Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Паспорта ролей для БС РФ
В соответствии со стандартом СТО БР ИББС-1.0-2010 необходимо для каждого сотрудника банка написать Должностную инструкцию по обеспечению ИБ ПДн. Объем работ получается огромный. Подскажите может кто сталкилвался или разрабатывал документ Паспорта ролей чтобы на каждого не писать должностную инструкцию??
Должностная инструкция, наверное, пишется не для сотрудника, а для должности (роли) все-таки. Ну и для тех должностей, которые должны участвовать в обработке Пдн. Плюс, если подумать, большая часть положений этих должностных инструкций будет во многом одинакова, так что не такая уж большая работа наверное. Но смотреть нужно, конечно в каждом отдельном случае
Цитата
Сергей пишет:
для каждого сотрудника банка написать Должностную инструкцию по обеспечению ИБ ПДн
Инструкция по ОБПДн общая для всех, а в должностной - пункт с обязанностью ее выполнять и ответственность.
Извиняюсь ошибся вы правы на должность! Но вопрос стоит в том чтобы описать все роли в документе "Паспорт распределения ролей"
Я в "Перечне должностей, допущенных к обработке ПДн" сделал столбец "Роль"
Совершенно согласен с Сергеем, с Перечне сотрудников допущенных к работе в ИСПДн указываете роль, например "Пользователь", "Администатор безопасности" а вот инструкции выполныете отдельно, "Инструкция пользователя", "Инструкция администратора безопасности" и т.п.
Стандарты Банка Росии внедряются не только для защиты ИСПДн, и роли нужно присваивать не только тем сотрудникам кто имеет доступ к ПДн!
Николай,
Можно сделать Перечень должностей работников, допущенных к обработке информации ограниченного распространения. Отдельно графы ПДн/Роль; Банковская тайна/Роль; Коммерческая тайна/Роль. Причем роль, как правило, одна для всех видов тайн.
Сделал роли описанные в стандарте их функции, ответственность без должности! Просто у каждого сотрудника в инструкции будет ссылка на документ "паспорт ролей".
Существует проект в первой редакции РС БР ИББС "ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ВЫДЕЛЕНИЕ И НАЗНАЧЕНИЕ РОЛЕЙ" Как думаете на сколько долго ваш перечень ролей останется актуальным?
В соответствии с законодательством документ будет корректироваться и дополняться. Изначально вопрос просто стал так что именно "необходимо" разработать такую политику(политика руководства такая)
Может кто-нибудь скинуть документ - список ролей организации... или как он у вас называется... makolian@yandex.ru
Николай, я с ролями не заморачивался, просто в моей ИСПДн есть типовые:администратор, бухгалтер, операционист и т.д. Разграничения только по подключаемым модулям.
Сергей С., вы назначали роли всем сотрудникам организации? И еще вопрос, расписывали ли вы роли, ведь в каждой из ролей должен содержаться некий перечень функций, выполняемый ею(ролью).
Кстати роли вы назначали на должности? ведь неразумно назначать роли на работников, особенно если штат меняется!
Есессно перечень должностей: должность, наименование ИСПДн, роль, модули, обработка на бумаге (да/нет)
Последний вопрос, почему вы везде говорите об ИСПДн, роли ведь нужно назначить и для работникав с АБС, и вообще всем!
ИСПДн - частный случай, годится для всех. Для банка конечно АБС (по СТО). Причем к ИСПДн относится не вся АБС, а только пара подсистем, и в перечне они обозначены.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)