Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Матрица доступа к ПДн
Добрый день

знаю что необходимо описывать в отдельном документе права доступа, с перечислением должностей и фио, кому и какие данные разрешено обрабатывать с перечислением типов данных.
вопрос1- что считать типами данных, это например фио номер, телефона, домашний адрес, инн или это в целом Паспортные данные, данные снилс, как правильнее расписать подробно какие конкретно ПДн может обрабатывать или достаточно какихто обобщений?
вопрос2 - обязательно ли делать перечисление документов в которых упоминаются те или иные ПДн или типы ПДн, с перечислением самих ПДн?
Максим, обычно приказом О порядке обращения с информацией, содержащей ПДн, утверждается "Перечень персональных данных, обрабатываемых в ИСПДН название_фирмы", в котором в левой колонке указывается наименование сведений (фио, адрес, пол, возраст и т.д.), в правой - название ИСПДн. Также этим приказом утверждается Список сотрудников, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, где в 1 колонке Наименование должности, во 2 Фамилия Имя Отчество сотрудника, в 3 Наименования ИСПДн.
Матрица доступа - это немного другое, в ней описываются права доступа субъекта (Администратор ИСПДн, пользователь класс А1 - В10, где А1...В10 - это должности) к объектам ИСПДн (CD, печать, настройка, изменение пароля и др. ЛИБО к конкретным файлам и каталогам).
тоеть в этом приказе про перечень, не нужно указывать название документов?
или названия документов только для неавтоматизированной обработки используются?
а вообще, неавтоматизированной обработкой(организацией работ по 152ф.з.) кто занимается на предприятии, уж точно не айтишники?!
хотя если есть ответственное лицо то он и отвечает за всю обработку.
как тогда быть с неавтоматизированной обработкой? делать для неё отдельный пакет документов?
Думаю, что за обработку ПДн должен быть назначен ответственный, который бы отвечал как за автоматизированную обработку, так и без средств автоматизации. Либо можно назначить двух разных человек, если это нужно и если кадры позволяют.
Для НЕавтоматизированной обработки, думаю, достаточно разработать документ типа "Положение по обработке ПДн без средств автоматизации", в котором прописать всё, что этого касается.
Классифицировать НЕавтоматизированную систему не надо, так как по сути самой системы-то нет.
Всё остальное делайте по ПП №687.
спасибо огромное.
Цитата
Настя пишет:
Цитата
Максим пишет:
как тогда быть с неавтоматизированной обработкой? делать для неё отдельный пакет документов?
Для НЕавтоматизированной обработки, думаю, достаточно разработать документ типа "Положение по обработке ПДн без средств автоматизации", в котором прописать всё, что этого касается.
Для неавтоматизированной обработки пока ещё есть ПП-687, где довольно ясно сказано, что должно быть. Да, по сути - это отдельный пакет документов.

РКН при проверке слабо будет волновать: автоматизированная обработка или нет - не забывайте, что они проверяют бумажки. И если обратиться к практике, то значительная часть нарушений, выявляемых при проверках - связаны как раз с неправильным/неполным оформлением внутренних документов, регламентирующих неавтоматизированную обработку.

Цитата
Максим пишет:
а вообще, неавтоматизированной обработкой(организацией работ по 152ф.з.) кто занимается на предприятии, уж точно не айтишники?!
ФЗ-152 вообще-то теоретически айтишников не особо касается, в отличие от ряда подзаконников. Техническая сторона вопроса (технические и программные СЗИ) - это только верхушка айсберга.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)