Вопрос №22 от 20.09.2011

Вопрос: Здравствуйте! Вопрос касается частной модели угроз, а именно: 1. в организации есть несколько информационных систем, в которых обрабатываются ПДн (бухгалтерия и т.д.) Частную модель угроз нужно разрабатывать для каждой ИС или общую для всей организации? Или же, в итоге, если одна фирма, а ИС, например 5, то и Частных моделей угроз будет 5 шт. и соответственно весь пакет документов в таком же количестве? 2. в организации есть архив, но информация в электронном виде не обрабатывается, хранится только в бумажном виде. Нужно ли проводить какие-либо действия/ оформлять документы по отношению данного объекта на фирме в свете мер по ЗПДн?? Заранее спасибо! (Аноним)

Ответ: Здравствуйте!

1. Модель угроз должна быть на каждую ИС. Данный документ может быть сделан общим на всю организацию при моделировании угроз безопасности персональных данных обрабатываемых без средств автоматизации. Иные локальные акты можно так же издавать общими для организации (например Положение по обработке ПДн). Вам нужно четко разделить документы на те, которые будут универсальными и те, которые будут привязываться к каждой ИС (например описание технологического процесса обработки информации).

2. Нет, не нужно. Если это настоящий архив, со стеллажами, установленным температурным и влажностным режимом и т.д. - то данная обработка попадает под действие ФЗ "Об архивном деле в Российской Федерации" № 125-ФЗ от 25.10.2004. При таком условии обеспечивать безопасность ПДн не нужно. Так же это регламентировано п.2 ч.2 ст.1 ФЗ-152.