tag:blogger.com,1999:blog-7314557066073505547.post355329778444097266..comments2022-12-07T02:29:45.629-08:00Comments on Блог Сергея Борисова про ИБ: ПДн. Эксплуатация. Перечни ФИО или должностей сотрудников?Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.comBlogger9125tag:blogger.com,1999:blog-7314557066073505547.post-30944472041374003472017-09-19T06:36:15.867-07:002017-09-19T06:36:15.867-07:00Коллеги, у меня тоже сложилось впечатление что РКН...Коллеги, у меня тоже сложилось впечатление что РКН пока не фиксирует как нарушение, если в перечне лиц не указаны конкретные ФИО - на в нашей практике, ни в опубликованных судебных делах. моё мнение, что РКН просто решили пока не трогать этот спорный момент, пока есть более серьезные нарушения...<br /><br />Но всё-таки, я считаю РКН/Минкомсвязи надо было бы в каком то информационном письме или методическом документе разъяснить, что должно входить в минимальный состав перечня... <br /> Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-54208056665582112472017-09-17T22:13:56.116-07:002017-09-17T22:13:56.116-07:00В дополнение. Завершилась проверка которую мы сопр...В дополнение. Завершилась проверка которую мы сопровождали. У Управления РКН по ЦФО вопросов к перечню, содержащему только должности с подразделениями не возникло.ЗВДhttps://www.blogger.com/profile/04693335588111292032noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-50834464396485940992017-09-16T02:03:19.020-07:002017-09-16T02:03:19.020-07:00Приципильаный перечень в виде должностей, в локаль...Приципильаный перечень в виде должностей, в локальных актах.<br /><br />Реальный перечень с фио и ролями будет в самой ИСПДн, из нее можно при необходимости получать текущие срезы доступов. Каждый доступ должен быть подтвержден согласующим документом.<br />Заведение доступов должно быть под непрерывным техническим мониторингом, на предмет пресекания левых учеток.Roman Shttps://www.blogger.com/profile/13424224501197559617noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-85516853858508780802017-09-14T00:02:29.594-07:002017-09-14T00:02:29.594-07:00Я вот перечитал абзацы ответа до фразы "Таким...Я вот перечитал абзацы ответа до фразы "Таким образом" и не вижу из чего "таким образом" сделан вывод о том что нужно указание ФИО. Пока лично считаю что оператор вправе зафиксировать МАКСИМАЛЬНО ВОЗМОЖНОЕ множество допущенных лиц, путем перечисления должностей в локальных актах, аргументируя это положения ПП 211 (мол, а почему нам нельзя, если госам можно?). <br />При этом детальные деления ролей/полномочий, распределение допущенных лиц по ИСПДн и т.д. ТОЖЕ ДЕЛАТЬ, но уже за раками локальных актов (в виде регулярно обновляемых перечней с ФИО, но скажем в электронном виде или в специальной системе). <br />Т.е. как и предлагает Proximo отделять бумажную безопасность от реальной.ЗВДhttps://www.blogger.com/profile/04693335588111292032noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-61798599073081248132017-09-13T23:31:45.301-07:002017-09-13T23:31:45.301-07:00Всё таки говорить про "стоимость защиты больш...Всё таки говорить про "стоимость защиты больше стоимости самой информации"? Вы не сетевой экран покупаете за миллион долларов. А легко исправить нарушение, это когда у вас обрабатывающих ПДн 10, 20, 50 человек. А если 300? Закон един для всех. И как что-то видит региональный РКН - это, это конечно, замечательно. НО! РКН не имеет право трактовать Федеральный закон. Пояснение дал, по запросу Сергея, именно законотворческий орган - Минкомсвязи. Есть требование, его нужно хотя бы попытаться исполнить. А не искать лазейки, чтобы не получалось как в той поговорке... Ну а если уж на то пошло, так сложилось - в нашей стране есть две безопасности: техническая и бумажная. Бумажная - да, и от регуляторов тоже. Хотя не только. Без правильно организованной локальной нормативной базы на более-менее крупном предприятии совсем никак. Иначе рискуете в один прекрасный момент услышать фразу типа: "А где это написано?! Почему я должен делать именно так и не по-другому?". Anonymoushttps://www.blogger.com/profile/04363508597126502092noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-9441721927112233512017-09-13T21:58:41.244-07:002017-09-13T21:58:41.244-07:00Ранее считал что точку в этом вопросе поставило ПП...