ИСПДн "Бухгалтерия и Кадры" - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=11729&from=0

К списку тем | Добавить сообщение


Автор: Антон | 62025 05.04.2016 07:06
Можно ли объединить в одну ИСПДн АРМ Бухгалтерии и Отдела кадров?

Автор: oko | 62031 05.04.2016 11:54
to Антон
Приветствую!
Принципиально - да. Фактически - надо смотреть конкретику.
Нюансы:
1. Разность категорий и количества ПДн на каждом АРМ. К примеру, в Бухгалтерии только "иные ПДн" с объемом до 100тыс. А в ОК - "биометрические ПДн" с объемом более 100тыс. (фотографии, отпечатки пальцев + дела уволенных сотрудников - и все это на каком-нибудь "закрытом предприятии").
2. Разность применяемых технологий и угроз НДВ. К примеру, в Бухгалтерии используется 1С 8.2z ("лишенная НДВ") и лицензионная ОС Windows 7 на типовом ПЭВМ. А в ОК - ОС Windows XP (без поддержки обновлений) + какой-то самопальный софт хранения и обработки баз данных. +, положим, в Бухгалтерии есть связь с Интернет, а в ОК ПЭВМ вообще автономная.
3. Разность персонала по отношению к базам данных. К примеру, в Бухгалтерии своя база ПДн, лишь косвенно относящаяся к базе ОК. Соответственно, бухгалтера к базам ОК доступа не имеют. И наоборот.
Эти нюансы говорят о том, что проще разбить ИСПДн на сегменты (или вообще 2 отдельные ИСПДн, чтобы было проще все это описать не в одном документе, а в нескольких), ибо уровни защищенности у них будут разными. И актуальные угрозы безопасности также будут разниться. И персонал будет отличаться как по сути, так и по правам доступа к информации.

Короче говоря, экстрасенсорикой заниматься не хочется. Либо надо пояснить полную картинку ситуации, чтобы форумчане могли помочь советом, либо ориентироваться на вышеуказанные нюансы и думать самостоятельно

Автор: Антон | 62048 06.04.2016 01:56
to oko
Что значит разбить на сегменты?
Бухгалтерия и Кадры это несколько АРМ, находящихся в одной локальной сети, обрабатывающие иную категорию ПДн сотрудников, объемом менее 100000. Бухгалтерия работает в 1С, кадры обрабатывают ПДн только в офисном ПО. Хочу объединить их и обозвать ИСПДн "Сотрудники".

Автор: sekira | 62050 06.04.2016 06:44
Объединяйте. Только переделывать все документы на новую ИСПДн.

Автор: oko | 62081 06.04.2016 22:41
to Антон
Это значит, фактически, да, объединить ИСПДн, но для каждого сегмента (Бухгалтерия отдельно и ОК отдельно) рассчитать уровни защищенности, поправки к общей Модели угроз, комплект актуальных мер и средств защиты, а также подготовить распорядительную документацию. Чтобы не сваливать в одну кучу системы с разным типом и способом взаимодействия субъектов доступа с объектами (техническими, программными и информационными). Тем самым разгрузив тех.процесс обработки защищаемой информации, снизив затраты на интеграцию СЗИ и упростив последующие испытания защищенности.
А вообще, тов. sekira уже дал явный и прозрачный ответ, который, думаю, по своей лаконичности больше подойдет :)

Прошла пара лет

Автор: ведаю | 75300 10.08.2017 08:53
to oko

из поста 62031: "А в ОК - "биометрические ПДн" с объемом более 100тыс. (фотографии..."

Фото ведь, да и отпечатки пальцев, по разъяснениям РКН о биометрии от 30.08.2013 без цели идентификации является специальными ПДн

Автор: oko | 75313 10.08.2017 14:09
to ведаю
Не поверите, но в Разъяснениях РКН от 30.08.2013 нет ни слова про ПДн "специальной" категории...
А "без цели" - это вообще не биометрия, а, цитирую: <...без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона "О персональных данных" не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом "О персональных данных".>

Автор: Sergggg | 75389 11.08.2017 22:06
Добрый день коллеги. Возник такой вопрос - у одного из органов исполнительной власти 1С бухгалтерия стоит и полностью обслуживается у сторонней организации. Одни подключаются по удаленке и там работают. Недавно сверху спустили письмо, чтоб никаких удаленных баз не было и все хранилось у владельца на объекте. Вроде все учреждения смогли выполнить данные указания, кроме одного учреждения. Они боятся, что если разорвут контракт с этой фирмой, то всех данных базы им не видать. Вопрос - возможно ли организовать защищенный канал со сторонней орагнизацией, чтобы было все юридически чисто, потом аттестовать всю эту системы как ИС, в которой обрабатываются ПДн, сколько по цене все это выйдет, с учетом поставки СЗИ. Либо есть какой-то другой вариант?

Автор: oko | 75390 11.08.2017 23:22
to Sergggg
Возможно все, цена (как показывает практика) бывает разная (хотя ниже стоимости СЗИ редко "падают"). За конкретикой обращайтесь к лицензиатам ФСТЭК/ФСБ, чтобы обследовали вашу систему и нашли еще вагон и маленькую тележку нюансов (которые вы на форуме при всем желании не опубликуете)...
imho, проще обычным и чисто юридическим способом забрать базу данных (не софт, не управление, а чистые данные, дамп) у этой "сторонней организации", чем осложнять себе жизнь, связываясь с СКЗИ, распределенной ИС, разделением ответственности, поручением на обработку (хранение) баз данных ПДн сторонним конторам и проч. "приятными радостями"...

Просмотров темы: 10529


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100