Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Список сотрудников допущенных к работе с персональными данными, нужен ли такой документ и если нужен, то зачем?
Во многих списках шаблонов документации по защите ПДн, значится такой документ. Впринципе, перечень сотрудников допущенных для работы с ПДн фактически уже содержится в документе о разраничении прав доступа... Как считате нужен ли такой список отдельном документом? Может его спрашивают при проверке?
Во многих результатах проверок есть такое замечание: нет перечня сотрудников, обрабатывающих ПДн без использования средств автоматизации и сотрудники не информированы об этом. Так что по крайней мере такой перечень должен быть (к разграничению доступа в ИСПДн это отношения не имеет). Я сделал перечень должностей сотрудников, допущенных к обработке, в нем же есть столбцы с наименованием ИСПДн, ролью (правами доступа), пометка об обработке без автоматизации. Меняется перечень не часто - только после оргштатных, а люди приходят и уходят.
Спасибо! А не скажите какие колонки в списке сделали? Указывали ли перечень обрабатываемых сотрудником ПДн? Или только тип обработки?
Перечень ПДн не указывал, а с ролями - это зависит от конкретной ИСПДн и оргштатной структуры организации: группы = подразделения, роли = должности, права=особенности - это приблизительно, в качестве методики.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)