Ранее считал что точку в этом вопросе поставило ПП 211, согласно которому требуется: "перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным".<br />Понятно что ПП 211 только для государственных и муниципальных органов, но считал что можно рассматривать его как ориентир для других госучреждений и коммерческих структур (для них не должны быть жестче требования).ЗВДhttps://www.blogger.com/profile/04693335588111292032noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-10324498052912732802017-09-13T04:50:49.506-07:002017-09-13T04:50:49.506-07:00Нижегородская область, МФЦ. Используем должности б...Нижегородская область, МФЦ. Используем должности без ФИО в таких перечнях. Мы считаем, что допуск к обработке ПДн должен быть на основе роли. Ответственные же лица указаны с ФИО. В июне 2017 прошли месячную проверку РКН по ПФО.<br />Но у нас в регионе другие особенности. Под исключения в ст. 22 152-ФЗ (уведомление РКН) у нас не попадает кадровый учет в 1С, т.к. по мнению РКН автоматизация - это не про пункт "в соответствии с трудовым законодательством".Anonymoushttps://www.blogger.com/profile/16657240946314450503noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-36576669036056525552017-09-13T01:08:36.154-07:002017-09-13T01:08:36.154-07:00В результате такой подход приводит к бумажной защи...В результате такой подход приводит к бумажной защите.<br />Легче предоставить всем сотрудникам доступ ко всем ПДн, чем рисовать настоящие роли и заботиться о защите данных, поскольку риск от утечки ниже, чем риск некомплаенса.<br />Давно известно, что когда защита информации стоит больше, чем сама информация, проще принять риск утечки, чем эту информацию защищать.<br />Поэтому ведение "неименных списков" считаю достаточно мерой для обеспечения соответствия. А если при проверке регулятор выставит дополнительные требования, то их можно достаточно быстро исполнить. Насколько я помню, сейчас даже оштрафовать за это непросто.Дмитрийhttps://www.blogger.com/profile/12610484098090114033noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-45278892735588981112017-09-12T23:18:12.934-07:002017-09-12T23:18:12.934-07:00Совершенно согласен. Ещё приведенное выше утвержде...Совершенно согласен. Ещё приведенное выше утверждением РКН по ЮФО вполне всё чётко объясняет - почему нужно вести поименные перечни. Да и в нормативных актах, я считаю, всё чётко было указано. Ну и Минкомсвязи ещё подключился. А все эти качели с наличием или отсутствием ФИО допущенных к обработки ПДн работников в таком перечне сугубо от нежелания и лени ответственного работника за ведение такого списка. <br />Вот пример из жизни. Был в конце 2016 года на семинаре по организации обработки ПДн, который организовывал РКН по ЮФО. Вела семинар руководитель отдела, который как раз занимается проверками в сфере организации обработки ПДн. И в конце семинара был упомянут вопрос поименных списков. На что я в коллективном обсуждении высказал довольно чёткую позицию - нужно вести поименные списки, опираясь на такое требование в подзаконных актах. На что с переднего ряда была реплика: "Ну как же?! Мы крупная компания! Вы представляете как я буду это делать?!". Вопль (именно так) было явно, по всему видно, от кадрового работника, и поддакивал ей рядом сидящий айтишник. На бедняг повесили всё это хозяйство и они были явно не в восторге от такой перспективы. Понятное дело - кадровик осознал, что кроме всего прочего ещё и вот такое вести нужно, и стало ему грустно. Да, работы при этом достаточно, не спорю. Но есть чёткое указание в нормативных документах. Всё, о чём тут спорить? И что примечательно, ведущая семинара как-то вяло отреагировала на наше такое бурное обсуждение, склоняясь больше к тому, что именно поименные перечни не нужно вести, достаточно списка должностей. Это меня очень удивило. Поэтому представителям "крупной организации" не стал доказывать очевидное, и пожелал им удачи в грядущих проверках.Anonymoushttps://www.blogger.com/profile/04363508597126502092noreply@blogger.com