1 Тема от Tim

  • Tim
  • Член АнтиДропа РФ
  • Неактивен
  • Откуда: Москва
  • Зарегистрирован: 2014-02-21
  • Сообщений: 42

Тема: Указание Банка России от 10.12.2015 № 3889-У

Переписываю модель угроз в связи с 3889-У. Переведите, пожалуйста, с центробанковско-юридического, что они имели ввиду: "• угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;"? Как может быть НСД лицами, имеющими санкционированный доступ, если я правильно понял "обладающими полномочиями в ИСПДн"?

2 Ответ от Miks

  • Miks
  • Miks
  • Член АнтиДропа РФ
  • Неактивен
  • Откуда: Тула
  • Зарегистрирован: 2012-11-01
  • Сообщений: 143

Re: Указание Банка России от 10.12.2015 № 3889-У

Главная "собака" в слове "несанкционированного". Сотрудники, имеющие полномочия для работы с ИСПДн должны иметь к ней доступ исключительно в то время и в тех объемах, которые им необходимы для исполнения своих обязанностей.
1 пример: Сотрудники ИТ, отвечающие за работу Железа, ОС и ПО не должны иметь доступа к базам данных ИСПДн. Либо (если это невозможно организовать) доступ должен быть четко регламентирован в документах и контролируем (по журналам), естественно без возможности выгрузки БД на внешние носители.
2 пример: Создается ИСПДн. сотрудники, которые создают и тестируют СПДн не должны работать с реальной базой.
3 пример при ТО Железа либо ПО База СПДн (при возможности) должна быть заблокирована даже на просмотр....
4 пример: Перед снятием с эксплуатации СПДн, сотрудник, ответственный за работу с данными обязан уничтожить базу СПДн на всех носителях,связанных с этим СПДн, за исключением резервных копий, определенных политиками.

Я думаю коллеги еще 10-к примеров найдут..... как это исполнять - вопрос уже к исполнителям.....

С Уважением!
Михаил Симаков