Форум Тринити

Открытый технический форум по серверам и системам хранения данных, кластерным решениям, SAN, NAS.
Текущее время: 18 ноя 2017, 08:47

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ 1 сообщение ] 
Автор Сообщение
СообщениеДобавлено: 13 авг 2013, 23:00 
Не в сети
Junior member

Зарегистрирован: 22 май 2013, 11:14
Сообщения: 15
Откуда: Санкт-Петербург
14 декабря 2012 года на сайте Роскомнадзора появились разъяснения, касающиеся сложных моментов, связанных с обработкой персональных данных. Нововведений много. Однако первое, что бросается в глаза, то, что оказывается разъяснение Роскомнадзор дает по ключевым наболевшим и избитым операторами проблемам законодательства в сфере защиты ПДн, но сам как гос орган не имеет правового статуса давать какие-либо разъяснения. Более того, использовать, как официальные ответы налоговой, для оправдания своих действий при проверках или подготовках к ним тоже не получается. Определенная непонятная ситуация между ведомствами регуляторов РОскомнадзора, ФСТЭК приводит оепраторов в очередной тупик, когда надо что-то делать, спросить не у кого, а если делать, то ошибешься с выводами проверяющих, на суд которых мы так или иначе выходим не подготовленными. С другой стороны, если делать тщательно по закону 152-ФЗ, тоже не получим эффекта: потратимся. Выводы по опыту проектов:
1. Объединять в одном проекте создание системы защиты конфиденциальной информации и персональных данных, так сказать в одном флаконе автоматизированной системы защиты информации.
2. Под автоматизированной системой защиты информации компании следует понимать взаимоувязанную едиными целями защиты (предотвратить и если инцидент произошел - оперативно расследовать и устранить причину) совокупность организационно-правовых мер, персонала обслуживающего систему, технических средств защиты, а также технологии обработки и защиты ПДн.
3. К обеспечению безопасности ПДн и конф информации выгодно подходить честно, в соответствии с системным подходом, а не комплексным или рациональным или каким другим. Пользуясь международным опытом по ИСО 27001\17799 + аудиты раз в три года по COBIT (об этом см методику в сл статье)
4.не забываем, что система строится и работает только в динамике, нужен процессный подход к контролю за ней по ИСО 9004. Лучшего не придумаете. Обычный контроль без добавления нового качества на аудитах быстро умирает а доверие не восстановить.
4


Вложения:
роскомнадзора об обработке ПДн работников1.txt [60.41 КБ]
Скачиваний: 184
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ 1 сообщение ] 

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB