5 июня, пятница 07:11
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Организуем Коллегию по соответствии требованиям ФЗ о защите ПД?

Свернуть
Это важная тема.
X
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от alex.a.fedorov Посмотреть сообщение
    Начали делать перечень и
    ФИО+организация не являются однозначно обезличенными ПД - т.ч. лучше их убрать из 4 категории.

    Комментарий


    • Сообщение от Toparenko Посмотреть сообщение
      См. порядок размножения конфиденциальных документов
      Так они мне не передавали свой конфиденциальный документ. Они мне передали ДСП-документ (см. гриф на нем). Это я его уже сделал своим конфиденциальным документом и размножаю в соответствии со своим локальным положением о размножении конфиденциальных документов.

      Просьба к Вам как к "старому режимщику" разъяснить, что будет нарушено при этом и какие последствия будут

      Комментарий


      • Сообщение от Pyatachok Посмотреть сообщение
        Так они мне не передавали свой конфиденциальный документ. Они мне передали ДСП-документ (см. гриф на нем). Это я его уже сделал своим конфиденциальным документом и размножаю в соответствии со своим локальным положением о размножении конфиденциальных документов.

        Просьба к Вам как к "старому режимщику" разъяснить, что будет нарушено при этом и какие последствия будут
        Гриф "ДСП" присваивается только документам/информации ограниченного распространения государственных/муниципальных структур (служебная тайна гос./муниципальных структур).

        Данная информация относится к конфиденциальной информации (КИ), не составляющей государственную тайну.

        Порядок обращения с данной информацией такой же как и с иной КИ - т.е. размножение и распространение производится только с разрешения обладателя. И санкционированный получатель КИ обязан защищать полученную КИ установленным порядком.

        Комментарий


        • Сообщение от Toparenko Посмотреть сообщение
          И санкционированный получатель КИ обязан защищать полученную КИ установленным порядком.
          Вот только порядок этот не установлен

          Комментарий


          • Сообщение от malotavr Посмотреть сообщение
            Вот только порядок этот не установлен
            Для ФСТЭК-овских документов это Приказ МО РФ от 23.05.1999 N 170

            Комментарий


            • Сообщение от Toparenko Посмотреть сообщение
              Для ФСТЭК-овских документов это Приказ МО РФ от 23.05.1999 N 170
              Я имел в виду, что с того момента, как документ был передан третьей стороне (лицензиату, оператору и т.п.), порядок обращения с ним ничем не регулируется.Приказы МО лицензиат исполнять не обязан, законами обращение с документами ДМП не регулируется, соглашение о конфиденциальности не подписывалось.

              Комментарий


              • Добрый вечер! Выше обсуждались вопросы, связанные с Планом непрерывности. Может у кого-нибудь есть рыба такого документа: "Инструкция реагирования на инциденты, угрожающие непрерывности бизнеса, для дежурного инженера сервиса IT-сервиса". Ну или что-нибудь похожее?

                Комментарий


                • Таких документов не встречал, могу предложить материалы Jet Infosystem.

                  Получили ответ от Диасофта по ПД - как резюме: Диасофт не имеет отношения к 152-ФЗ, но сделает небольшие доработки когда сам сможет.

                  2toparenko
                  Здраствуй Александр, извини не ответил сразу.
                  Просто ФИО или отдельно наименование организации, без адресов и конкретных атрибутов - это 3-я категория?

                  Комментарий


                  • Сообщение от malotavr Посмотреть сообщение
                    Я имел в виду, что с того момента, как документ был передан третьей стороне (лицензиату, оператору и т.п.), порядок обращения с ним ничем не регулируется.Приказы МО лицензиат исполнять не обязан, законами обращение с документами ДМП не регулируется, соглашение о конфиденциальности не подписывалось.
                    При запросе документов у ФСТЭК получатель обязуется обеспечить установленный режим хранения (т.е. добровольно "взваливает на себя" приказ МО РФ).

                    Комментарий


                    • Сообщение от alex.a.fedorov Посмотреть сообщение
                      Просто ФИО или отдельно наименование организации, без адресов и конкретных атрибутов - это 3-я категория?
                      Организация отдельно и ее адреса вообще к ПД никакого отношения не имеют.

                      Только ФИО типа Иванов Иван Иванович еще можно на обезличенные скинуть. Но не со всеми ФИО удастся это сделать (надо сразу иметь алгоритм объяснения регуляторам почему присвоен тот или иной класс).

