Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 След.
Ответить
RSS
Можно ли считать обработку ПДн в Excel, как ИСПДн????, Можно ли считать обработку ПДн в Excel, как ИСПДн????
Короче единово мнения нет))))
Мне кажется что все таки Excel стоит отнести к ИСПДн, а вот то что обрабатывается в Worde, я бы не стал.
Денис, а в связи с чем у Вас вопрос, в принципе? Если у Вас в этом файлике только данные сотрудников вашей компании (работающих по трудовому договор), то париться вообще не стоит. Если же хотите решить вопрос как таковой - Считать ли ИСПДн все приложения, содержащие информацию, отнесенную к Пдн, то тут могут все спорить бесконечно..
Это гос учреждение, в отделе кадров ведется данная база, которая заносится в Excel, щас надо переделывать документацию, и вот возник вопрос стоит ли отнести ее к ИСПДн или нет, просто до меня был работник, он сказал что это 100% не ИСПДн, так как Excel базой данных не является по определению.
Друзья, цель закона о ПДн защитить права и свободыи физических лиц. Если Пдн обрабатывются с помощью компьютеров (автономных, локальных, распределенных ...), то опасность несанкционированного доступа, в частности, возрастает соответственно структуре системы.Поэтому какая разница, в какой форме хранятся ПДн и какими программами обрабатываются. Суть в том, чтобы защитить данные от нарушителей. Поэтому, естественно это ИСПДн и защищать ее надо по старому в соответствии с классом и по новому в соответствии с уровнем защищенностию.
Если в Wordе хранятся ПДн о состоянии здоровья тысяч субъектов, то это очень опасно, ничуть не менее опасно, чем в Базе данных некой СУБД.
Нельзя забывать еще и то что в законе написано что считать ИСПДн, и если у нас лежат куча файлов с ПДн, это еще не значит что это ИСПДн. Тогда каждый компьютер где хранятся такого рода файлы надо классифицировать как ИСПДн, а если у нас больше 100 рабочих станций, то у нас получается больше 100 ИСПДн, замучаешься документацию потом делать. Нельзя кидаться из крайности в крайность
Цитата
Denis пишет:
Нельзя забывать еще и то что в законе написано что считать ИСПДн, и если у нас лежат куча файлов с ПДн, это еще не значит что это ИСПДн. Тогда каждый компьютер где хранятся такого рода файлы надо классифицировать как ИСПДн, а если у нас больше 100 рабочих станций, то у нас получается больше 100 ИСПДн, замучаешься документацию потом делать. Нельзя кидаться из крайности в крайность
Если у Вас на более чем 100 компьютеров хранятся файлы с различными категориями ПДн, то можно сказать, что у Вас защита в полном запустении, как и технология. Мне с трудом верится, что у Вас 100 или более целей обработки ПДн. Типичное учреждение -3-10. Надо навести порядок и с данными, и с технологией их обработки. Децентрализация хранения ПДн - путь в ад. После наведения порядка у Вас останется приемлемое число ИСПДн, как у всех.
Если вас в заблуждение вводит понятие ИСПДн, ориентируйтесь на АС (автоматизированная система). Классы ИСПДн это практически теже классы АС(можете сравнить ;) ). У вас типовая ИСПДн, можно модель угроз не делать, а сразу защититься в соответствии с 58 ым приказом. Модель угроз желательно делаеть специалисту по ИБ в которой можно признать неактуальными некоторые угрозы ----> не защищаться от них ( но потом еще и готовтесь ФСТЭКУ доказать это), а можно и добавить угроз ;)
А наш РКН считает, что так как с помощью поисковика windows можно найтм все что угодно то даже обработка в word подпадает под закон. Тогда за базу данных считается весь пк. Но не факт что каждый пк это отдельные испдн. Если цели обработки одинаковые, то можно сколько угодно пк объединить в одну испдн.
Чтобы в этом убедиться отсылают к статье 1260 гк. Там понятие базы данных не дает нам право называть таковой только базы типа 1с.
Изменено: Miksin - 12.03.2012 00:14:04
Всё верно)
Цитата
Гость пишет:
Если вас в заблуждение вводит понятие ИСПДн, ориентируйтесь на АС (автоматизированная система). Классы ИСПДн это практически теже классы АС(можете сравнить ). У вас типовая ИСПДн, можно модель угроз не делать, а сразу защититься в соответствии с 58 ым приказом. Модель угроз желательно делаеть специалисту по ИБ в которой можно признать неактуальными некоторые угрозы ----> не защищаться от них ( но потом еще и готовтесь ФСТЭКУ доказать это), а можно и добавить угроз
про требования ФСБ не забываем :D :D :D
Цитата
Miksin пишет:
Чтобы в этом убедиться отсылают к статье 1260 гк. Там понятие базы данных не дает нам право называть таковой только базы типа 1с.
Всё верно
Цитата
Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).
Если есть ЭВМ - автоматизированная обработка.
ГОСТ 20886-85 ОРГАНИЗАЦИЯ ДАННЫХ В СИСТЕМАХ ОБРАБОТКИ ДАННЫХ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
6. База данных БД Data base
Совокупность данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных программ
7. Файл File
Идентифицированная совокупность экземпляров полностью описанного в конкретной программе типа данных, находящихся вне программы во внешней памяти и доступных программе посредством специальных операций
8. Набор данных Data set
Идентифицированная совокупность физических записей, организованная одним из установленных в системе обработки данных способов и представляющая файлы или части файлов в среде хранения
Так же можно сказать о моделять БД. Напрмиер реалиционная (Exel). Древовидная ( реестр windows). Объектно-реалиционная (1с бухгалтери), ну и другие)- всё это БД!
моделях*
Цитата
Tolian пишет:



Цитата


Гость пишет:
Если вас в заблуждение вводит понятие ИСПДн, ориентируйтесь на АС (автоматизированная система). Классы ИСПДн это практически теже классы АС(можете сравнить ). У вас типовая ИСПДн, можно модель угроз не делать, а сразу защититься в соответствии с 58 ым приказом. Модель угроз желательно делаеть специалисту по ИБ в которой можно признать неактуальными некоторые угрозы ----> не защищаться от них ( но потом еще и готовтесь ФСТЭКУ доказать это), а можно и добавить угроз про требования ФСБ не забываем
Ну да еще ФСБ ), еще и отраслевые доки например медиков, банкиров)
Сергей С.,

К сожалению гост у нас носит рекомендательный характер и для ркн ничего не значит. Мы можем сколько угодно умничать, но придется делать как требует ркн.
Опять же я не юрист, но,
как статья с заголовком "Переводы, иные производные произведения. Составные произведения", может быть отнесена к БД в нашем понимании? ИМХО сфера действия статьи не соотносится с нашим контекстом, юриста бы в тему.
Определение БД в ГК относится к защите авторского права на них и в нашем случае не катит.
Цитата
Trotsky пишет:
Опять же я не юрист, но,

как статья с заголовком "Переводы, иные производные произведения. Составные произведения", может быть отнесена к БД в нашем понимании? ИМХО сфера действия статьи не соотносится с нашим контекстом, юриста бы в тему.

Я юрист. Прямо конечно не относится. Но ввиду того, что в гк отсутствует прямая регламентация обработки пдн и нашей проблемы в частности, работает юридическое правило использования норм гк по аналогии. Ведь гк это основа гражданских отношений, а в данном вопросе обработка пдн это не только публичные но и гражданские отношения.
Miksin, тогда как юрист расскажи как между собой соотносятся термины
Информационная система
Автоматизированная система
и что же такое Автоматизированная информационная система :) :) :)
Страницы: Пред. 1 2 3 4 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку