Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Матрица доступа к ПДн
Добрый день

знаю что необходимо описывать в отдельном документе права доступа, с перечислением должностей и фио, кому и какие данные разрешено обрабатывать с перечислением типов данных.
вопрос1- что считать типами данных, это например фио номер, телефона, домашний адрес, инн или это в целом Паспортные данные, данные снилс, как правильнее расписать подробно какие конкретно ПДн может обрабатывать или достаточно какихто обобщений?
вопрос2 - обязательно ли делать перечисление документов в которых упоминаются те или иные ПДн или типы ПДн, с перечислением самих ПДн?
Максим, обычно приказом О порядке обращения с информацией, содержащей ПДн, утверждается "Перечень персональных данных, обрабатываемых в ИСПДН название_фирмы", в котором в левой колонке указывается наименование сведений (фио, адрес, пол, возраст и т.д.), в правой - название ИСПДн. Также этим приказом утверждается Список сотрудников, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, где в 1 колонке Наименование должности, во 2 Фамилия Имя Отчество сотрудника, в 3 Наименования ИСПДн.
Матрица доступа - это немного другое, в ней описываются права доступа субъекта (Администратор ИСПДн, пользователь класс А1 - В10, где А1...В10 - это должности) к объектам ИСПДн (CD, печать, настройка, изменение пароля и др. ЛИБО к конкретным файлам и каталогам).
тоеть в этом приказе про перечень, не нужно указывать название документов?
или названия документов только для неавтоматизированной обработки используются?
а вообще, неавтоматизированной обработкой(организацией работ по 152ф.з.) кто занимается на предприятии, уж точно не айтишники?!
хотя если есть ответственное лицо то он и отвечает за всю обработку.
как тогда быть с неавтоматизированной обработкой? делать для неё отдельный пакет документов?
Думаю, что за обработку ПДн должен быть назначен ответственный, который бы отвечал как за автоматизированную обработку, так и без средств автоматизации. Либо можно назначить двух разных человек, если это нужно и если кадры позволяют.
Для НЕавтоматизированной обработки, думаю, достаточно разработать документ типа "Положение по обработке ПДн без средств автоматизации", в котором прописать всё, что этого касается.
Классифицировать НЕавтоматизированную систему не надо, так как по сути самой системы-то нет.
Всё остальное делайте по ПП №687.
спасибо огромное.
Цитата
Настя пишет:
Цитата
Максим пишет:
как тогда быть с неавтоматизированной обработкой? делать для неё отдельный пакет документов?
Для НЕавтоматизированной обработки, думаю, достаточно разработать документ типа "Положение по обработке ПДн без средств автоматизации", в котором прописать всё, что этого касается.
Для неавтоматизированной обработки пока ещё есть ПП-687, где довольно ясно сказано, что должно быть. Да, по сути - это отдельный пакет документов.

РКН при проверке слабо будет волновать: автоматизированная обработка или нет - не забывайте, что они проверяют бумажки. И если обратиться к практике, то значительная часть нарушений, выявляемых при проверках - связаны как раз с неправильным/неполным оформлением внутренних документов, регламентирующих неавтоматизированную обработку.

Цитата
Максим пишет:
а вообще, неавтоматизированной обработкой(организацией работ по 152ф.з.) кто занимается на предприятии, уж точно не айтишники?!
ФЗ-152 вообще-то теоретически айтишников не особо касается, в отличие от ряда подзаконников. Техническая сторона вопроса (технические и программные СЗИ) - это только верхушка айсберга.
Check my recent engagement
how to download games from android 9apps android wallpaper japanese sexy girl wallpaper girl girl wallpaper download free sexy photo
http://sexgames.android.tobuy.in/?page.melissa
arcade games store actualizar android 1 6 mid android tablet giochi gratis per smartphone android live tv apps free download for android
My novel number
http://elite.dating..in/?entry.trinity
dating forums adelaide sex personals over 50s car insurance best gay dating apps uk free online daitng sites toronto
My new photo blog
http://hotpic.erolove.in/?post.jaelyn
fucking his sister 14yo 18 model teen topless yo pig sex humour gay lesbienne sex boob max password free
Hi new website
http://amateur.selfies.purplesphere.in/?gain.angeline
erotic love making erotic boudoir erotic resorts erotic wallpapers most erotic scenes
Hi new project
http://kitty.cat.vedomosti.xyz/?entry.april
gusher movie tube turned to stone choose highest rated free website jenna jamieson
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)