                      Комментарий


                      • Некорректно составлена таблица "Список и категории ПД", согласен.
                        Наименование организации и ее адрес - это ПД руководителя и учредителя (информация где субъект работает или какой долей предприятия он владеет).
                        У нас у АБС в список клиентов забивают учредителей и руководителей организаций (список клиентов - это список фамилий без указания связи с организациями, это я и имел в ввиду когда этот список относил к 4-й категории). Хотя согласен с тем, что этот список клиентов придется относить к 3-й категории и заниматься разграничением прав на доступ к карточкам клиентов.

                        Комментарий


                        • Сообщение от alex.a.fedorov Посмотреть сообщение
                          Наименование организации и ее адрес
                          Это сведения подлежащие обязательному опубликованию - т.ч. это общедоступные сведения

                          Т.ч. ПД из ЕГРЮЛ/ЕГРИП и реестра акционеров можно отнести к 4 категории. Но следует сразу оговаривать, что данные являются общедоступными по таким-то признакам (учредитель/владелец/акционер) и источник общедоступных сведений.
                          Последний раз редактировалось Toparenko; 01.07.2009, 09:35.

                          Комментарий


                          • Сообщение от Toparenko Посмотреть сообщение
                            При запросе документов у ФСТЭК получатель обязуется обеспечить установленный режим хранения (т.е. добровольно "взваливает на себя" приказ МО РФ).

                            Посмотрел я этот приказ
                            Там идет отсылка к "Постановлению Правительства РФ от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" "

                            И в Положении есть двусмысленная цитата

                            1.7. Служебная информация ограниченного распространения без санкции соответствующего должностного лица не подлежит разглашению (распространению).
                            Какое должностное лицо имеется в виду? В той организации, что переслала ДСП-документ(ФСТЭК) или в той, что получила?

                            Комментарий


                            • Сообщение от Toparenko Посмотреть сообщение
                              При запросе документов у ФСТЭК получатель обязуется обеспечить установленный режим хранения (т.е. добровольно "взваливает на себя" приказ МО РФ).
                              Я помню текст своего запроса - не обязывался

                              Комментарий


                              • Сообщение от Pyatachok Посмотреть сообщение
                                Какое должностное лицо имеется в виду? В той организации, что переслала ДСП-документ(ФСТЭК) или в той, что получила?
                                252. Снятие копий со служебных документов с пометкой "Для служебного пользования", поступивших из вышестоящей воинской части, и изготовление выписок из них допускаются только с письменного разрешения командира (начальника), подписавшего служебный документ.
                                Т.е. для четырехкнижия это будет зам. директора ФСТЭК и выше.

                                Комментарий


                                • Сообщение от malotavr Посмотреть сообщение
                                  Я помню текст своего запроса - не обязывался
                                  Значит "прощелкали".

                                  В образцах такое обязательство прописано. А во ФСТЭК, видимо, не проверили его наличие.

                                  Т.ч. персонально для этого случая: ст.6 трехглавого Закона -> ПП1233 -> ПМО170
                                  Учитывая, что закон о служебной тайне пока не принят.

                                  Комментарий


                                  • Составили "Список сотрудников имеющих доступ к ПД", готовим приказ по Банку о доступе к ПД и ответственности конкретных сотрудников за защиту ПД.

                                    Комментарий


                                    • Сообщение от Toparenko Посмотреть сообщение
                                      Значит "прощелкали".

                                      В образцах такое обязательство прописано. А во ФСТЭК, видимо, не проверили его наличие.

                                      Т.ч. персонально для этого случая: ст.6 трехглавого Закона -> ПП1233 -> ПМО170
                                      Учитывая, что закон о служебной тайне пока не принят.
                                      Жаль. А идея хорошая была...

                                      Комментарий


                                      • Начали писать Положение об обработке ПД, выкладываю рыбу (собрана из Положения malotavr-а, смотри www.securitypolicy.ru, и образца РКН).

                                        Сейчас занимаемся Моделью угроз и подбором СЗПД.

                                        Подбираем организацию, которая будет проводить аттестацию СЗПД. Получились интересные данные по стоимости этапов работ необходимых согласно 152-ФЗ.

