Цели обработки ПД - Форум по вопросам информационной безопасности

Товарищи, просьба, пожалуйста, проконсультировать.

В 152-ФЗ есть требование о недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Речь конечно не про объединение БД, но если например определить ИСПДн "Сотрудники", где обработка будет вестись для разных подцелей: передача данных в разные органы, начисление з/п (в том числе, передача в банк), использование ПД для различных внутренних мероприятий и т.п.

Так вот, можно ли все это назвать одной ИСПДн или нужно выделять несколько испдн для каждой подцели?

Обсуждали недавно. Если не ошибаюсь решили, что можно назвать одной.

Передача, хранение, расчет (с участием ПДн) и проч - уже задачи. А цель одна - обработка ПДн сотрудников организации в соответствии с требованиями ТК и иных законодательных актов РФ в области труда. Так что да, можно объединить. Хотя я бы советовал либо сегментировать, либо все-таки разбить на разные ИСПДн, в случае, если персонал (пользователи) различны. Чтобы не вступать на скользкую тропу выбора и интеграции (при их отсутствии) средств разграничения доступа на всех уровнях (физический, локальный, межсетевой и т.д.)...

Спасибо.

oko
"Чтобы не вступать на скользкую тропу выбора и интеграции (при их отсутствии) средств разграничения доступа на всех уровнях (физический, локальный, межсетевой и т.д.)"
А что имеется ввиду?

------------------
Еще вопрос.

В рамках мунуслуг делаются смэв запросы результатом которым являются доки, содержащие ПДн.

Т.е. не мы передаем, а нам передают. Вопрос можно ли это считать действием - "передача"?

to Вопрос
1. При сегментации ИС реализуется разграничение доступа к ИОД, в ней обрабатываемой, на всех уроанях обработки. Если ИС развернута на базе одной ПЭВМ (АРМ) - на физическом уровне (непосредственный доступ к устройствам ввода-вывода, в помещение, к машинным носителям и т.п.) и на локальном уровне (вход в ОС, запуск программ и т.п.). Если несколько сетевых ПЭВМ (peer-to-peer, выделенный сервер и т.п.), то добавляем межсетевой уровень (фильтрация по адресам, по портам, по полям протоколов, ids/ips при желании/необходимости и т.п.). Если ИОД обрабатывается в СУБД, то еще и уровень СУБД (фильтрация запросов, потоков к разным базам данных, уч.записей и т.п.). И далее по такому же принципу, что нередко превращается в крайне увлекательную игру под названием 'слепи и обоснуй защиту в отсутствие бюджета и кадров'...
2. СМЭВ, как много в этом звуке... Вашу ситуацию лучше описать как 'предоставление доступа к данным по запросу установленным порядком'. А далее конкретизировать, что, когда, кому и как. Но... По-хорошему, вам также нельзя забывать о разграничении доступа к ИОД и контролю (фильтрации) в рамках таких смэв-запросов.

oko
Спасибо.

Интересно. А если есть БД (1С Бухгалтерия) где ведется учёт контрагентов (фио директора, должность, телефон), учет выдачи мат. ценностей (сотрудники, фио, должность, паспорт), доходов по муниципальным услугам (ФЛ, фио, адрес, телефон, паспорт).
Как это вообще делить - ведь цели-то разные?