суббота, 25 июня 2016 г.

Как защитить персональные данные в организации? Часть 2

Продолжаю тему защиты ПДн в организации.

Выделить информационные системы задача с одной стороны простая, с другой всё не просто. Напишу с чем я сталкивался, и что делают люди и какой подход у нас. Могу сказать что в каждом случае подход к выделению или объединению информационных систем индивидуальный по разным факторам. Например недавно смотрел документы одной организации, они выделили в отдельные ИСПДн такие программы, как "Налогоплатильщик" "SPU orb" и остальные вспомогательные программы для предоставления отчётности. Я считаю это не совсем верно. Логичней было бы все программы которые связаны с бухгалтерией и кадрами объединить в одну. И в дальнейшем оперерировать одним каким то понятием ИСПДн. Кроме этого экономит время и затраты на документацию. Одно дело вести несколько ИСПДн и другое- вести всего одну. Многие скажут что легче тогда объединить вообще все ИСПДн в одну и не заморачиваться. Но это тоже неверный путь. Представьте, У вас две ИСПДн Одна локальная а другая распределённая с отделениями в филиалах. В той которая распределённая будет скорее всего с дополнительными средствами защиты информации (СЗИ), что естественно увеличит затраты. И получается, что объединяя данные ИСПДн вы тем самым увеличиваете свои затраты на СЗИ. И при работе локальная ИСПДн получает совершенно ненужные дополнительные СЗИ отягощающие работу пользователя и внося дополнительные затраты.

Так что при объединении ИСПДн, необходимо подумать, как лучше будет это сделать и выгодней для вас и вашей организации.

Отдельно бы хотелось сказать про государственные информационные системы. Как правило кому принадлежит ГИС тот и выставляет требования по защите информации в том числе и к защите ПДн. И как часто это бывает, у организаций уже устанавливаются либо клиентские рабочие станции ГИС либо отдельные сегменты ГИС и защищаются по требованиям владельца ресурса.

И так вы определились с ИСПДн и дальнейшим этапом является моделирование угроз информационной безопасности ИСПДн и классификация ИСПДн.

2 комментария:

  1. Добрый день! Подскажите, пожалуйста, правильно ли выделять сайт компании в отдельную ИСПДн? На сайте клиент может записаться на прием, или же оставить данные для связи. Тем самым идет сбор таких данных как: ФИО, дата рождения, телефон, электронная почта. База с этими ПДн храниться на хостинге.

    ОтветитьУдалить
    Ответы
    1. Антон, добрый день!
      Считаю, что ДА необходимо.

      согласно ФЗ №152 ст.3
      Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
      Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

      Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

      Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

      согласно ФЗ №149 ст.2
      владелец сайта в сети «Интернет» - лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети "Интернет", в том числе порядок размещения информации на таком сайте

      провайдер хостинга - лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет»

      Из перечисленных определений можно говорить, что сайт является ИСПДн, а владелец сайта –оператором ИСПДн. Провайдер хостинга будет третьей стороной, которой передаётся или поручается обработка ПДн (договор).

      Удалить