1

Тема: вопрос по классификации

Возник вопрос по классификации.
Фирма занимается производственно продажной деятельностью:
1) Хранит информацию о текущих сотрудника(Паспортные данные, доход)
2) Хранит информацию о бывших сотрудниках(Паспортные данные, доход до увольнения)
3) Хранит информацию по контактным лицам контрагентов(ФИО, телефон)

Как я понимаю по классификации это K2?

2

Re: вопрос по классификации

Немного странный вопрос smile

Напомню, что класс определяется по категории и объему.
В первом случае ИСПДн скорее всего будет класса К3
Во втором скорее всего класса К3
В третьем, в зависимости от количества записей, либо К3, либо К2. Но вообще это больше походит на обезличку, поэтому и К4 не исключено.

3

Re: вопрос по классификации

tuxedo пишет:

Немного странный вопрос smile

Напомню, что класс определяется по категории и объему.
В первом случае ИСПДн скорее всего будет класса К3
Во втором скорее всего класса К3
В третьем, в зависимости от количества записей, либо К3, либо К2. Но вообще это больше походит на обезличку, поэтому и К4 не исключено.

Записей о текущих сотрудниках 350
Записей о бывших сотрудниках 1500
Записей о контактных лицах контрагентов 4700

4

Re: вопрос по классификации

Хорошо, когда есть числа, так всегда намного проще. Смотрим "Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных". В первом случае, действительно, имеем К3, потому что попадаем на "пересечение": категории 2 "персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию" и объема 3"в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации" - это класс 3 (К3). Во втором случае вспоминаем требование хранить персональные данные в ИСПДн - 2 года с момента увольнения, на бумаге - 75 лет в архиве. Переводим как минимум 501 записей о бывших сотрудниках в архив, получаем 999 записей в ИСПдн и снова попадаем на "пересечение" категории 2 и объема 3, значит точно К3. В третьем случае у нас, скорее всего (если действительно только ФИО и телефон), категория 3, что при любом объеме меньше 100 тыс записей будет также К3.

5

Re: вопрос по классификации

admin пишет:

Хорошо, когда есть числа, так всегда намного проще. Смотрим "Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных". В первом случае, действительно, имеем К3, потому что попадаем на "пересечение": категории 2 "персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию" и объема 3"в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации" - это класс 3 (К3). Во втором случае вспоминаем требование хранить персональные данные в ИСПДн - 2 года с момента увольнения, на бумаге - 75 лет в архиве. Переводим как минимум 501 записей о бывших сотрудниках в архив, получаем 999 записей в ИСПдн и снова попадаем на "пересечение" категории 2 и объема 3, значит точно К3. В третьем случае у нас, скорее всего (если действительно только ФИО и телефон), категория 3, что при любом объеме меньше 100 тыс записей будет также К3.

Поправка в ИСПДн данные о бывших сотрудниках не удаляются по истечению 2-х лет с момента увольнения, информационная база не позволяет их удалять

6

Re: вопрос по классификации

Если Вы не можете ни удалить их, ни обезличить, тогда предстоит готовится к К2.

7

Re: вопрос по классификации

admin пишет:

Если Вы не можете ни удалить их, ни обезличить, тогда предстоит готовится к К2.

Спасибо за разъяснение!

Небольшой ньюанс, данные о гражданстве не повышают до ИСПДн K1?

8

Re: вопрос по классификации

Гражданство не входит в категорию 1. Главное, чтобы количество относилось к значению 1. Тогда не попадете в К1.

9

Re: вопрос по классификации

Появился вопрос, как классифицировать ИСПДн.
Исходные данные:
1. В отделе кадров вся информация о сотрудниках (30 человек) представлена в бумажном виде.
2. По клиентам думаем сделать 2 базы. Одна содержит связку № договора и ФИО клиента. Вторая - №договора и контактная информация (адрес + телефон). Т.е. прямой связки ФИО+Адрес+Телефон нет. Количество клиентов от 1000 до 2000.

Я так понимаю, что это обезличка?

10

Re: вопрос по классификации

№ договора и есть связь. К3.

11

Re: вопрос по классификации

Здравствуйте. У нас возникли пара вопросов по ИСПДН. В частнолсти:
1.В нашей локальной сети имеющей доступ в интернет, работают несколько баз данных с ПДН. Кадровая по сотрудникам; по отдыхающим (в нее вносятся ФИО, телефон, место жительства, паспортные данные - отдыхающих + ФИО и телефоны родственников) где то около 10000 записей; и по бугалтерии...Возникает вопрос...Можно ли составить бумаги сразу на все эти базы ИСПДН....То есть подвести ее к 2 классу ИСПДН и все. Вобщем один документ на все эти ИСПДН, а не на каждую в отдельности.

