Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Испытательная лаборатория НПО «ЭШЕЛОН» успешно провела инспекционный контроль ОС ASTRA LINUX для процессоров «БАЙКАЛ»»

01/07/2019


Российская операционная система специального назначения Astra Linux Special Edition(релиз «Севастополь») для процессоров «Байкал-T1» (MIPS) успешно прошла инспекционный контроль на соответствие требованиям безопасности информации к операционным системам типа «А» 2-го класса защиты в системе сертификации СЗИ ФСТЭК России. Инспекционный контроль релиза «Севастополь», как и других релизов защищенной ОС Astra Linux Special Edition, был проведен  испытательной лабораторией НПО «Эшелон».

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Матрица доступа к ПДн
Добрый день

знаю что необходимо описывать в отдельном документе права доступа, с перечислением должностей и фио, кому и какие данные разрешено обрабатывать с перечислением типов данных.
вопрос1- что считать типами данных, это например фио номер, телефона, домашний адрес, инн или это в целом Паспортные данные, данные снилс, как правильнее расписать подробно какие конкретно ПДн может обрабатывать или достаточно какихто обобщений?
вопрос2 - обязательно ли делать перечисление документов в которых упоминаются те или иные ПДн или типы ПДн, с перечислением самих ПДн?
Максим, обычно приказом О порядке обращения с информацией, содержащей ПДн, утверждается "Перечень персональных данных, обрабатываемых в ИСПДН название_фирмы", в котором в левой колонке указывается наименование сведений (фио, адрес, пол, возраст и т.д.), в правой - название ИСПДн. Также этим приказом утверждается Список сотрудников, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, где в 1 колонке Наименование должности, во 2 Фамилия Имя Отчество сотрудника, в 3 Наименования ИСПДн.
Матрица доступа - это немного другое, в ней описываются права доступа субъекта (Администратор ИСПДн, пользователь класс А1 - В10, где А1...В10 - это должности) к объектам ИСПДн (CD, печать, настройка, изменение пароля и др. ЛИБО к конкретным файлам и каталогам).
тоеть в этом приказе про перечень, не нужно указывать название документов?
или названия документов только для неавтоматизированной обработки используются?
а вообще, неавтоматизированной обработкой(организацией работ по 152ф.з.) кто занимается на предприятии, уж точно не айтишники?!
хотя если есть ответственное лицо то он и отвечает за всю обработку.
как тогда быть с неавтоматизированной обработкой? делать для неё отдельный пакет документов?
Думаю, что за обработку ПДн должен быть назначен ответственный, который бы отвечал как за автоматизированную обработку, так и без средств автоматизации. Либо можно назначить двух разных человек, если это нужно и если кадры позволяют.
Для НЕавтоматизированной обработки, думаю, достаточно разработать документ типа "Положение по обработке ПДн без средств автоматизации", в котором прописать всё, что этого касается.
Классифицировать НЕавтоматизированную систему не надо, так как по сути самой системы-то нет.
Всё остальное делайте по ПП №687.
спасибо огромное.
Цитата
Настя пишет:
Цитата
Максим пишет:
как тогда быть с неавтоматизированной обработкой? делать для неё отдельный пакет документов?
Для НЕавтоматизированной обработки, думаю, достаточно разработать документ типа "Положение по обработке ПДн без средств автоматизации", в котором прописать всё, что этого касается.
Для неавтоматизированной обработки пока ещё есть ПП-687, где довольно ясно сказано, что должно быть. Да, по сути - это отдельный пакет документов.

РКН при проверке слабо будет волновать: автоматизированная обработка или нет - не забывайте, что они проверяют бумажки. И если обратиться к практике, то значительная часть нарушений, выявляемых при проверках - связаны как раз с неправильным/неполным оформлением внутренних документов, регламентирующих неавтоматизированную обработку.

Цитата
Максим пишет:
а вообще, неавтоматизированной обработкой(организацией работ по 152ф.з.) кто занимается на предприятии, уж точно не айтишники?!
ФЗ-152 вообще-то теоретически айтишников не особо касается, в отличие от ряда подзаконников. Техническая сторона вопроса (технические и программные СЗИ) - это только верхушка айсберга.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)