В любом стандартном наборе документов, регламентирующем обработку персданных в организации присутствуют:
Положение об организации режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
ИНСТРУКЦИЯ о пропускном и внутриобъектовом режимах.
Частично содержание данных документов совпадает, но вопрос в ином:
Имеем организацию с относительно свободным доступом. Пример: МФЦ.
Откуда там взяться пропускному режиму?
Сколько видел инструкций - везде написано:
1.3. Пропускной режим устанавливается в целях:
− исключения фактов хищений собственности;
− исключение фактов вандализма со стороны недобросовестных посетителей;
− исключения возможности несанкционированного доступа персонала и посетителей в помещения.
Но что такое сам режим нигде не понятно.
Наш специалист по охране труда и прочим трудовым вопросам говорит: Серега, ты не можешь установить пропускной режим т.к. доступ в основное помещение свободный. Безо всяких пропусков. Я тебе твою инструкцию просто не согласую, т.к. пропускной системы у нас нет от слова совсем. Ибо когда она будет в своем стандартном значении, мне как спецу по охране труда придется уже заводить свой отдельный набор документов. Придумывай другое название или крутись как знаешь.
И что тогда делать? Инструкция с названием есть. Мероприятия по безопасности помещения есть. Как можно переформулировать термин или его содержание, чтобы не нарушить и документацию, не нарушить безопасность, и не конфликтовать с документами из другой сферы работы предприятия?
Положение об организации режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
ИНСТРУКЦИЯ о пропускном и внутриобъектовом режимах.
Частично содержание данных документов совпадает, но вопрос в ином:
Имеем организацию с относительно свободным доступом. Пример: МФЦ.
Откуда там взяться пропускному режиму?
Сколько видел инструкций - везде написано:
1.3. Пропускной режим устанавливается в целях:
− исключения фактов хищений собственности;
− исключение фактов вандализма со стороны недобросовестных посетителей;
− исключения возможности несанкционированного доступа персонала и посетителей в помещения.
Но что такое сам режим нигде не понятно.
Наш специалист по охране труда и прочим трудовым вопросам говорит: Серега, ты не можешь установить пропускной режим т.к. доступ в основное помещение свободный. Безо всяких пропусков. Я тебе твою инструкцию просто не согласую, т.к. пропускной системы у нас нет от слова совсем. Ибо когда она будет в своем стандартном значении, мне как спецу по охране труда придется уже заводить свой отдельный набор документов. Придумывай другое название или крутись как знаешь.
И что тогда делать? Инструкция с названием есть. Мероприятия по безопасности помещения есть. Как можно переформулировать термин или его содержание, чтобы не нарушить и документацию, не нарушить безопасность, и не конфликтовать с документами из другой сферы работы предприятия?
Здравтсвуйте! Есть кто живой в группе? Помогите разобраться, как лучше поступить.
Организация располагается в арендованном помещении, собственник помещения предоставил СКУД (считыватели на входы-выходы и программу). В базу программы внесены сведения о работниках организации: ФИО, должность, отдел, табельный номер, есть ещё возможность внести фото, но тогда это получится биометрическая система, если я правильно понимаю.
На одном из входов в "будке" сидит охранник, нанятый собственником здания, комп с программой стоит у него. Получается, что левый человек (даже несколько - собственник здания и все охранники, у которых есть смены в будке) имеет доступ к ПДн работников. Да и сама программа предоставлена так - на птичьих правах.
Как всё правильно оформить СКУД как ИСПДн в данном случае?
Заранее спасибо!
Организация располагается в арендованном помещении, собственник помещения предоставил СКУД (считыватели на входы-выходы и программу). В базу программы внесены сведения о работниках организации: ФИО, должность, отдел, табельный номер, есть ещё возможность внести фото, но тогда это получится биометрическая система, если я правильно понимаю.
На одном из входов в "будке" сидит охранник, нанятый собственником здания, комп с программой стоит у него. Получается, что левый человек (даже несколько - собственник здания и все охранники, у которых есть смены в будке) имеет доступ к ПДн работников. Да и сама программа предоставлена так - на птичьих правах.
Как всё правильно оформить СКУД как ИСПДн в данном случае?
Заранее спасибо!
Секретные информационные базы Федеральной службы по контролю за оборотом наркотиков (ФСКН) продаются свободно. И что самое главное: в них указаны не только адреса наркопритонов, фамилии и фото наркоманов, но и личные данные осведомителей, а также обычных граждан, позвонивших на телефон доверия ФСКН.
Статья в новойГраждане!
А чем сейчас модно защищать ноутбуки?
Имеем план на оказание выездных услуг. Планируется выезд с ноутбуком. Инфа будет КС3.
Т.е. сертифицированный электронный замок типа Соболя необходим.
Но вот внезапно выясняется, что нет Соболя под современные ноуты.
Или все же есть? Или какие другие сертифицированные продукты?
А чем сейчас модно защищать ноутбуки?
Имеем план на оказание выездных услуг. Планируется выезд с ноутбуком. Инфа будет КС3.
Т.е. сертифицированный электронный замок типа Соболя необходим.
Но вот внезапно выясняется, что нет Соболя под современные ноуты.
Или все же есть? Или какие другие сертифицированные продукты?
Тук-тук, есть кто живой?
Посоветоваться хочу. Принесли мне бумажку одну с согласием, так в ней есть перечень действий, в нём "передача третьим лицам"
Я правильно понимаю что либо перевод в общедоступные, либо перечень конкретных операторов.
Посоветоваться хочу. Принесли мне бумажку одну с согласием, так в ней есть перечень действий, в нём "передача третьим лицам"
Я правильно понимаю что либо перевод в общедоступные, либо перечень конкретных операторов.
