15 ноября, четверг 17:15
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Платежная информация и банковская тайна

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Платежная информация и банковская тайна

    Объясните мне пожалуйста, в чем разница между понятиями: "Информация, содержащая сведения, составляющие банковскую тайну" и "Платежная информация (информация, предназначенная для проведения расчетных, кассовых и других банковских операций и учетных операций". В СТО БР ИББС-2.2 это категории одного уровня. Но ведь платежная информация - это и есть сведения, составляющие банковскую тайну! Нет?

  • #2
    Сообщение от Garson#2 Посмотреть сообщение
    Объясните мне пожалуйста, в чем разница между понятиями: "Информация, содержащая сведения, составляющие банковскую тайну" и "Платежная информация (информация, предназначенная для проведения расчетных, кассовых и других банковских операций и учетных операций". В СТО БР ИББС-2.2 это категории одного уровня. Но ведь платежная информация - это и есть сведения, составляющие банковскую тайну! Нет?
    Платежная информация - часть сведений, составляющих банковскую тайну. К примеру, выписка по срочному депозиту будет содержать сведения, составляющие юбанковскую тайну, но платежной информации в ней, скорее всего, не будет (по срочному депозиту обычно только проценты начисляются)

    Комментарий


    • #3
      malotavr,
      Вот и я так думаю, что часть. Но почему-то в стандарте их прописали на одном уровне классификации. Хотя там вроде двоеточие после "тайну". Ошибка пунктуации или форматирования? Вот в чем вопрос!
      — информация ограниченного доступа:
      — информация, содержащая сведения, составляющие банковскую тайну:
      — платежная информация (информация, предназначенная для проведения расчетных,кассовых и других банковских операций и учетных операций);
      — информация, содержащая сведения, составляющие коммерческую тайну;
      — персональные данные;
      — управляющая информация платежных, информационных и телекоммуникационных систем (информация, используемая для технической настройки программноаппаратных комплексов обработки, хранения и передачи информации);
      — открытая (общедоступная) информация.

      Комментарий


      • #4
        Сообщение от Garson#2 Посмотреть сообщение
        Хотя там вроде двоеточие после "тайну". Ошибка пунктуации или форматирования?
        ";" (тчксзпт)

        Комментарий


        • #5
          Сообщение от Toparenko Посмотреть сообщение
          ";" (тчксзпт)
          Значит одного уровня эти категории?

          Комментарий


          • #6
            Сообщение от Garson#2 Посмотреть сообщение
            Значит одного уровня эти категории?
            Разного.

            Сравните мемориальный ордер и платежное поручение до отправки платежа. И то, и другое - банковская тайна, вот только угрозы платежному поручению нарушением этой тайны не ограничиваются. И ущербы тоже несопоставимые

            Или там градация по уровню конфиденциальности? До документа у меня пока руки не дошли.

            Комментарий


            • #7
              Сообщение от malotavr Посмотреть сообщение
              Или там градация по уровню конфиденциальности? До документа у меня пока руки не дошли.
              Ну, по конфиденциальности конечно. Открытая/закрытая. Но и по основаниям тоже (банковская, коммерческая тайна, ПДн). Если платежная информация входит в понятие банковской тайны, то зачем ставить их на один уровень наряду с ком. тайной и ПДн?

              Комментарий


              • #8
                Сообщение от Garson#2 Посмотреть сообщение
                Если платежная информация входит в понятие банковской тайны, то зачем ставить их на один уровень наряду с ком. тайной и ПДн?
                Платежные АБС раздел 7.10 стандарта
                Неплатежные АБС раздел 7.11 стандарта

                Вот и появилось выделение

                Комментарий


                • #9
                  Платежные АБС раздел 7.10 стандарта
                  Неплатежные АБС раздел 7.11 стандарта
                  Платежные - это банковская тайна. Неплатежные - не обязательно.
                  А тут получается, что платежная информация - это не банковская тайна, а нечто особенное.

