Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Перечень ОРД по ПДн (пересмотрено 2)

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(9)
()
Внес мелкие правки в перечень ОРД по ПДн в связи с выходом ПП1119 и ожиданием выхода SOISO.
Добавил несколько документов: "Регламент доступа к ПДн" (включая перечень лиц, допущенных к обработке ПДн) (вместо перечня лиц), "Положение о применимости базовых мер защиты ПДн", сделал акцент на документ "Положение об обеспечении безопасности ПДн"

Майндкарту можно скачать по ссылке.



Оцените материал:
Total votes: 92
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Ржавский Константин

Андрей, а вот по каждому из пунктов Вашей схемы хорошо бы подкрепиться ссылкой на ФЗ, ПП, приказа, на крайний случай, что ДА такой документ нужен. Если нет, то поставить ИМХО.

up
54 users have voted.
Аватар пользователя prozorov

Добрый день, Константин. Да, вы правы, требования по большинству документов явно не прописаны в законе и подзаконных актах (есть требование только по общедоступной политике по обрабоитке). Итоговый перечень документов - результат детального анализа требований регуляторов, наработанного опыта (в т.ч. по международным стандартам ИБ), ну и здравого смысла. 

Посмотрте комментарии к ранним публикациям, я по многим вопросам аргументировал свою точку зрения:

23.03.2012 http://80na20.blogspot.ru/2012/03/blog-post.html

03.12.2012 http://80na20.blogspot.ru/2012/12/blog-post.html

26.03.2013 (пока комментариев нет) hhttp://80na20.blogspot.ru/2013/03/2_26.html 

 

up
45 users have voted.
Аватар пользователя Ржавский Константин

Андрей, можно я поправлю: требования "по общедоступной политике по обработке" - нет, и многие в этом заблуждаются, есть требование "по публикации документов отражающих политику организации .....". Требования регуляторов, к сожалению ни чем не подкрепленные, это беда. А здравый смысл, это отдельная категория и следуя ему Ваш список надо бы сократить раза эдак в 3 минимум. ИМХО.

up
39 users have voted.
Аватар пользователя prozorov

Константин, спасибо за уточнение. Но давайте посмотрим закон. в нем есть следующие цитаты "Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. " и есть отдельно "издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений."

По поводу здравого смысла и сокращения количества документов. Посмотрте подробнее представленные в ссылках комментарии, я уже отвечал не раз на подобные вопросы... 

Но еще раз повторю важную мысль: да, вы можете СОКРАТИТЬ КОЛИЧЕСТВО документов путем их ОБЪЕДИНЕНИЯ (например, в положении о безопасности вы будете писать про логи, управление инцидентами и конфигурацией, писать про Wifi и мобильные устоойства; туда же можете и добавить про АВЗ, контроль (аудит) и прочие). В представленной модели есть очень короткие (1-2х страничные). УДАЛЯТЬ/НЕ РАЗРАБАТЫВАТЬ какие-то из них я бы не рекомендовал.

Если у Вас другое мнение (т.е. считаете, что какие-то документы в принципе не нужны, их не надо делать), то напишите с наличием какого конкретно документа Вы не согласны. Готов обсуждать, может быть Вы и правы...

up
40 users have voted.
Аватар пользователя Ржавский Константин

Андрей, я на эту проблему смотрю немного иначе, и именно это наталкивает меня на мысль, что от нашего с Вами мнения ничего не зависит и обсуждать тут частности каких то документов - не интересно тем кто их создает и не актуально на местах (у каждого свой местный регулятор, со своими мухами в голове). Мои бодания с vsv, судя по Вашей осведомленности о новых приказах, ни к чему не привели. Посему считаю Вашу публикацию полезной, с точки зрения чем больше мнений, тем больше знаний!

Жаль, что никто более не высказался.

up
55 users have voted.
Аватар пользователя prozorov

Кстати, Вы меня вдохновили на написание еще 1го поста про сокращенный перечень документов. Уже заканчиваю, скоро будет )))

up
45 users have voted.
Аватар пользователя Ржавский Константин

Да, кстати Андрей, а как Вам такой посыл: Считаю, что отдельных Положений по обработке и защите ПД создавать не надо т.к. нигде сия надобность не прописана, есть Положение по конфе -  там и напишите, нет и не надо, сделайте только те инструкции или иные локальные акты которые действительно нужны и нечего плодить никому не нужные документы (кроме тех, которые отражают прописанные в 152ФЗ и ПП процедуры).

up
76 users have voted.
Аватар пользователя prozorov

Дело в том, что в положениях по "обработке и защите" вы как раз и пропишите все требования которые должны быть документированы, но нет необходимости выделять отдельный документ.

Идея с положением о конфе хорошая, я несколько раз встречал удачные документы, в которых хорошо про ПДн написано.

up
49 users have voted.
Аватар пользователя Атаманов Геннадий

Андрей! Вы - счасливчик! Увидеть документ, в котором про ПДн написано хорошо - это редкостная удача! По моему мнению, невозможная. А оказалось, что я был не прав. Правда, пока сам не увижу, не поверю. Такой вот у меня подход. 

Пока же всё, что встречалось мне , всё, что есть в Интернете - абсолютнейшая глупость, тупое переписывание положений 152-ФЗ, ПП, приказов регуляторов. И ругать их авторов за это нельзя, ибо ничего другого и быть не может в такой ситуации. Более того, именно это требуют регуляторы. Инициатива наказуема! А перепишешь весь этот бред, и будет тебе счастье! Вот только природу жалко. На эту галиматью столько бумаги в масштабах страны уходит, что скоро в Сибири тайги уже не будет, а будет пустыня. Придётся тайгу всю вырубить на положения, правила, инструкции, согласия, разъяснения, модели, акты категорирования, паспорта АРМ, протоколы замеров, аттестаты соответствия, акты проверок и т.д. и т.п. Пока всё это нужно умножить на сотни тысяч или единицы миллионов (операторов-юр.лиц), а скоро ещё на 140 млн. (физ. лиц). Кошмар, да и только! А если сюда прибавить ещё и конфу, гостайну, тайну коммерческую, тайну усыновления и ещё 50 видов тайн, на которые нужно тоже "полный пакет документов" иметь, то становится по В.Высоцкому - "Страшно, аж жуть!"

up
38 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.