Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Организация обработки ПДн в группе компаний
Добрый день!
Прошу поснить, как наиболее просто и юридически корректно организовать защиту ПДн (в организационном плане) в "группе компаний", где "группа компаний" - это крупный завод, состоящий де факто из множества ООО, ОАО, ИП с 1 директором и хозяином, которые, в свою очередь, де юро самостоятельные обособленные организации с разными директорами и хозяинами.
Я один специалист по ИБ на всем заводе. Что подскажете?
Назначить "крайнего" и поручить ему обработку Пдн по договорам. Но от разработки внутренней нормативки по каждому юрику не уйти, они все операторы, и РКН уведомлять должен каждый, и защиту организовывать лицензиат ФСТЭК.
Цитата
Сергей С. пишет:
... и защиту организовывать лицензиат ФСТЭК.
А это требование где-то четко прописано, недвусмыслено?
Цитата
Дмитрий пишет:
А это требование где-то четко прописано, недвусмыслено?
79 ПП О лицензировании
Цитата
Сергей С. пишет:
Цитата
Дмитрий пишет:
А это требование где-то четко прописано, недвусмыслено?
79 ПП О лицензировании
Насколько я знаю, лицензия требуется для юридических диц и ИП, которые оказывают услуги, по ТЗИ. Я же являюсь сотрудником "группы компаний", никаких услуг я не предоставляю никому, а действую от лица "группы компаний". Или я что-то не догоняю?
Цитата
Дмитрий пишет:
а действую от лица "группы компаний"
А разве обработку и защиту будет делать не одно юрлицо в интересах других юрлиц?
[quote]Я один специалист по ИБ на всем заводе. Что подскажете?[/quote]
По-хорошему, Вас там должно быть минимум двое (на случай временного отсутствия одного). А вообще, так-то нужно на каждую компанию из группы сотрудника, ответственного за ИБ. Таким образом, у Вас в СБ холдинга появится отдел ИБ, где реально находятся ИБшники со всех Ваших предприятий. Эти лица могут быть приказами руководителей компаний назначены ответственными за защиту ПДн на своих предприятиях, таким образом требования по лицензированию будут соблюдены. Да и вцелом ситуация по защите коммерческой тайны улучшится. Если в холдинге ООО значительного размера (от 100 сотрудников), то даже какой-нибудь экономический эффект получиться может.
В продолжении вопроса из шапки:
1) а если в ГК общая БД 1С с клиентами?
2) Если БД с работниками разные, но крутятся на одном физическом сервере? А если на одном физическом сервере, но разным виртуальных?

Кто тогда владелец ИС, оператор? На основании чего остальные ООО имеют доступ к ИСПДн?
Оператор = работодатель.
Владелец ИС - узнай в бухгалтерии у кого железо и софт на балансе.
Доступ на основании договора (поручения) на обработку ПДн
Сергей С.
Есть фирма1, 2, 3. У Фирмы1 Сервак, сетевое оборудование и компы. У Фирм 2, 3 только ПК. Оборудование всех трех фирм объединено в одну сеть.
БД 1С "Клиенты" на серваке Фирмы1.
У каждой Фирмы есть разные клиенты, чьи ПД они вбивают в одну БД 1С. Любая фирма может видеть всех клиентов.
Получается Фирма2 поручает обработку Фирме 1 и Фирма 3 поручает обработку Фирме 1? Тогда на основании чего Фирма 3 видит клиентов Фирмы 2?


И да, получается 3 разных ИСПДн? Если сетевое оборудование у Фирмы 1, то у фирмы 2 просто несколько компов не объеденных в сеть? На модель угроз тоже разделение плохо сказывается.
Изменено: Артур - 28.11.2014 11:26:25
Тут нет и не может быть никакого поручения обработки. Вам придется разграничить доступ к этим ИСПДн. Либо средствами 1С, если такое возможно. Либо физически разносить ИСПДн. Фирмы не должны видеть ПДн не своих сотрудников.
ICQ 377238542
Цитата
Андрей пишет:
Тут нет и не может быть никакого поручения обработки. Вам придется разграничить доступ к этим ИСПДн. Либо средствами 1С, если такое возможно. Либо физически разносить ИСПДн. Фирмы не должны видеть ПДн не своих сотрудников.
Я говорю не про испдн "работники", а про "клиенты".
И все фирмы должны видеть всех клиентов. Клиент как бы "общий" на всех.
Цитата
Артур пишет:
У каждой Фирмы есть разные клиенты, чьи ПД они вбивают в одну БД 1С.
Вбивайте в разные базы 1С. Был такой продукт - 1Сz или что-то в этом роде. Почему бы им не воспользоваться.
ICQ 377238542
А вот точно такой же вопрос, но по поводу органов власти. Наша компания разработчик системы информационного обмена. Заказчик - Администрация Губернатора, но в системе работают все органы государственной власти области, которые являются самостоятельными юридическими лицами. Соответственно сотрудник одной организации имеет доступ к ПД сотрудника другой. На каком основании строится их взаимодействие по защите?
Плохо, что имеет доступ. Для того чтобы имел или не имел доступ и придуманы были меры УПД, и надо их реализовывать. Модель разграничения доступа, правила и все такое.
ICQ 377238542
То есть, существующая ситуация выходит за рамки права и ее никак по-хорошему не развести? И попутно. Кто в этом случае оператор ПД в этой системе. Дело в том, что сервер на котором крутится ПО находится у администрации губернатора.
Цитата
Андрей пишет:
Плохо, что имеет доступ.
Но мне тут вот еще что не понятно. Как он может не иметь доступ, если сама его работа связана с этим. Например есть документ по которому организована работа сотрудников различных юридических лиц. Естественно любому участнику этой работы доступна информация о фамилии, имени и отчеству участников, должности, подразделении.
Цитата
Сергей пишет:
То есть, существующая ситуация выходит за рамки права и ее никак по-хорошему не развести?
Вот откуда такой вывод? Закажите разработку документов и все сделают в рамках закона.

Ситуация у вас не банальная, поэтому надо серьезно разбираться. Что мешает обратиться к серьезным людям? Форум все-таки не то место, где можно можно получить грамотный совет сходую
ICQ 377238542
А в чем ситуации то? Органы государственной власти региона осуществляют взаимодействие по различным вопросам, в рамках реализации проектов например совместных. Соответственно сотрудники одной компании имеют возможность доступа к ФИО, должности, подразделению участников группы.
Договор заключается между управляющей (администрацией) и подведомственными организациями (ваши юр лица), в нём (договоре) всё прописывается о передаче/обработке ПДн третьим сторонам и работаете.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)