2. Нужно ли брать согласие отдыхающих на обработкуих ПДН? Есле да то не льзя ли это просто прописать в договоре на предоставление нами им услуг....или обязательно отдельным листом оформлять согласие?

3. Юрист фирмы говорил, что подавал кудато данные по обработке ПДН, можно ли уточнить подавала ли наша фирма эти данные в ФСТК или куда там....как это сделать.

4. Какими программами нужно будет оснащать нашу сеть для работы с ИСПДН 2 класса?

Кто знает напишите пожалуйста!!!!
Заранее всех благодарю...

12

Re: вопрос по классификации

Хорошо, когда admin так всё чётко оценивает wink.
Аналогичный вопрос (раз пошла такая пьянка)...
ВУЗ: 1050 персонал (штатный+договорники по трудовым соглашениям), 2500 очных студентов, 3500 заочных.
ВСЕМИ подписано согласие на обработку ПД.
Поскольку - все - в одной организации - К3, поскольку все подписали согласие - понижаем до К4 - верно?
2 базы: в одной только ФИО + сколько денег начислять,
в другой - много всего, но без национальности (но до 15 иностранных), религии, политики и (опять же!) все подписали согласие на обработку ПД.
Таки какой класс?

13

Re: вопрос по классификации

1. К вопросу "1.В нашей локальной сети имеющей доступ в интернет, работают несколько баз данных с ПДН" требуется уточнение - эти несколько бах данных обрабатываются в одном приложении или в разных?
2. Нужно, можно прописать в договоре, на отдельном листе не обязательно.
3. Очень просто сделать - на портале http://pd.rsoc.ru есть возможность поиска по реестру всех операторов ПДн, направлявших когда-либо уведомление. Если Вы не найдете свою организацию, значит либо уведомление не направлялось, либо было оформлено с грубыми нарушениями.
4. Вопрос требует уточнения - программами для защиты ПДн?

14

Re: вопрос по классификации

"Поскольку - все - в одной организации - К3, поскольку все подписали согласие - понижаем до К4 - верно?" Нет-нет-нет, заставлять субъектов подписывать согласие на общедоступность их персональных данных - это не по джентельменски, более того противоречит Трудовому кодексу (в части пункта 9, статьи 86: "работники не должны отказываться от своих прав на сохранение и защиту тайны") и ряду других нормативных документов. У Вас самая классическая К3, ресурсов на поиск понижения категории до К4 уйдет намного больше, чем на защиту К3 ))

15

Re: вопрос по классификации

admin пишет:

1. К вопросу "1.В нашей локальной сети имеющей доступ в интернет, работают несколько баз данных с ПДН" требуется уточнение - эти несколько бах данных обрабатываются в одном приложении или в разных?
2. Нужно, можно прописать в договоре, на отдельном листе не обязательно.
3. Очень просто сделать - на портале http://pd.rsoc.ru есть возможность поиска по реестру всех операторов ПДн, направлявших когда-либо уведомление. Если Вы не найдете свою организацию, значит либо уведомление не направлялось, либо было оформлено с грубыми нарушениями.
4. Вопрос требует уточнения - программами для защиты ПДн?




Спасибо за ответ.
1.По первому пункту: базы данных обрабатываются на разных приложениях (1С 7.7, пенсионная програмка, налоговая програмка, собственная программа для регистрации клиентов) работают они в одной локальной сети. Доступ к программам разграничен. Некоторые даже на отдельных компах находятся (подключенных к локальной сети).

4.По четвертому пункту: Нужно ли нам будет устанавливать сертифицированные для работы с этими данными средства (ФСТЕКОМ), напремер теже программы для работы с этими базами ПДН, использовать криптографию и шифрование (тоже сертифицированные программы или компоненты использовать? или можно обойтись бесплатными или встороенными средствами?)

Подскажите еще такой момент... интернет в локалку подается с одной точки....тоесть через модем на сервер, затем сервер раздает его на нужные станции в сети. Нужно ли закупать роутер и сначала к нему подводить интернет, затем он его подает на сервер, тот раздает на станции.
Или можно на сервере установить Firewall например Kerio Kontrol или Ideco и обойтись без роутера?

16

Re: вопрос по классификации

Очень полезная информация. Хотел сам задать такой вопрос, а оказалось, что уже есть ответ на него.