Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 След.
Еще несколько вопросов
Спасибо за формулировки целей, Виктория.
Да мы получали письмо от 29.07. 2009 г. № 17-110, но их разъяснения мало что разъясняют на самом деле, хотя без них было бы еще хуже. И слава Богу, что от регионального РКН мы не получали ничего. Думаю, уже лучше теперь ничего никому не отправлять. Для начала подгоним базу данных "Студенты" под требования закона и когда начнем обрабатывать в ней их ПД, тогда и пошлем уведомление об изменении состава ИСПДн.
Еще несколько вопросов
Цитата
Виктория пишет:
Отослали,т.к. получили от РКН соответствующее письмо.
Что за письмо вы получили? И почему они решили, что вы обязаны отсылать уведомление?
Еще несколько вопросов
Виктория, если не сложно, не могли бы вы написать цели обработки, которые указали в уведомлении.
Еще несколько вопросов
Цитата
Виктория пишет:
2 Денис

Подскажите, пожалуйста, а сколько у вас получилось ИСПДН - 3 (сотрудники, студенты, абитуриенты) или больше?

Да вот теперь я уж и не знаю как их считать. Скажем на ПД сотрудников у нас хранятся в 4 разных программах. И я думал, что это 4 разных ИСПДн. Все что на бумажках я вообще в расчет не брал.
Для студентов мы внедряем БД "Мониторинг" где есть ПД студентов и преподавателей. Такие как ФИО, отметки, номера зачеток, курс и группу. Т.е. тоже ИСПДн.
Учет абитуриентов у нас пока в бумажном виде, т.е. я тоже не рассматривал как ИСПДн.
Иными словами в качестве ИСПДн я рассматривал только те, в которых автоматизированная обработка и для которых необходимо проводить установленный комплекс мер по защите (регламенты, инструкции, модели угроз и т.д.)
Но чем больше я тут читаю, тем меньше понимаю что нужно делать.
Может возможно объединить все программы бухгалтерии в 1 ИСПДн, но на каком основании это можно сделать. Базы у них разные установлены на разных компьютерах. В общем в голове каша.
Отсылали ли вы уведомление?
Еще несколько вопросов
Эх, если бы кто ответил на эти вопросы. Та же засада. Положение сделали, стали делать список допущенных для работы с ПД и засели. Столько народу надо указывать, потому что почти все в той или иной мере имеют доступ к ПД. Может сконцентрироваться только на автоматизированных ИСПДн?

PS. С абитуриентов нужно брать согласие в обязательном порядке.
Изменено: Денис - 23.12.2009 12:27:57
Неавтоматизированная обработка на ПК
Вопрос как определить какая обработка и как это грамотно сформулировать. А еще не плохо бы посмотреть, прокатило это у кого-нибудь или нет.
Неавтоматизированная обработка на ПК
Цитата
Simon пишет:
to Eugene

А в чем приемущество в данном случае "притягивания за уши" 687-го ПП? Не проще ли "признать" автоматизированную обработку, а не "изголяться" с "отдельными матеральными носителями", "типовыпи формами" со спец. полями и пр.?

Если я правильно понимаю, то в случае не автоматизированной не надо проводить кучу мероприятий, модели угроз делать и прочее. Или я не прав?
Неавтоматизированная обработка на ПК
Цитата
Eugene пишет:
Подскажите пожалуйста выход из такой ситуации. В организации существуют ПК, на которых происходит обработка ПДн, при этом по всем признакам эта обработка считается "без использования средств автоматизации" - так как пользователи все виды обработки совершают руками.

А можно поподробней об этом. По каким признакам?
Если я правильно понимаю, то если в ИСПДн все операции производит пользователь (у нас скажем зарплата вручную рассчитывается, а программу от 1С вносится только для того, чтобы на выходе печатные формы нужные получить) то такая обработка является не автоматизированной?
А если в отделе кадров стоит программа которая стаж считает, т.е. каждый год приплюсовывает год, это уже автоматизированная обработка или нет?

Блин, может у меня все системы не правильно классифицированы. Может там автоматизированной обработки-то и нет.
Изменено: Денис - 21.12.2009 11:08:58
Классификация ИСПДн исходя из модели угорз, Коллеги, помогите составить грамотную формулировку
Т.е. не нужно указывать специальная класса К3, а достаточно написать класса К3 в акте?
Что именно переносится до 1.1.2011 ?, анализируем противоречивые мнения
Я опять со своим колледжем влезу :) Хотя вроде и говорили уже, но я все-таки еще раз уточню.
Если брать бухгалтерию и отдел кадров в которых хранятся и обрабатываются данные сотрудников, то можно не уведомлять. Но если я все же надумаю еще данные студентов обрабатывать с помощью каких либо автоматизированных систем, то уведомление уже обязательно?
Образовательное учреждение
В общем, как мне теперь понятно, каждая из этих АС относится не просто к классу К3, а еще вдобавок и специальная, поскольку конфиденциальность не единственное требование.

