Тема форума: Модель угроз ПДн | Форумы "Кадровое делопроизводство" | Сообщение № 546202
Вход в личный кабинет
989899@rambler.ru
телефон компании Кадровик-практик
добавить сайт в закладки
8 (8442)98-98-998 (917) 338-98-99
Авторизация на сайте Кадровик-практик
Вход в личный кабинет
Модель угроз ПДн

Модель угроз ПДн , Публикация №546202

Вход в личный кабинет
Регистрация
Забыли свой пароль?
Войти как пользователь:
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
Корзина
Корзина0 позиций
на сумму 0 руб.

Поиск Правила Войти
Форум. ЧПУ » Кадровое делопроизводство
Страницы:1
Ответить
RSS
Модель угроз ПДн
 
#1
17.11.2014 10:29:57
Коллеги!!Нужна срочная помощь!!Идет проверка из Роскомнадзора, взяли все документы по защите и обработке, которые были (политика, положение, все возможные инструкции и приказы)! Но все мало! Затребовали модель угроз! На сайте ФСТЭК нашла базовую модель угроз, но что с ней дальше делать не очень понимаю.Как выявляются эти угрозы, на чем основываются!?? Помогите, пожалуста, может кто с этим сталкивался?
 
   Цитировать   Имя
 
#2
17.11.2014 11:43:30
Если есть возможность поделиться этим документом буду очень признательна!
 
Цитировать   Имя
 
#3
17.11.2014 14:08:12
Цитата
nata1991 пишет:
Затребовали модель угроз!
Ужас какой-то..... А на основании чего такие требования? Нет такого документа в перечне обязательных для организаций.

Кадровику: пошаговые инструкции, образцы документов

 
Цитировать   Имя
 
#4
18.11.2014 15:38:26
Цитата
Снеженка пишет:



Цитата


nata1991 пишет:
Затребовали модель угроз!Ужас какой-то..... А на основании чего такие требования? Нет такого документа в перечне обязательных для организаций.
Это требование есть в ФЗ о Персональных данных, вот статья из него:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.


Мы сейчас тоже пытаемся решить эту проблему, но пока никуда не продвинулись.
Изменено: Ирина Федоровна - 18.11.2014 15:40:11
 
Цитировать   Имя
 
#5
18.11.2014 16:03:27
Цитата
Ирина Федоровна пишет:
Мы сейчас тоже пытаемся решить эту проблему, но пока никуда не продвинулись.
А как Вы пытаетесь решить этот вопрос?Это вообще реально самостоятельно сделать, без помощи специалистов в этой области?Просто у нас даже системный администратор не совсем понимает о чем речь! Теория, я так понимаю везде одинаковая, только нужно подгонять под свою организацию (типы ИСПДн, состав ПДни тд), а вот определение актуальных угроз и выявление всякого рода коэффициентов..это что то
 
Цитировать   Имя
 
#6
18.11.2014 16:13:47
Цитата
Ирина Федоровна пишет:
1. Оператор при обработке персональных данных

nata1991, для начала определиться являетесь ли Вы им??????????
Обычная организация им не является однозначно просто!
А вот если всё таки являетесь, то вряд ли поможем, т.к. тут своя специфика.
 
Цитировать   Имя
 
#7
18.11.2014 16:28:51
Цитата
Серега пишет:
Обычная организация им не является однозначно просто!
Почему? Разве мы не обрабатываем персональные данные сотрудников нашей организации? Это делает абсолютно все организации. Мы уже являемся оператором ПДн. А так как мы являемся еще и оператором связи, ПДн у нас разделяются на 2 категории - сотрудников и абонентов
 
Цитировать   Имя
 
#8
18.11.2014 16:58:15
Цитата
nata1991 пишет:
Разве мы не обрабатываем персональные данные сотрудников нашей организации? Это делает абсолютно все организации. Мы уже являемся оператором ПДн.
Нет, мы обрабатываем в рамках законодательства и операторами не являемся.

Цитата
nata1991 пишет:
А так как мы являемся еще и оператором связи,
А вот здесь Вы однозначно оператор, поскольку обрабатываете данные клиентов и имеете базу данных.
Так что Вы в сразу в 2 ипостасях.
 
Цитировать   Имя
 
#9
18.11.2014 17:11:15
Цитата
Серега пишет:
Нет, мы обрабатываем в рамках законодательства и операторами не являемся.
То есть Вы относитесь к одной из этих категорий?

Действие закона не распространяется на отношения, возникающие при:
  1. обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
  2. организации хранения, комплектования, учёта и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
  3. обработке персональных данных, отнесённых в установленном порядке к сведениям, составляющим государственную тайну;
  4. обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя (утратил силу - Федеральный закон от 25.07.2011 N 261-ФЗ);
  5. предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации" (введён Федеральным законом от 28.06.2010 N 123-ФЗ).
 
Цитировать   Имя
 
#10
18.11.2014 17:15:00
Цитата
nata1991 пишет:
То есть Вы относитесь к одной из этих категорий?
Нет. Ну прочтите же определение оператора персональных данных то внимательно! А ВЫ сразу в исключения смотрите.
 
