Учитывая компетентность некоторых читателей блога, предлагаю обсудить вопрос Ильи Новикова, касательно практической задачи защиты персональных данных:
«Коллеги, хочу к вам обратиться с такой нетривиальной задачей.
Фактически:
1) если мы рассмотрим классическое определение персональных данных «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»
2) цель механизма (AD) ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ и предоставление ему четко определенных ресурсов системы
3) а также, что категорирование персональных данных производится по совокупности информации обрабатываемой в информационной системе.
То из всего этого можно сделать вывод, что совокупность информации о пользователе, что указана в AD относятся ко ВТОРОЙ КАТЕГОРИИ персональных данных.
Но если я прав в своих суждениях, то что тогда рассматривать в качестве информационной системы персональных данных? Всю сеть?»
АД была сделана давно, не в России, потому абсолютно не обязана соответствовать законодательству РФ. Однако я абсолютно не понимаю, зачем в профилях заполнять все поля? Заполнить только то, что относится к деятельности сотрудника на предприятии, типа телефон и номер комнаты. Вопрос примерно из разряда - что делать с CRM.
ОтветитьУдалитьPS. есть ещё предприятия, где не развёрнут АД. ))
Категория данных - вторая, но если AD только внутри организации(объём персональных данных -3 категория или как там называется), то информационная система в целом будет третьей категории.
ОтветитьУдалитьP.S. 23 сентября был семинар по безопасности ПД. "Четверокнижие" от ФСТЭК до сих пор не утверждено. Осталось 3 месяца...