ИСПДн Корпоративный портал - Форум по вопросам информационной безопасности

> - Такс, поглядим... Подразделение В, отдел Х, перечень сотрудников...

уязвимость логических рассуждений в пьесе проста - для выполнения требований текущего законодательства в области защиты ПДн присвоение не уникальных "подразделение В, отдел Х" субъекту ПДн его не идентифицирует.

а вот для работодателя, ищущего критика, указанной информации достаточно, что наглядно продемонстрировано в пьесе :)

т.к. топикстартер принял правильное решение, сворачиваюсь

to Антон
"Волшебная кнопка" - не самое мудрое решение. Впрочем, принимать его, разумеется, не мне...

to Alex
<для выполнения требований текущего законодательства в области защиты ПДн присвоение не уникальных "подразделение В, отдел Х" субъекту ПДн его не идентифицирует>
Нихрена не понял, но понравилось (с)
Если вы о том, что "подразделение В, отдел Х" - это не уникальные свойства объекта, то не соглашусь. Наименования подразделений и отделов как раз нужны для верной идентификации/распределения функционала сотрудников. Если речь не идет об особо секретных объектах, где первой задачей всегда является "запутать потенциального противника", ага...
Впрочем, суть представленной в пьесе выборки была в другом. Каталогизация и структурирование данных без разграничения к ним доступа - вот корень зла. Товарищам-доносчикам нужна была совокупность данных для успешного совершения... хмм... доноса. И нужный каталог оказался как нельзя кстати. К примеру, если я захочу вычислить всех молодых особ, проживающих в моем городе и страдающих от триппера, мне придется туго. Необходимо будет как-то уломать врачей местных лечебниц на раскрытие весьма интимной информации (или пойти путем более эмпирическим, ага). Но, попади под руку структурированный перечень таких лиц, мне будет куда проще и быстрее, вооружившись оными данными, исписать все стены в округе фразами аля "***а проститутка!". Весь вопрос будет заключаться в сложности системы разграничения доступа к такому перечню. Но, ежели он (перечень) есть и доступен многим в режиме 24/7 (пусть и в пределах профессионального круга), то, можно утверждать с большой вероятностью, что с течением времени он будет доступен всем...

ЗЫ Пьеса дерьмо, поскольку рассматривает проблему однобоко (без обид, но так мне кажется, исходя из комментариев). Главное было понять, что куда проще не хранить уязвимые данные в одном месте и в структурированном виде, чем просчитать, взвесить и оценить все возможные вариативные составляющие опасности их утечки в чужие руки. Особенно, когда чужими могут быть руки не только внешних (привет, стойкость периметральной защиты!), но и внутренних нарушителей (что куда вероятнее)...

в сторону (с) :)
если не ошибаюсь, как-то давно malotavr развлекался в этой связи ("подразделение В, отдел Х - это не уникальные свойства объекта").

to oko
вы слишком близко к сердцу воспринимаете дискуссию именно об идентификации субъекта ПДн. хотя, полезное, несомненно, есть - популяризация внедренцев от ИБ на лицо :)

> Необходимо будет как-то уломать врачей местных лечебниц на раскрытие весьма интимной информации (или пойти путем более эмпирическим, ага). Но, попади под руку структурированный перечень таких лиц, мне будет куда проще и быстрее, вооружившись оными данными, исписать все стены в округе фразами аля "***а проститутка!

весьма вольное сравнение об объёмах идентифицирующих признаков - Пупкин Василий Алибабаевич, отдел ИБ ЗАО Газпромнефтьтранссбытснабгаз и Пупкина Надежда Константиновна, Зажопинск, ул.Маркса д.11 кв.1

PS для Пупкина забыл добавить дирекция защиты, а для Пупкиной - число, месяц и год выпуска

to Alex
<весьма вольное сравнение об объёмах идентифицирующих признаков>
Умному хватит вчера, а дураку и не надо (с) Т.е. весь вопрос не в объемах (они нужны для "лобового" решения задачи), а в месте их приложения. Стечение обстоятельств, нужное время и т.п. совокупность факторов. Не спорю, на том и зиждется вся ЗИ (не допустить нарушителя до нужных условий), но, повторю еще раз свой отчасти риторический вопрос: зачем ему вообще в руки давать часть ключа, когда можно не давать ничего? К тому же оперировать ключом столь беспечно? И еще одна пословица вспомнилась, сугубо применимая к рассматриваемой нами ситуации - "Не стоит класть все яйца в одну корзину"...
А ваши замечания весьма верные. Но для сферической ситуации в вакууме (без обид). Применительно к корпоративному порталу и +100500 его штатных субъектов доступа (и объектов тоже) решать задачу стоит более... мнэ... элегантно. Взвесив все "ЗА" и "Против" как можно более тщательно. А я всего лишь пытаюсь показать, что беготня по графу возможных последствий зачастую не стоит того бонуса, который предполагает внедрение автоматизации при обработке ИОД...

<хотя, полезное, несомненно, есть - популяризация внедренцев от ИБ на лицо>
Вторично нихрена не понял, но опять-таки понравилось :)

to oko,
>зачем ему вообще в руки давать часть ключа, когда можно не давать ничего?
это к ТС. или мы уже перешли к рассмотрению задачи без учёта "требований бизнеса"?

>замечания весьма верные. Но для сферической ситуации
это для дискуссии о тт. Пупкиных? согласен :)

>Применительно к корпоративному порталу и +100500 его штатных субъектов доступа (и объектов тоже) решать задачу стоит более... мнэ... элегантно
не могу не согласиться. и делать это надо, как завещал великий Л.. ФЗ152

>Вторично нихрена не понял
.

вторично закругляюсь, если есть желание продолжить дискуссию, лучше завести отдельную тему.

to Alex
Эта тема ничем не лучше других - задача топикстартера решена (более-менее), а место на форуме различается разве что заголовком. Но... кроме моих риторических вопросов и ваших *вырезано* столь напоминающих мои же обычные замечания в соседних ветках форума */вырезано* на них ответов больше в этой дискуссии ничего необычного не предвидится. Так что, пожалуй, поддержу идею "закругляться" - останемся при своих и разойдемся до следующего раза :)