Автор: add425 | 75301 | 10.08.2017 09:23 |
Доброго дня, коллеги.
Просветите, насколько корректно отправлять каждому на эл. ящик квитки с ЗП и авансом учитывая тот факт, что там ПДн. P/s также утверждено положение по которому передача ПДн по незащищенным каналам строго ЗАПРЕЩЕНА. к почте из вне доступа нет, только внутри организации. |
Автор: ustav | 75309 | 10.08.2017 12:42 |
Формально, если актуальна угроза доступа иных сотрудников из ЛВС компании или с ПК субъекта при многопользовательской работе, не допущенных к ПДн приказом - нужно бы шифровать...
Если обоснуете неактуальность такой угрозы - флаг в руки! Или вообще наплюйте ;) ЗЫ: Тапок не боюсь. |
Автор: ГОСТ | 75315 | 10.08.2017 14:26 |
Неактуальность можно подтвердить, взяв согласие работника на передачу таких квитков с ЗП по незащищенным каналам связи?
|
Автор: oko | 75318 | 10.08.2017 15:13 |
*sarcasm mode on*
А что, у нас внесли новые правки в 152-ФЗ и размер валюты, начисляемый работникам, приравняли к ПДн? А к каким тогда - иным или биометрическим? Или, неужто, к специальным или общедоступным? Если серьезно, то отправляйте эти квитки по email, предварительно заменив ФИО и должность на внутренний буквенно-циферный идентификатор. Идентификаторы пусть ведет ваша бухгалтерия и ОК. Реализовать это даже прозрачно можно (автоматическая замена). И будет вам счастье под названием "обезличивание персональных данных"... |
Автор: Нефедьев С.Г. | 75326 | 10.08.2017 22:13 |
1. Квитки содержат в том числе данные о надбавках. Для некоторых категорий работников - такие сведения будут ДСП.
2. Разработка "Буквенно-циферных идентификаторов", не являющихся табельными номерами, для бухгалтерии будет сравни "полету в космос". Как правило бухгалтерия работает именно с табельными номерами, привязанными к конкретным ПДн физических лиц, зарегистрированных в системе кадрового и бухгалтерского учета. 3. Табельные номера кроме этих ИСПДн привязаны к учетным записям в AD. В итоге имеем: в системе почтовых сообщений будут обрабатываться общедоступные ПДн, на которые получено согласие субъектов ПДн, являющихся работниками организации, и ПДн иных категорий данных субъектов, которые могут являться ДСП. В аттестованной сети по классу 1Г, в которой к почтовому серверу нет доступа из недоверенных сетей и из Интернет, рассылка сообщений в виде архивов с квитками, "закрытых " паролем, позволяет обеспечить требуемую степень конфиденциальности ПДн, если принцип формирования пароля будут неизвестен никому кроме администраторов безопасности ИСПДн. |
Автор: oko | 75331 | 11.08.2017 00:48 |
*в сторону* ой бред-то какой... теплое с мягким, не разобравшись, за настоящий сырник выдают...
|
Автор: Нефедьев С.Г. | 75370 | 11.08.2017 08:20 |
oko | 75331
*в сторону* ой бред-то какой... теплое с мягким, не разобравшись, за настоящий сырник выдают..." Поменьше злословьте, не ёрничайте и повторяйте матчасть перед тем, как делать выводы. add425 | 75301 "Просветите, насколько корректно отправлять каждому на эл. ящик квитки с ЗП и авансом учитывая тот факт, что там ПДн" При выполнении требований по ЗИ для соответствующего класса защиты информации (защищённости ПДн) вполне коорректно (см. Нефедьев С.Г. | 75326). Большим красным шрифтом внесите в НПА организации фразу "про запрет доступа к почте с мобильных электронных устройств". С учетом взаимодействия большинства систем в сети организации, целесообразно всю сеть рассматривать как ИСПДн, а её системы как подсистемы. |
Автор: oko | 75378 | 11.08.2017 12:04 |
to Нефедьев С.Г.
Вам бы самому подучиться, любезнейший. Начать хотя бы с того, что ДСП - пометка, которая де юре допустима только в гос.организациях. А это уже ГИС (никак не АС по 3Б/2Б/1Д/1Г). И с того, что ЗП и ее составляющие к КТ относиться не могут (значит, опять не АС, опять не 1Г). А потом почитать про обезличивание ПДн, сравнить риски безопасности и сложности реализации и дать нормальный совет топикстартеру, а не нечто вроде *зачеркнуто* какой-то шляпы, как обычно */зачеркнуто*: <Большим красным шрифтом внесите в НПА организации фразу "про запрет доступа к почте с мобильных электронных устройств">.. Про семантику оборота <целесообразно всю сеть рассматривать как ИСПДн, а её системы как подсистемы> в аспекте целесообразности и законодательно утвержденного понятия "сегментирование" вообще молчу... ЗЫ <Поменьше злословьте, не ёрничайте> - помять, вестимо, короткая, поскольку на эту тему мы с вами с год назад уже говорили... |
Автор: Нефедьев С.Г. | 75411 | 12.08.2017 21:46 |
oko | 75378
"... Начать хотя бы с того, что ДСП - пометка, которая де юре допустима только в гос.организациях. А это уже ГИС ..." Око, я никогда не считал Вас "небожителем" :) Вы же вроде бы специалист исключительно практической направленности. То, о чем Вами сказано - "должно быть", однако в реальности таковым не является :) Мой совет "топикстартеру" основан на оценке развития "ИТ-хотелок" менеджеров организаций, для которых деньги и проекты - в первую очередь, а ИТ-безопасность - по мере необходимости. |
Автор: oko | 75412 | 13.08.2017 02:36 |
to Нефедьев С.Г.
<"должно быть", однако в реальности таковым не является> - это не повод вводить людей в заблуждение, предлагая решения, устаревшие настолько, что законодатель уже сам их поменял (в части АС 1Г вместо ГИС нужного класса, ага)... <Мой совет "топикстартеру" основан на оценке развития "ИТ-хотелок" менеджеров организаций> & <вроде бы специалист исключительно практической направленности> - именно, что специалист. Поэтому, imho, советы, ориентированные на менеджеров, лучше сразу смывайте в унитаз, а не пишите тут. Совет вопрошающему должен быть с позиции "как надо", а "как получится" он разберется позже вполне самостоятельно... ЗЫ Сколько воды по факту неприятия метода обезличивания ПДн, который к тому же никому и ничего не стоит (за мелким исключением). Знать бы, что вами руководит при выборе такой стратегии? Впрочем, нет, оставьте. В Сеть и без того много мусора сливают каждые сутки... |
Просмотров темы: 8835