Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Документы ПУ5, Сбис++ и т.д., Документы ПУ5, Сбис++ и т.д. считать ли их ИСПДн?
Здравствуйте, при проведении внутренней проверки, в бухгалтерии наткнулся на несколько "бухгалтерских" программ, а именно: Документы ПУ 5, Электронная отчетность Сбис++, Налогоплательщик ЮЛ, Программа подготовки данных ПФР учета.
Вопрос в том нужно ли их классифицировать, если да то каким образом?
// Во внутренних базах этих программ содержатся Персональные данные сотрудников
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Порядок классификации описан в совместном приказе Роскомнадзора, ФСТЭК и ФСБ №55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".
Классифицировать нужно, но меры и способы защиты таких систем должны определять те организации, которые вам предоставили этот софт :). В частности в инструкции администратору безопасности на такой софт, должны быть отражены конкретные рекомендации по конфигурированию средств защиты и/или наличию таких средств. Если таких требований нет - значит и защищать я бы не стал. Максимум что сделал бы - это пароль на вход в такие системы.
Как пример могу привести версию 1С 8.2, которая сертифицирована ФСТЭК и в ней существуют внутренние средства защиты. А в налогоплательщике таких средств точно нет. СБиС - это вообще по сути своей программа для отправки :). Если нет внутренних средст, то хоть на голове стой. Если внутренних средст мониторинга нет, то ни средства мониторинга винды не сертифицированных СЗИ ти СекретНет, Аккорд..... - не помогут :)
Информационная безопасность - аудит, оценка.
http://esstm.blogspot.com
Согласен с Сергеем Ерохиным. Выделяем эти системы отдельно, как ИСПДн, в отношении которых оператор не определяет методы и способы защиты. Прикладываем договор, регламент или что там еще о присоединении к СЭД, в котором про защиту должнобыть все сказано. Если нет, то уж извините, в чужой монастырь...
В сбисе - криптопро есть,там выдаются сертификаты ключей и т.д. отправка в зашифрованном виде. эту систему классифицировали как аналогию к к 3
а эти остальные системы я классифицировал также как аналогию к К 3.
получается что мы не обязаны их защищать криптографически, а только на свое усмотрение.
Страницы: 1
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)