                  Комментарий


                  • #10
                    Сообщение от Garson#2 Посмотреть сообщение
                    Платежные - это банковская тайна. Неплатежные - не обязательно.
                    Вот именно.
                    Потому по платежным однозначное определение (чтоб дальше не "мучаться"), а с неплатежными следует определить это БТ или нет

                    Комментарий


                    • #11
                      Сообщение от Toparenko Посмотреть сообщение
                      Вот именно.
                      Потому по платежным однозначное определение (чтоб дальше не "мучаться"), а с неплатежными следует определить это БТ или нет
                      Значит в раздел "— информация, содержащая сведения, составляющие банковскую тайну:" относим только неплатежную информацию. Платежную выделяем отдельно. Получается так:
                      1. Информация ограниченного доступа.
                      1.1.Информация, содержащая сведения, составляющие банковскую тайну
                      1.2 Платежная информация
                      1.3 Коммерческая тайна
                      1.4 ПДн
                      1.4 Управляющая информация информ. систем

                      Кривовато получается. Пункт 1.2 по сути должен быть пунктом 1.1.1, но в стандарте он фигурирует на одном уровне с 1.1.

                      Комментарий


                      • #12
                        Платёжная информация - информация, содержащаяся в документах, на основании которой совершаются операции, связанные с перемещением денежных средств с одного счёта на другой (п.3.29 СТО БР ИББС-1.0-2008).
                        Грубо говоря: набор цифр и букв, который требуется для того, чтобы, например, перевести деньги с одного счёта на другой. Соответственно, основными угрозами, от которых надо защищаться, будут угрозы целостности. И абсолютно неважно, кому эти счета принадлежат.

                        Информация, составляющая банковскую тайну - информация о операциях, о счетах и вкладах своих клиентов и корреспондентов (ст.26 ФЗ 395-1).
                        Здесь наоборот - основным действующим лицом является владелец счёта и основные угрозы - это угрозы конфиденциальности.

                        Ну и конечно категории можут пересекаться. Даже переходить из одного вида в другой, в зависимости от процесса.

                        Комментарий


                        • #13
                          Berckut,
                          Ну хорошо, база данных платежей - это банковская тайна или платежная информация? Тут ведь или-или придется выбирать. А это неправильно по-моему.

                          Комментарий


                          • #14
                            Сообщение от Garson#2 Посмотреть сообщение
                            Значит в раздел "— информация, содержащая сведения, составляющие банковскую тайну:" относим только неплатежную информацию. Платежную выделяем отдельно. Получается так:
                            1. Информация ограниченного доступа.
                            1.1.Информация, содержащая сведения, составляющие банковскую тайну
                            1.2 Платежная информация
                            1.3 Коммерческая тайна
                            1.4 ПДн
                            1.4 Управляющая информация информ. систем

                            Кривовато получается. Пункт 1.2 по сути должен быть пунктом 1.1.1, но в стандарте он фигурирует на одном уровне с 1.1.
                            1. Сведения конфиденциального характера, обрабатываемые АБС:
                            1.1. АБС, обрабатывающие платежную информацию (БТ)
                            1.2. АБС, обрабатывающие неплатежную информацию:
                            1.2.1. КТ/БТ и другие виды информации конфиденциального характера
                            1.2.2. ПДн, при отсутствии иных видов информации конфиденциального характера - ИСПДн

                            Комментарий


                            • #15
                              Toparenko,
                              1. Сведения конфиденциального характера, обрабатываемые АБС:
                              1.1. АБС, обрабатывающие платежную информацию (БТ)
                              1.2. АБС, обрабатывающие неплатежную информацию:
                              1.2.1. КТ/БТ и другие виды информации конфиденциального характера
                              1.2.2. ПДн, при отсутствии иных видов информации конфиденциального характера - ИСПДн
                              Хорошая схема. Но это если область действия брать в пределах одной АБС. А если по банку в целом, вместе с бумажками и прочим хозяйством?

                              Комментарий


                              • #16
                                Сообщение от Garson#2 Посмотреть сообщение
                                Хорошая схема. Но это если область действия брать в пределах одной АБС. А если по банку в целом, вместе с бумажками и прочим хозяйством?
                                Одних, а не одной (классифицируются АБС в целом)
                                В банке есть информационные системы, которые не относятся к автоматизированным банковским системам (АБС)?
                                А с бумажным документооборотом итак действия идут в рамках ПП687 (если это только ПДн)

                                Комментарий


                                • #17
                                  В итоге думаю, что правильной будет такая классификация:

                                  1. Информация ограниченного доступа.
                                  1.1 Неплатежная информация, содержащая сведения, составляющие банковскую тайну
                                  1.2 Платежная информация
                                  1.3 Коммерческая тайна
                                  1.4 ПДн
                                  1.4 Управляющая информация информ. систем

                                  Пункты 1.1 и 1.2 - банковская тайна (обои)

                                  Комментарий


                                  • #18
                                    Toparenko,
                                    В банке есть информационные системы, которые не относятся к автоматизированным банковским системам (АБС)?
                                    Ну, например, электронная почта, документооборот, файловые сервера. Это тоже АБС?