Скорее всего это класс К3Б
Изменено: Денис - 08.12.2009 13:32:08
Образовательное учреждение
Вот такие ИСПДн использует наш колледж:

1) 1С: Предприятие Камин Расчет заработной платы
2) 1С: Налогоплательщик для выгрузки 2НДФЛ в ИФНС
3) 1С: Предприятие – бухгалтерский учет (бюджет)
4) Документы ПУ5. Программа подготовки данных Персонифицированного учета для ПФР.
5) Перечень льготных профессий

Может кто встречал какую-нибудь документацию по ним в свете закона ПДн.
Я их все классифицировал как К3. Работают в физически изолированной ЛВС.
Данные передаются с помощью программы для сдачи отчетности в электронном виде "Спринтер". Т.е. 1 компьютер в бухгалтерии имеет доступ в Инет, на нем и стоит эта программа.

Может у кого аналогичная архитектура и уже есть модель угроз? Ну или давайте мыслями поделимся что и как делать дальше.
Образовательное учреждение
Эх, закопаемся мы все (образовательные учреждения), я так чувствую. Специалистов нет, денег нет, ничего нет, а делать надо. Поговорил с людьми из некоторых вузов, так понял, что максимум - разработали положение о защите, взяли согласие с сотрудников, и состряпали акты классификации. Все. Финиш.
Посоветуйте средства защиты.
Подскажите, а могу я объявить все эти бухгалтерские программы частями одной ИСПДн, ведь они все в 1 локальной сети?
Посоветуйте средства защиты.
Да, если сделать так, что 1 пользователь может работать с 1С, так как для него раздел диска куда она установлена виден, но у него нет доступа к Инету, так как во время его работы сетевая карта отключена. Для второго наоборот. Есть ли вообще такие программы? И необходим ли в этом случае межсетевой экран?
Посоветуйте средства защиты.
Если у меня есть бухгалтерия, в которой 6 компьютеров.
1 комп.:
1С: Предприятие Камин Расчет заработной платы
Документы ПУ5. Программа подготовки данных Персонифицированного учета для ПФР.
Перечень льготных профессий
1С: Предприятие – бухгалтерский учет (бюджет)
2 комп.:
1С: Налогоплательщик для выгрузки 2НДФЛ в ИФНС
1С: Предприятие – бухгалтерский учет (бюджет)
3 комп.:
1С: Предприятие – бухгалтерский учет (бюджет)
4 комп.:
1С: Предприятие – бухгалтерский учет (бюджет)
5 комп.:
1С: Предприятие – бухгалтерский учет (бюджет)
6 комп.:
1С: Предприятие – бухгалтерский учет (бюджет)

Т.е. 1С: Предприятие – бухгалтерский учет (бюджет) имеется на всех компьютерах.
Со 2 и 5 компьютеров необходима передача данных по внешним каналам. Все ИСПДн класса К3.
Какие программно-технические средства необходимы для решения данной задачи (желательно сами наименования продуктов)?
Вообще сначала планировал выделить бухгалтерию в физически отделенную сеть. И выделить 2 дополнительных компа для связи с внешним миром. Но вот сейчас есть такая идея: использовать специальный софт, который позволит создать несколько пользователей на компе с различными правами доступа к устройствам компьютера. Т.е. 1 виртуальный пользователь может работать с ИСПДн, а второй может выходить в Инет, причем дисковое пространство так же разграничено. Если кто знает, то подскажите название такого сертифицированного софта (если таковой имеется).
Заранее благодарен.
Являются ли оценки студента его персональными данными?, Можно ли без разрешения студента выставлять его оценки на веб-сайт?
Виктория, я думаю, согласие брать со студентов все равно необходимо, так как не только оценки входят в их ПД.
Являются ли оценки студента его персональными данными?, Можно ли без разрешения студента выставлять его оценки на веб-сайт?
Цитата
Гость пишет:
С учетом нашего-то времени, ну что тут скажешь...
Идиотизм в высшей стадии :(
Являются ли оценки студента его персональными данными?, Можно ли без разрешения студента выставлять его оценки на веб-сайт?
У меня вопрос к гостю, какие ИСПДн у вас используются и делали ли вы для них модели угроз? Сам из СПО, поэтому интересно.
П. 2. ст. 22 ФЗ (данные полученные в связи с заключением договора), Освобождает ли данный пункт ФЗ от беспокойств на тему ИСПДн или рано радоваться?
А чем, вообще говоря, чревато уведомление? В чем проблема сделать этот документ и отослать по адресу полномочного органа?
Страницы: 1 2 3 След.