                                        Комментарий


                                        • alex.a.fedorov, слегка откомментирую:
                                          1. по п.2.2 "Состав персональных данных":
                                          - может, есть смысл включить фразу про "иные сведения"?
                                          - Вы учитываете, что ПДн банка - это не только ПДн сотрудников, но и ПДн физ.лиц - клиентов (см. также п.2.4.1 Вашего положения, кмк это тоже ПДн)? Тогда наверняка нужно смотреть, какие сведения требуют обработки в соответствии с ФЗ "О противодействии..."
                                          п.3.13 в части
                                          "Начальники структурных подразделений, в которых обрабатываются персональные данные субъектов" дополнить словами "в соответствии с задачами и функциями, возложенными на подразделения" - этим узаконивается разграничение доступа к ПДн

                                          Комментарий


                                          • Сообщение от alex.a.fedorov Посмотреть сообщение
                                            Составили "Список сотрудников имеющих доступ к ПД", готовим приказ по Банку о доступе к ПД и ответственности конкретных сотрудников за защиту ПД.
                                            А зачем в состав обрабатываемых ПДн в банке (п.2.2) указывать данные о здоровье? Автоматом на 1-й класс хочется?

                                            Комментарий


                                            • alex.a.fedorov, а какие данные о здоровье предполагается обрабатывать?

                                              Stnslav, почему сразу 1-й класс?
                                              Даже по приказу трех, в зависимости от категории обрабатываемых ПДн можно присвоить и 4-й и 2-й классы. Дело все в объеме этих данных.
                                              ЕМНИП, по тому же приказу, ИСПДн, в которой есть данные о здоровье автоматически является специальной. И тут возникает вопрос, как защищать специальную ИСПДн.
                                              В теме по Коллегию по защите ПДн, я высказал мнение, что специальную систему нельзя классифицировать в соответствии с п.14этого приказа, т.к. класс присваивается типовой ИСПДн.
                                              В "Рекомендации по обеспечению безопасности..." данный приказ вошел слово в слово без изменений, следовательно кмк специальная ИСПДн защищается на основании частной модели угроз (а не на основании "Основных мероприятий...").

                                              Комментарий


                                              • Спасибо за замечания, думал что их будет больше.
                                                Упоминание про состояние здоровья убрал, просто просмотрел эту строчку. Про пункт 3.13 согласен.

                                                Коллеги обязательно напишите что не понравилось при чтении этого Положения, больше замечаний - чище документ.

                                                Комментарий


                                                • Сообщение от Kutyrs Посмотреть сообщение
                                                  alex.a.fedorov, а какие данные о здоровье предполагается обрабатывать?

                                                  Stnslav, почему сразу 1-й класс?
                                                  Даже по приказу трех, в зависимости от категории обрабатываемых ПДн можно присвоить и 4-й и 2-й классы. Дело все в объеме этих данных.
                                                  В соответствии с Приказом ФСТЭК/ФСБ/Мининформзсвязи от 13.02 2008 № 55/86/20 «Об утверждении порядка проведения классификации ИСПДн»
                                                  категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
                                                  и если посмотреть пункт 15 данного приказа, в таблицу определения класса типовой информационной системы, то мы видим, что ПД первой категории автоматом попадают в первый класс типовой информационной системы.
                                                  Да в 8м пункте нашел, что данную систему можно отнести к специальной:
                                                  К специальным информационным системам должны быть отнесены:
                                                  информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

                                                  Но что это меняет?!
                                                  Ведь они отличаются от простых, тем что в них вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
                                                  Сообщение от alex.a.fedorov Посмотреть сообщение
                                                  Упоминание про состояние здоровья убрал, просто просмотрел эту строчку.
                                                  Наверное действительно, проще всего будет убрать это упоминание, и не забивать себе этим голову. Пусть этим занимаются больницы и страховые компании.
                                                  Последний раз редактировалось Uomo; 08.07.2009, 10:14.

                                                  Комментарий


                                                  • Uomo, да,денйствительно, ошибся, не туда посмотрел.

                                                    Но что это меняет?!
                                                    Ведь они отличаются от простых, тем что в них вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
                                                    Это меняет многое, т.к. в соответствии с п.14 приказа трех, класс присваивается только типовой информационной системе, к а специальной системе классификация неприменима, следовательно на законном основании возможны отклонения от положений, изложенных в "Основных мероприятиях по организации и техническому обеспечению безопасности ПДн".

                                                    alex.a.fedorov, согласен, убрать упоминание проще всего.
                                                    Но если сотрудники Вашей организации имеют возможность получать льготные санаторные путевки - то вы не уйдете от хранения мед.справок о необходимости СКЛ (в соответствии с законом "О бухгалтерской деятельности").
                                                    Обработка будет неавтоматизированной (или архивное хранение), но она будет.

