Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 След.
Ответить
RSS
Можно ли считать обработку ПДн в Excel, как ИСПДн????, Можно ли считать обработку ПДн в Excel, как ИСПДн????
Короче единово мнения нет))))
Мне кажется что все таки Excel стоит отнести к ИСПДн, а вот то что обрабатывается в Worde, я бы не стал.
Денис, а в связи с чем у Вас вопрос, в принципе? Если у Вас в этом файлике только данные сотрудников вашей компании (работающих по трудовому договор), то париться вообще не стоит. Если же хотите решить вопрос как таковой - Считать ли ИСПДн все приложения, содержащие информацию, отнесенную к Пдн, то тут могут все спорить бесконечно..
Это гос учреждение, в отделе кадров ведется данная база, которая заносится в Excel, щас надо переделывать документацию, и вот возник вопрос стоит ли отнести ее к ИСПДн или нет, просто до меня был работник, он сказал что это 100% не ИСПДн, так как Excel базой данных не является по определению.
Друзья, цель закона о ПДн защитить права и свободыи физических лиц. Если Пдн обрабатывются с помощью компьютеров (автономных, локальных, распределенных ...), то опасность несанкционированного доступа, в частности, возрастает соответственно структуре системы.Поэтому какая разница, в какой форме хранятся ПДн и какими программами обрабатываются. Суть в том, чтобы защитить данные от нарушителей. Поэтому, естественно это ИСПДн и защищать ее надо по старому в соответствии с классом и по новому в соответствии с уровнем защищенностию.
Если в Wordе хранятся ПДн о состоянии здоровья тысяч субъектов, то это очень опасно, ничуть не менее опасно, чем в Базе данных некой СУБД.
Нельзя забывать еще и то что в законе написано что считать ИСПДн, и если у нас лежат куча файлов с ПДн, это еще не значит что это ИСПДн. Тогда каждый компьютер где хранятся такого рода файлы надо классифицировать как ИСПДн, а если у нас больше 100 рабочих станций, то у нас получается больше 100 ИСПДн, замучаешься документацию потом делать. Нельзя кидаться из крайности в крайность
Цитата
Denis пишет:
Нельзя забывать еще и то что в законе написано что считать ИСПДн, и если у нас лежат куча файлов с ПДн, это еще не значит что это ИСПДн. Тогда каждый компьютер где хранятся такого рода файлы надо классифицировать как ИСПДн, а если у нас больше 100 рабочих станций, то у нас получается больше 100 ИСПДн, замучаешься документацию потом делать. Нельзя кидаться из крайности в крайность
Если у Вас на более чем 100 компьютеров хранятся файлы с различными категориями ПДн, то можно сказать, что у Вас защита в полном запустении, как и технология. Мне с трудом верится, что у Вас 100 или более целей обработки ПДн. Типичное учреждение -3-10. Надо навести порядок и с данными, и с технологией их обработки. Децентрализация хранения ПДн - путь в ад. После наведения порядка у Вас останется приемлемое число ИСПДн, как у всех.
Если вас в заблуждение вводит понятие ИСПДн, ориентируйтесь на АС (автоматизированная система). Классы ИСПДн это практически теже классы АС(можете сравнить ;) ). У вас типовая ИСПДн, можно модель угроз не делать, а сразу защититься в соответствии с 58 ым приказом. Модель угроз желательно делаеть специалисту по ИБ в которой можно признать неактуальными некоторые угрозы ----> не защищаться от них ( но потом еще и готовтесь ФСТЭКУ доказать это), а можно и добавить угроз ;)
А наш РКН считает, что так как с помощью поисковика windows можно найтм все что угодно то даже обработка в word подпадает под закон. Тогда за базу данных считается весь пк. Но не факт что каждый пк это отдельные испдн. Если цели обработки одинаковые, то можно сколько угодно пк объединить в одну испдн.
Чтобы в этом убедиться отсылают к статье 1260 гк. Там понятие базы данных не дает нам право называть таковой только базы типа 1с.
Изменено: Miksin - 12.03.2012 00:14:04
Всё верно)
Цитата
Гость пишет:
Если вас в заблуждение вводит понятие ИСПДн, ориентируйтесь на АС (автоматизированная система). Классы ИСПДн это практически теже классы АС(можете сравнить ). У вас типовая ИСПДн, можно модель угроз не делать, а сразу защититься в соответствии с 58 ым приказом. Модель угроз желательно делаеть специалисту по ИБ в которой можно признать неактуальными некоторые угрозы ----> не защищаться от них ( но потом еще и готовтесь ФСТЭКУ доказать это), а можно и добавить угроз
про требования ФСБ не забываем :D :D :D
Цитата
Miksin пишет:
Чтобы в этом убедиться отсылают к статье 1260 гк. Там понятие базы данных не дает нам право называть таковой только базы типа 1с.
Всё верно
Цитата
Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).
Если есть ЭВМ - автоматизированная обработка.
ГОСТ 20886-85 ОРГАНИЗАЦИЯ ДАННЫХ В СИСТЕМАХ ОБРАБОТКИ ДАННЫХ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
6. База данных БД Data base
Совокупность данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных программ
7. Файл File
Идентифицированная совокупность экземпляров полностью описанного в конкретной программе типа данных, находящихся вне программы во внешней памяти и доступных программе посредством специальных операций
8. Набор данных Data set
Идентифицированная совокупность физических записей, организованная одним из установленных в системе обработки данных способов и представляющая файлы или части файлов в среде хранения
Так же можно сказать о моделять БД. Напрмиер реалиционная (Exel). Древовидная ( реестр windows). Объектно-реалиционная (1с бухгалтери), ну и другие)- всё это БД!
моделях*
Цитата
Tolian пишет:



Цитата


Гость пишет:
Если вас в заблуждение вводит понятие ИСПДн, ориентируйтесь на АС (автоматизированная система). Классы ИСПДн это практически теже классы АС(можете сравнить ). У вас типовая ИСПДн, можно модель угроз не делать, а сразу защититься в соответствии с 58 ым приказом. Модель угроз желательно делаеть специалисту по ИБ в которой можно признать неактуальными некоторые угрозы ----> не защищаться от них ( но потом еще и готовтесь ФСТЭКУ доказать это), а можно и добавить угроз про требования ФСБ не забываем
Ну да еще ФСБ ), еще и отраслевые доки например медиков, банкиров)
Сергей С.,

К сожалению гост у нас носит рекомендательный характер и для ркн ничего не значит. Мы можем сколько угодно умничать, но придется делать как требует ркн.
Опять же я не юрист, но,
как статья с заголовком "Переводы, иные производные произведения. Составные произведения", может быть отнесена к БД в нашем понимании? ИМХО сфера действия статьи не соотносится с нашим контекстом, юриста бы в тему.
Определение БД в ГК относится к защите авторского права на них и в нашем случае не катит.
Цитата
Trotsky пишет:
Опять же я не юрист, но,

как статья с заголовком "Переводы, иные производные произведения. Составные произведения", может быть отнесена к БД в нашем понимании? ИМХО сфера действия статьи не соотносится с нашим контекстом, юриста бы в тему.

Я юрист. Прямо конечно не относится. Но ввиду того, что в гк отсутствует прямая регламентация обработки пдн и нашей проблемы в частности, работает юридическое правило использования норм гк по аналогии. Ведь гк это основа гражданских отношений, а в данном вопросе обработка пдн это не только публичные но и гражданские отношения.
Miksin, тогда как юрист расскажи как между собой соотносятся термины
Информационная система
Автоматизированная система
и что же такое Автоматизированная информационная система :) :) :)
Страницы: Пред. 1 2 3 4 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку