Контакты
Подписка
МЕНЮ
Контакты
Подписка

Отправка квитков с ЗП по электронной почте - Форум по вопросам информационной безопасности

Отправка квитков с ЗП по электронной почте - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 3 >

Автор: add425 | 75301 10.08.2017 09:23
Доброго дня, коллеги.
Просветите, насколько корректно отправлять каждому на эл. ящик квитки с ЗП и авансом учитывая тот факт, что там ПДн.
P/s
также утверждено положение по которому передача ПДн по незащищенным каналам строго ЗАПРЕЩЕНА.
к почте из вне доступа нет, только внутри организации.

Автор: ustav | 75309 10.08.2017 12:42
Формально, если актуальна угроза доступа иных сотрудников из ЛВС компании или с ПК субъекта при многопользовательской работе, не допущенных к ПДн приказом - нужно бы шифровать...
Если обоснуете неактуальность такой угрозы - флаг в руки! Или вообще наплюйте ;)
ЗЫ: Тапок не боюсь.

Автор: ГОСТ | 75315 10.08.2017 14:26
Неактуальность можно подтвердить, взяв согласие работника на передачу таких квитков с ЗП по незащищенным каналам связи?

Автор: oko | 75318 10.08.2017 15:13
*sarcasm mode on*
А что, у нас внесли новые правки в 152-ФЗ и размер валюты, начисляемый работникам, приравняли к ПДн? А к каким тогда - иным или биометрическим? Или, неужто, к специальным или общедоступным?

Если серьезно, то отправляйте эти квитки по email, предварительно заменив ФИО и должность на внутренний буквенно-циферный идентификатор. Идентификаторы пусть ведет ваша бухгалтерия и ОК. Реализовать это даже прозрачно можно (автоматическая замена). И будет вам счастье под названием "обезличивание персональных данных"...

Автор: Нефедьев С.Г. | 75326 10.08.2017 22:13
1. Квитки содержат в том числе данные о надбавках. Для некоторых категорий работников - такие сведения будут ДСП.
2. Разработка "Буквенно-циферных идентификаторов", не являющихся табельными номерами, для бухгалтерии будет сравни "полету в космос". Как правило бухгалтерия работает именно с табельными номерами, привязанными к конкретным ПДн физических лиц, зарегистрированных в системе кадрового и бухгалтерского учета.
3. Табельные номера кроме этих ИСПДн привязаны к учетным записям в AD.

В итоге имеем: в системе почтовых сообщений будут обрабатываться общедоступные ПДн, на которые получено согласие субъектов ПДн, являющихся работниками организации, и ПДн иных категорий данных субъектов, которые могут являться ДСП.
В аттестованной сети по классу 1Г, в которой к почтовому серверу нет доступа из недоверенных сетей и из Интернет, рассылка сообщений в виде архивов с квитками, "закрытых " паролем, позволяет обеспечить требуемую степень конфиденциальности ПДн, если принцип формирования пароля будут неизвестен никому кроме администраторов безопасности ИСПДн.

Автор: oko | 75331 11.08.2017 00:48
*в сторону* ой бред-то какой... теплое с мягким, не разобравшись, за настоящий сырник выдают...

Автор: Нефедьев С.Г. | 75370 11.08.2017 08:20
oko | 75331
*в сторону* ой бред-то какой... теплое с мягким, не разобравшись, за настоящий сырник выдают..."

Поменьше злословьте, не ёрничайте и повторяйте матчасть перед тем, как делать выводы.

add425 | 75301
"Просветите, насколько корректно отправлять каждому на эл. ящик квитки с ЗП и авансом учитывая тот факт, что там ПДн"

При выполнении требований по ЗИ для соответствующего класса защиты информации (защищённости ПДн) вполне коорректно (см. Нефедьев С.Г. | 75326).
Большим красным шрифтом внесите в НПА организации фразу "про запрет доступа к почте с мобильных электронных устройств".
С учетом взаимодействия большинства систем в сети организации, целесообразно всю сеть рассматривать как ИСПДн, а её системы как подсистемы.

Автор: oko | 75378 11.08.2017 12:04
to Нефедьев С.Г.
Вам бы самому подучиться, любезнейший. Начать хотя бы с того, что ДСП - пометка, которая де юре допустима только в гос.организациях. А это уже ГИС (никак не АС по 3Б/2Б/1Д/1Г). И с того, что ЗП и ее составляющие к КТ относиться не могут (значит, опять не АС, опять не 1Г). А потом почитать про обезличивание ПДн, сравнить риски безопасности и сложности реализации и дать нормальный совет топикстартеру, а не нечто вроде *зачеркнуто* какой-то шляпы, как обычно */зачеркнуто*: <Большим красным шрифтом внесите в НПА организации фразу "про запрет доступа к почте с мобильных электронных устройств">..
Про семантику оборота <целесообразно всю сеть рассматривать как ИСПДн, а её системы как подсистемы> в аспекте целесообразности и законодательно утвержденного понятия "сегментирование" вообще молчу...

ЗЫ <Поменьше злословьте, не ёрничайте> - помять, вестимо, короткая, поскольку на эту тему мы с вами с год назад уже говорили...

Автор: Нефедьев С.Г. | 75411 12.08.2017 21:46
oko | 75378

"... Начать хотя бы с того, что ДСП - пометка, которая де юре допустима только в гос.организациях. А это уже ГИС ..."

Око, я никогда не считал Вас "небожителем" :)
Вы же вроде бы специалист исключительно практической направленности.
То, о чем Вами сказано - "должно быть", однако в реальности таковым не является :)

Мой совет "топикстартеру" основан на оценке развития "ИТ-хотелок" менеджеров организаций, для которых деньги и проекты - в первую очередь, а ИТ-безопасность - по мере необходимости.

Автор: oko | 75412 13.08.2017 02:36
to Нефедьев С.Г.
<"должно быть", однако в реальности таковым не является> - это не повод вводить людей в заблуждение, предлагая решения, устаревшие настолько, что законодатель уже сам их поменял (в части АС 1Г вместо ГИС нужного класса, ага)...
<Мой совет "топикстартеру" основан на оценке развития "ИТ-хотелок" менеджеров организаций> & <вроде бы специалист исключительно практической направленности> - именно, что специалист. Поэтому, imho, советы, ориентированные на менеджеров, лучше сразу смывайте в унитаз, а не пишите тут. Совет вопрошающему должен быть с позиции "как надо", а "как получится" он разберется позже вполне самостоятельно...

ЗЫ Сколько воды по факту неприятия метода обезличивания ПДн, который к тому же никому и ничего не стоит (за мелким исключением). Знать бы, что вами руководит при выборе такой стратегии? Впрочем, нет, оставьте. В Сеть и без того много мусора сливают каждые сутки...

Страницы: 1 2 3 >

Просмотров темы: 8835

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*