                                                    Комментарий


                                                    • К сожалению не читал обсуждаемый документ, но хочу поделиться, некоторые разработали свои "Методические рекомендации..." привожу (дословно) небольшую выдержку из сего дока
                                                      "...Практически все ИСПДн являются специальными информационными системаи, поскольку в соответствии с требованиями постановления правительства РФ от 17.09.2007г. № 781 при обработке ПДн в информационных системах должна быть обеспечена возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Таким образом, обеспечение целостности ПДн является обязательным условием, отличным от конфиденциальности."

                                                      Комментарий


                                                      • В тему о данных о состоянии здоровья, нашел на сайте http://www.zki.infosec.ru/faq/ следующую информацию:
                                                        Относятся ли данные о группе инвалидности, заключение о результатах профсмотра (годен, годен с какими-либо ограничениями) к сведениям о состоянии здоровья? А следовательно и ИСПДн, обрабатывающие их к первому классу?
                                                        Четкого определения понятию «состояние здоровья» закон не дает. Поэтому можно говорить только об экспертном мнении. Оно таково: сведения об инвалидности, годности к работам и т.п. к сведениям о состоянии здоровья не относятся, поскольку не раскрывают диагноза, который и характеризует состояние здоровья. Причной инвалидности может быть состояние зрения, слуха, опорно-двигательной системы, последствия заболевания и т.д. Запись «инвалид 2-1 группы этой информации не дает. Подобные сведения являются сведениями об ограничении трудоспособности, а не состоянии здоровья.


                                                        Я думаю лучше придерживаться такого варианта, т.к. навярняка у многих проводятся проф. осмотры и их результаты могут хранится в информационных системах.

                                                        Комментарий


                                                        • Uomo, есть кое-что полезное, но и несколько спорных моментов. Выслал им свои вопросы.

                                                          Комментарий


                                                          • Сообщение от Uomo Посмотреть сообщение
                                                            В тему о данных о состоянии здоровья, нашел на сайте http://www.zki.infosec.ru/faq/ следующую информацию:
                                                            Относятся ли данные о группе инвалидности, заключение о результатах профсмотра (годен, годен с какими-либо ограничениями) к сведениям о состоянии здоровья? А следовательно и ИСПДн, обрабатывающие их к первому классу?
                                                            Четкого определения понятию «состояние здоровья» закон не дает. Поэтому можно говорить только об экспертном мнении. Оно таково: сведения об инвалидности, годности к работам и т.п. к сведениям о состоянии здоровья не относятся, поскольку не раскрывают диагноза, который и характеризует состояние здоровья. Причной инвалидности может быть состояние зрения, слуха, опорно-двигательной системы, последствия заболевания и т.д. Запись «инвалид 2-1 группы этой информации не дает. Подобные сведения являются сведениями об ограничении трудоспособности, а не состоянии здоровья.


                                                            Я думаю лучше придерживаться такого варианта, т.к. навярняка у многих проводятся проф. осмотры и их результаты могут хранится в информационных системах.
                                                            Для Информзащиты запись "инвалид 2-й группы" не состояние здоровья, а для меня состояние. Что же еще, как не это? Мне диагноз в данной ситуации не особенно и нужен.

                                                            Также не стоит забывать про ст.69 ТК, которая определяет, что в ряде случаев при приеме на работу может потребоваться медосмотр. А согласно приказа Минздравсоцразвития РФ от 16.08.2004 № 83 медзаключения по факту медосмотра ОБЯЗАТЕЛЬНО посылаются работодателю, который их хранит и принимает решение об увольнении или переводе на другую работу.

                                                            ЗЫ. Кстати, не забывайте, что некоторые диагнозы, автоматически приводят к появлению биометрических ПДн ;-) Согласно комментариям к ФЗ к ним относятся (среди прочих) "особенности строения тела, отдельных органов и тканей, различные отклонения в развитии, психическое состояние здоровья".

                                                            Комментарий


                                                            • коллеги, а я задался интересным вопросом:
                                                              если есть ПДн, которые в числе прочего говорят, что у человека (к примеру)заболевание сердечно-сосудистой системы. Это данные о состоянии здоровья, категория 1 по приказу трех.
                                                              Но, если эти данные обезличить (например с использованием табельного номера), будут ли они попадать в категорию 4 (обезличенные или общедоступные данные)?

                                                              Комментарий

                                                              Обработка...
                                                              X