Цитировать   Имя
 
#11
19.11.2014 13:02:42
Цитата
Серега пишет:
Цитата
nata1991 пишет:
То есть Вы относитесь к одной из этих категорий?
Нет. Ну прочтите же определение оператора персональных данных то внимательно! А ВЫ сразу в исключения смотрите.
Оператор персональных данных (согласно закону РФ «О персональных данных») — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

У нас автоцентр, например. Мы обрабатываем ПД сотрудников (по законодательству) и клиентов, которые купили машину - составляем договор купли-продажи и ставим машину на учет, т.е. передаем ПД клиента. Мы являемся оператором?
Просто очень размытое определение в законе и очень размыты требования "обработки в рамках законодательства". Помогите разобраться, пожалуйста, там ведь много исключений.
 
Цитировать   Имя
 
#12
19.11.2014 15:39:42
Цитата
Ирина Федоровна пишет:
Мы обрабатываем ПД сотрудников (по законодательству)
Не оператор.

Цитата
Ирина Федоровна пишет:
клиентов, которые купили машину - составляем договор купли-продажи и ставим машину на учет, т.е. передаем ПД клиента. Мы являемся оператором?
Вот здесь уже однозначно являетесь оператором.
 
Цитировать   Имя
 
#13
20.11.2014 09:21:21
Цитата
Серега пишет:
Цитата
Ирина Федоровна пишет:
Мы обрабатываем ПД сотрудников (по законодательству)
Не оператор.
Цитата
Ирина Федоровна пишет:
клиентов, которые купили машину - составляем договор купли-продажи и ставим машину на учет, т.е. передаем ПД клиента. Мы являемся оператором?
Вот здесь уже однозначно являетесь оператором.
Значит, модель угроз нужна. Кто ее должен делать? Ведь там очень специфические нужны знания, у нас нет сисадмина. Можем ли мы обойтись своими силами? Или какого специалиста нужно нанять для этой работы?
А если мы не будем ставить машины на учет, то мы не будем являться оператором, правильно я понимаю?
Изменено: Ирина Федоровна - 20.11.2014 09:29:26
 
Цитировать   Имя
 
#14
20.11.2014 16:11:20
Цитата
Ирина Федоровна пишет:
Кто ее должен делать? Ведь там очень специфические нужны знания, у нас нет сисадмина. Можем ли мы обойтись своими силами? Или какого специалиста нужно нанять для этой работы?
Попробуйте поискать в инете, есть организации представляющие услуги в этих сферах. Заключите договор, они сделают, ещё его и на затраты кинете.

Цитата
Ирина Федоровна пишет:
А если мы не будем ставить машины на учет, то мы не будем являться оператором, правильно я понимаю?
А тут грань очень тонкая, Вы же всё равно заключаете договора с клиентами, ведёте базу клиентов и т.д. Но всё таки тут надо уже консультироваться со специалистом в этой сфере. Извините настолько глубоко не копал, да и необходимости не было.
 
Цитировать   Имя
 
#15
25.11.2014 14:11:26
Цитата
Серега пишет:
nata1991 пишет:
То есть Вы относитесь к одной из этих категорий?Нет. Ну прочтите же определение оператора персональных данных то внимательно! А ВЫ сразу в исключения смотрите.
Возможно Вы юрист или кадровый работник с большим стажем работы. К сожалению я работаю в этой области всего ничего. И вопрос ПДн (Вы сами говорите, что он требует специфических знаний) для меня далекий. Вот я и обратилась за помощью на этот форум. И то, что Вы таким образом ткнули меня носом в определение ПДн, помощи мне никакой не оказало.
 
Цитировать   Имя
 
#16
25.11.2014 14:24:20
Цитата
nata1991 пишет:
Возможно Вы юрист
Сын юриста.

Цитата
nata1991 пишет:
кадровый работник с большим стажем работы.
Не сказал бы, что уж очень большой. Жизненый и рабочий опыт да, богатый.

Цитата
nata1991 пишет:
И то, что Вы таким образом ткнули меня носом в определение ПДн, помощи мне никакой не оказало.
А как надо? Вам было указано куда надо внимательно посмотреть, для специалиста этого достаточно.

Цитата
nata1991 пишет:
И вопрос ПДн (Вы сами говорите, что он требует специфических знаний) для меня далекий.
Для операторов персональныз данных, требует специфичиских знаний, просто однозначно.
В вопросе ПДН относительно нашей кадровой работы, достаточно внимательно прочитать первоисточник внимательно, а не слушать всех подряд. В том числе и меня. Или Вы будете ссылаться на меня где то? Вот учесть множество мнений, изучить первоисточник и сделать выводы, это наше всё, извините без этого никуда.

Цитата
nata1991 пишет:
К сожалению я работаю в этой области всего ничего.
Это "отмазка" и никого и никогда не спасала, увы.
 
Цитировать   Имя
 
#17
25.11.2014 14:30:29
Цитата
Это "отмазка" и никого и никогда не спасала, увы.
Я думаю эта, как Вы говорите "отмазка", к Вам имела такое же отношение когда-то, как и ко мне. Благодарю за помощь.
 
Цитировать   Имя
 
Страницы:1
Ответить
Читают тему
BBCode   Правила
Форма ответов
 
Текст сообщения*
Перетащите файлы
Ничего не найдено
Файл
 
Кадровый самоаудитОпросыЗадачникИнформационный стенд отдела кадровФотообои
Личный кабинетКарта сайтаНаписать отзыв или предложение
О компанииСотрудничествоОтзывыВакансии
8 (8442)98-98-99
8 (917) 338-98-99
Написать письмо с сайта
989899@mail.ru
2026 Все права защищены. © Консалтинговая компания «Стратегия»