционной системе Astra Linux
26 - 27 марта 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition
28 - 30 марта 2018 года

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс
02 - 03 апреля 2018 года

015.4. Системное администрирование Astra Linux Special Edition (2 часть)
04 - 06 апреля 2018 года

Реклама

Партнеры

Лаборатория кибербезопасности



Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Документы ПУ5, Сбис++ и т.д., Документы ПУ5, Сбис++ и т.д. считать ли их ИСПДн?
Здравствуйте, при проведении внутренней проверки, в бухгалтерии наткнулся на несколько "бухгалтерских" программ, а именно: Документы ПУ 5, Электронная отчетность Сбис++, Налогоплательщик ЮЛ, Программа подготовки данных ПФР учета.
Вопрос в том нужно ли их классифицировать, если да то каким образом?
// Во внутренних базах этих программ содержатся Персональные данные сотрудников
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Порядок классификации описан в совместном приказе Роскомнадзора, ФСТЭК и ФСБ №55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".
Классифицировать нужно, но меры и способы защиты таких систем должны определять те организации, которые вам предоставили этот софт :). В частности в инструкции администратору безопасности на такой софт, должны быть отражены конкретные рекомендации по конфигурированию средств защиты и/или наличию таких средств. Если таких требований нет - значит и защищать я бы не стал. Максимум что сделал бы - это пароль на вход в такие системы.
Как пример могу привести версию 1С 8.2, которая сертифицирована ФСТЭК и в ней существуют внутренние средства защиты. А в налогоплательщике таких средств точно нет. СБиС - это вообще по сути своей программа для отправки :). Если нет внутренних средст, то хоть на голове стой. Если внутренних средст мониторинга нет, то ни средства мониторинга винды не сертифицированных СЗИ ти СекретНет, Аккорд..... - не помогут :)
Информационная безопасность - аудит, оценка.
http://esstm.blogspot.com
Согласен с Сергеем Ерохиным. Выделяем эти системы отдельно, как ИСПДн, в отношении которых оператор не определяет методы и способы защиты. Прикладываем договор, регламент или что там еще о присоединении к СЭД, в котором про защиту должнобыть все сказано. Если нет, то уж извините, в чужой монастырь...
В сбисе - криптопро есть,там выдаются сертификаты ключей и т.д. отправка в зашифрованном виде. эту систему классифицировали как аналогию к к 3
а эти остальные системы я классифицировал также как аналогию к К 3.
получается что мы не обязаны их защищать криптографически, а только на свое усмотрение.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку