Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 След.
RSS
[ Закрыто ] Active directory & Почта, Считать ли их ИСПДн?
Давно меня мучает вопрос, считать ли AD и почту ИСПДнами.
Циркулируют там ФИО, должности и служебные телефоны.
Цитата
Максим Репин пишет:
Давно меня мучает вопрос, считать ли AD и почту ИСПДнами.
Циркулируют там ФИО, должности и служебные телефоны.
Думаю да, ИСПДн будет. По крайней мере банкиры на конференции поднимали этот вопрос и говорили, что это ИСПДн.
Тогда просто абсурд получается, ИСПДн содержит вообще все компы организации.
Цитата
Максим Репин пишет:
Тогда просто абсурд получается, ИСПДн содержит вообще все компы организации.
ФИО, должность, тел. - ПДн? Тогда получается, что то где они обрабатываются - ИСПДн. Вроде все логично
Дмитрий
А есть идеи как это все защищать?
Я например собираюсь на такие вот вещи брать согласие на общедоступность ПДн.
К тому же, в почте например, сотрудники сами размещают информацию о себе.
Думаю так и надо.
Цитата
Дмитрий пишет:
ФИО, должность, тел. - ПДн?
Как можно идентифицировать субъекта ПДн на основании этой информации (телефон, надеюсь, служебный)? Давайте не доходить до абсурда. Дворник Иванов Иван Иванович, тел. ххххххх и менеджер Петров Петр Петрович, тел. хххххххх. Ну и что? А где обработка? Идентификация возможна только внутри организации! Так мы и визитки будем в сейфе хранить и выдавать после подписания соглашения о неразглашении ПДн.
Сергей С.
Я согласен, что это абсурд, но формально происходит хранение, уточнение, изменение ПДн.
Цитата
Сергей С. пишет:



Цитата


Дмитрий пишет:
ФИО, должность, тел. - ПДн?
Как можно идентифицировать субъекта ПДн на основании этой информации (телефон, надеюсь, служебный)? Давайте не доходить до абсурда. Дворник Иванов Иван Иванович, тел. ххххххх и менеджер Петров Петр Петрович, тел. хххххххх. Ну и что? А где обработка? Идентификация возможна только внутри организации! Так мы и визитки будем в сейфе хранить и выдавать после подписания соглашения о неразглашении ПДн.
А при чем здесь однозначная идентификация? :?: Кто про нее говорит? Я не говорю и Максим тоже. Читаем приказ 55/86/20 - категория 4 - обезличенные и (или) общедоступные ПЕРСОНАЛЬНЫЕ ДАННЫЕ.
Максим Репин,
Речь о том, что это НЕ ПДн, а АД и почта - не ИСПДн, цель этих ИС (да и ИС ли это вообще) - не обработка ПДн, и то, что в них присутствует ФИО таковыми их не делает
Цитата
Сергей С. пишет:
Максим Репин,
Речь о том, что это НЕ ПДн , а АД и почта - не ИСПДн, цель этих ИС (да и ИС ли это вообще) - не обработка ПДн, и то, что в них присутствует ФИО таковыми их не делает
в 152-ФЗ написано:
информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств
В этом определении нет указания на то для каких целей ПДн находятся в системе. Кстати там и про средства автоматизации написано тоже. :)
Изменено: Дмитрий - 03.02.2011 11:21:53
Сергей С.
Я тоже не согласен с вами. Таким образом можно вообще левую ИС состряпать, туда засунуть все ПДн и заявлять, что ИС вообще не для обработки предназначена.
ИМХО можно обозвать это все 4м классом и на этом вопрос закрыть.
Цитата
Максим Репин пишет:
ИМХО можно обозвать это все 4м классом и на этом вопрос закрыть.
Совершенно согласен
Максим Репин,
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
Пусть АД и почта ИС, но ИС нельзя относить к ИСПДн, только на том основании, что в ней содержатся ПДн, к тому же это фактически только ФИО. И эти данные не ИСПОЛЬЗУЮТСЯ: "5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;"
Цитата
Сергей С. пишет:
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц
Очень широкое опреденение которое можно читать, например, так:
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц
или так:
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц
или даже так:
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц :D
Дмитрий
Самое противное, что подобными склонениями может заниматься кто угодно, в том числе и регуляторы.
Дмитрий,
Признаюсь честно, 152 ФЗ писал не я.
Цитата
Сергей С. пишет:
Дмитрий,
Признаюсь честно, 152 ФЗ писал не я.
Я против вас ничего и не имею. :)
Для Банков тут вообще всё просто - "Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн". Даже голову ломать не надо.
Страницы: 1 2 3 След.
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)