26 февраля, пятница 03:44
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ПДн и ДБО

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ПДн и ДБО

    Здравствуйте, я раньше не работал с системами ДБО, поэтому возник следующий вопрос:
    Ситуация такая: на ПК бухгалтера установлено несколько банк-клиентов: газпром,сбербанк; также бухгалтер работает в браузерных: возрождение и сбербанк-бизнесОнлайн. При работе с каждым банком используются ЭЦП. На машине установлен антивирус, используется ТМ-ка. Соответственно, в банки передаются перс.данные работников (начисления зп, отпускных и т.д.).
    Вопрос такой: является ли сия конфигурация - ИСПДн , и если да, то какие подводные камни могут быть при её описании в доках и обеспечении защиты?

    Да, и еще, если состав ИСПДн - 1С 8.2, БК Сбербанк, то, соответственно, это уже будет отдельная ИСПДн и отдельная модель угроз?

  • #2
    Является. Можно объеденить все БК + 1С в одну сущность ИСПДн (Алексей Лукацкий, если что, поправит)
    Модуль угроз можно одну на всех
    Подводные камни - определить уровень защищенности (у Вас предположу 4-ый, скорее всего менее 100 тыс и без биометрии).
    Желателен сертифицированный антивирус + сертфицированный фаэрволл
    Д б политика обработки ПДн, приказы на лиц обрабатывающих ПДн, определение приказом ответственного за ИБ ПДн (не то же самое, что ответственный за обработку ПДн), меры и периодичность проверок.
    Есть приказ 21 ФСТЭК, в нем указаны какие тех меры соблюсти.
    И 1119 - ПП Вам в помощь Там теперь не так страшно, ка было раньше
    СКЗИ российские д б сертифицированы.

    Комментарий


    • #3
      Dolphina12, тогда получается, что АРМы, входящие в состав одной ИСПДн могут содержать в составе различный набор ПО для обработки ПДн?
      к примеру:
      АРМ1 = 1С+БК1
      AРМ2=1C+БК2
      АРМ1+АРМ2=ИСПДн1??? - нотпри этом, как я понимаю, цель обработки данных на всех АРМ-ах должна быть одинаковой?

      Да, и вопрос по 1С - там есть поля "пол, гражданство, инвалидность", эти же поля есть и в карточке Т-2. Получается, обрабатывем биометрию (инвалидность), или можно повернуть както типа "состояние здоровья, позволяющее выполнять трудовые функции", и также, обрабатываем специальные категории ПДн (пол, гражданство, семейное положение)?

      Комментарий


      • #4
        Сообщение от lumenaris Посмотреть сообщение
        Dolphina12, тогда получается, что АРМы, входящие в состав одной ИСПДн могут содержать в составе различный набор ПО для обработки ПДн?
        к примеру:
        АРМ1 = 1С+БК1
        AРМ2=1C+БК2
        АРМ1+АРМ2=ИСПДн1??? - нотпри этом, как я понимаю, цель обработки данных на всех АРМ-ах должна быть одинаковой?

        Да, и вопрос по 1С - там есть поля "пол, гражданство, инвалидность", эти же поля есть и в карточке Т-2. Получается, обрабатывем биометрию (инвалидность), или можно повернуть както типа "состояние здоровья, позволяющее выполнять трудовые функции", и также, обрабатываем специальные категории ПДн (пол, гражданство, семейное положение)?
        Инвалидность не относится к биометрии. Насколько я помню Емельянникова, даже к специальным инвалидность не относится.

        "Биометрические данные можно разделить на два основных класса:

        Физиологические — относятся к форме тела. В качестве примера можно привести: отпечатки пальцев, распознавание лица, ДНК, ладонь руки, сетчатка глаза, запах, голос.
        Поведенческие — связаны с поведением человека. Например, походка и речь. Иногда для этого класса биометрии используется термин англ. behaviometrics."

        Тут про биометрию прочитайте.

        http://emeliyannikov.blogspot.ru/201...g-post_12.html


        Биометрические персональные данные, обработка которых регулируется ФЗ-152, это данные:
        · которые характеризуют физиологические и биологические особенности человека;
        · на основе которых можно установить его личность;
        · которые используются оператором для установления личности субъекта персональных данных

        Комментарий


        • #5
          Dolphina12, спасибо за ответы, скажите, а про ИСПДн я правильно понял, что АРМы, входящие в состав одной ИСПДн могут содержать в составе различный набор ПО для обработки ПДн, главное, чтобы цель обработки была одинаковой?

          Комментарий


          • #6
            Сообщение от lumenaris Посмотреть сообщение
            Dolphina12, спасибо за ответы, скажите, а про ИСПДн я правильно понял, что АРМы, входящие в состав одной ИСПДн могут содержать в составе различный набор ПО для обработки ПДн, главное, чтобы цель обработки была одинаковой?
            да, могут содержать разлицный набор, поскольку ИС - информационная система - это ПО + технические средства + персонал.
            Но типы и цели ПДн должны быть одинаковые в рамках одной ИСПДн

            Поэтому если есть ПО + тех средства + люди, обрабатывающие общедоступные ПДн (пример - сайт), то это одна ИСПДн; если есть ПО + тех средства + люди, обрабатывающие специализированные ПДн - это другая ИСПДн, есть ПО + тех средства + люди, обрабатывающие иные ПДн - это третья ИСПДн.

            Комментарий


            • #7
              Сообщение от Dolphina12 Посмотреть сообщение
              да, могут содержать разлицный набор, поскольку ИС - информационная система - это ПО + технические средства + персонал.
              Но типы и цели ПДн должны быть одинаковые в рамках одной ИСПДн

              Поэтому если есть ПО + тех средства + люди, обрабатывающие общедоступные ПДн (пример - сайт), то это одна ИСПДн; если есть ПО + тех средства + люди, обрабатывающие специализированные ПДн - это другая ИСПДн, есть ПО + тех средства + люди, обрабатывающие иные ПДн - это третья ИСПДн.
              Если память не изменяет, люди входят в определение АС, а ИС это тех. средства, ПО и обрабатываемая информация

              Комментарий


              • #8
                Сообщение от Ололош Посмотреть сообщение
                Если память не изменяет, люди входят в определение АС, а ИС это тех. средства, ПО и обрабатываемая информация
                Думаю, правы. Спасибо, что поправили

                Комментарий

                Обработка...
                X