Обращение гражданина за выдачей паспорта по факту его утраты обернулось для начальника отдела миграционной службы города Волгодонска уголовным делом по статье «Халатность». Небрежностью сотрудника УФМС в проверке данных заявителя воспользовался брат-близнец, который получил паспорт вместо родственника, находящегося в местах лишения свободы, и на его имя.
Судом установлено, что начальник отдела УФМС России по Ростовской области в городе Волгодонске Сергей Урядников утвердил заключение о документировании заявителя паспортом гражданина Российской Федерации лишь на основании заявления по факту утраты паспорта. При этом он не установил личность, и не проверил сведения об осуждении обратившегося гражданина. Оказалось, что мужчина в настоящий момент находится в местах лишения свободы, а паспорт получил его брат-близнец.
Приговором Волгодонского районного суда Сергей Урядников признан виновным и осужден к наказанию в виде штрафа в размере 30 тыс. рублей. Ему также назначен дополнительный вид наказания - запрет занимать должности в государственных и муниципальных органах, связанные с осуществлением функций представителя власти, сроком на два года.
http://newsru.com/russia/15jan2014/sber.html
Понимаю, что не по теме сообщества, но про УЦ информации в инете таки меньше чем про все остальное.
И так. Есть УЦ. Аккредитованный. С кучей клиентов. Лицензированный ФСБ. Т.е. обычный нормальный УЦ.
Но как мы помним: ЭЦП получатель должен получать лично (или представитель получателя).
А есть клиенты, которым кататься в УЦ далековато.
Возникла идея создать филиал УЦ в другом городе, в котором только будут принимать заявления и выдавать ЭЦП.
Открывать филиал в чистом виде - дорого.
Возникла идея сделать договор партнерства с одной из местных контор. При котором специалист конторы работает еще и на полставки в УЦ.
Встает вопрос: на деятельность местной конторы будут распространяться все требования ФСБ к УЦ?
Ибо местная контора - не может:
- выделить отдельное помещение (только обычное рабочее место)
- выделить отдельный комп (обычный рабочий, защищенный по КС2, с закрытыми каналами связи до УЦ (т.к. контора, которой принадлежит УЦ занимается не только ЭЦП, но и защитой, так что вся связь и идет через эту контору))
Или же, к филиалу УЦ, действующему на основании партнерского соглашения можно применить какие-то упрощенные правила деятельности?
И так. Есть УЦ. Аккредитованный. С кучей клиентов. Лицензированный ФСБ. Т.е. обычный нормальный УЦ.
Но как мы помним: ЭЦП получатель должен получать лично (или представитель получателя).
А есть клиенты, которым кататься в УЦ далековато.
Возникла идея создать филиал УЦ в другом городе, в котором только будут принимать заявления и выдавать ЭЦП.
Открывать филиал в чистом виде - дорого.
Возникла идея сделать договор партнерства с одной из местных контор. При котором специалист конторы работает еще и на полставки в УЦ.
Встает вопрос: на деятельность местной конторы будут распространяться все требования ФСБ к УЦ?
Ибо местная контора - не может:
- выделить отдельное помещение (только обычное рабочее место)
- выделить отдельный комп (обычный рабочий, защищенный по КС2, с закрытыми каналами связи до УЦ (т.к. контора, которой принадлежит УЦ занимается не только ЭЦП, но и защитой, так что вся связь и идет через эту контору))
Или же, к филиалу УЦ, действующему на основании партнерского соглашения можно применить какие-то упрощенные правила деятельности?
Доброго времени суток всем!
Есть МФЦ (на основании 210-ФЗ), есть оказываемые им услуги в виде приема документов от граждан. Через разные облачные сервисы (в т.ч. известный Ростелекомовский) эти документы попадают в профильные структуры, которые уже и принимают решения.
Возникли вопросы:
1) Если мы поставим суперраспознающую софтину и суперсканер, который будет кушать кучу документов и сам распределять - это мол паспорт, а это свидетельство о рождении - не попадем мы ли под понятие "автоматизированной обработки"?
2) Нужно ли нам собирать согласия с граждан на обработку персданных? Документы мы приняли и отправили в структуру. Пришли ответные документы - выдали человеку и про него забыли до следующего раза.
Есть МФЦ (на основании 210-ФЗ), есть оказываемые им услуги в виде приема документов от граждан. Через разные облачные сервисы (в т.ч. известный Ростелекомовский) эти документы попадают в профильные структуры, которые уже и принимают решения.
Возникли вопросы:
1) Если мы поставим суперраспознающую софтину и суперсканер, который будет кушать кучу документов и сам распределять - это мол паспорт, а это свидетельство о рождении - не попадем мы ли под понятие "автоматизированной обработки"?
2) Нужно ли нам собирать согласия с граждан на обработку персданных? Документы мы приняли и отправили в структуру. Пришли ответные документы - выдали человеку и про него забыли до следующего раза.
Profile
personal_data- Персональные данные. Правоприменение
Page Summary
serge_ivanov : Пропускной режим как термин и реальность [+9] - di_teu : СКУД как ИСПДн [+5]
- artn : (no subject) [+0]
- serge_ivanov : Защита персданных на ноутбуке [+17]
- artn : Обезличивание а-ля Якубович [+0]
- artn : Передача третьим лицам [+2]
- toparenko : «Приключения Электроников» на Дону [+0]
- artn : (no subject) [+0]
- serge_ivanov : Филиал удостоверяющего центра [+12]
- serge_ivanov : Персональные данные в МФЦ [+3]
Syndicate