                                    Комментарий


                                    • #19
                                      Сообщение от Garson#2 Посмотреть сообщение
                                      В итоге думаю, что правильной будет такая классификация:

                                      1. Информация ограниченного доступа.
                                      1.1 Неплатежная информация, содержащая сведения, составляющие банковскую тайну
                                      1.2 Платежная информация
                                      1.3 Коммерческая тайна
                                      1.4 ПДн
                                      1.4 Управляющая информация информ. систем

                                      Пункты 1.1 и 1.2 - банковская тайна (обои)
                                      1. КТ:
                                      - БТ: по определению и по факту зависимости обеспечения неизвестности третьим лицам и коммерческой ценности в этой неизвестности - может одновременно быть отнесена к КТ (спорно, но возможно)
                                      - ПДн - аналогично могут быть отнесены к КТ
                                      - Управляющая информация информ. систем - если это подсистема разграничения доступа и/или иная подсистема информационной безопасности - аналогично может быть отнесена к КТ. В противном случае не является защищаемой законом тайной и не относится к информации конфиденциального характера.

                                      Т.ч. КТ может быть размыта по всем остальным пунктам.

                                      2. БТ:
                                      ПДн клиентов по ГК (ст.857) относятся к БТ.

                                      Т.ч. даже ПДн следует делить на БТ, относящиеся к КТ и "чистые" ПДн

                                      Итого я все-таки придерживаюсь приведенного мной деления

                                      Комментарий


                                      • #20
                                        Сообщение от Garson#2 Посмотреть сообщение
                                        Ну, например, электронная почта, документооборот, файловые сервера. Это тоже АБС?
                                        Попробуйте обсновать, что это не АБС или банковские системы

                                        Комментарий


                                        • #21
                                          Toparenko,
                                          Итого я все-таки придерживаюсь приведенного мной деления
                                          Вы классифицируете системы, а не информацию. А по стандарту, как я понимаю, нужно классифицировать именно информацию. Этот список я взял прямо из стандарта.

                                          Комментарий


                                          • #22
                                            Сообщение от Garson#2 Посмотреть сообщение
                                            Berckut,
                                            Ну хорошо, база данных платежей - это банковская тайна или платежная информация? Тут ведь или-или придется выбирать. А это неправильно по-моему.
                                            Почему выбирать?
                                            Попробую по другому объяснить:
                                            Информация, составляющая банковскую тайну - сущность статическая. Лежат себе файлики или записи в базе данных и хранят информацию об операциях клиента. Вдруг приходит нечестный сотрудник и хочет посмотреть, куда это клиент деньги переводил, чтобы разгласить эту информацию. Но доступа у него в базу данных нет и поэтмоу он ни с чем остаётся.
                                            Платёжная информация - это, по большей части, сущность динамическая, которая существует, пока запущена платёжная операция. Нам не важно, кто производит перевод денег. Мы должны обеспечить такие условия, при которых, например, при пересении информации с платёжного поручения в систему переводов сотрудник вбил именно те цифры, которые должны быть, а не отправил деньги на свой счёт на Кипре.

                                            Комментарий


                                            • #23
                                              Сообщение от Toparenko Посмотреть сообщение
                                              Попробуйте обсновать, что это не АБС или банковские системы
                                              Вот, например электронная почта. Сделанная на Лотусе.
                                              С чего вдруг это АБС? Конечно, если рассматривать дословно, то да - "автоматизированная" (поскольку на компах) "банковская" (поскольку в банке ) "система".

                                              Комментарий


                                              • #24
                                                Berckut, ну так куда базу данных платежей отнесем? В оба раздела? Я ведь к чему спрашиваю: как это дело запихнуть в предложенную в стандарте схему классификации?

                                                Комментарий


                                                • #25
                                                  Сообщение от w3d Посмотреть сообщение
                                                  Вот, например электронная почта. Сделанная на Лотусе.
                                                  С чего вдруг это АБС? Конечно, если рассматривать дословно, то да - "автоматизированная" (поскольку на компах) "банковская" (поскольку в банке ) "система".
                                                  Берем СТО БР ИББС-1.0 раздел 3 "Термины и определения":
                                                  3.22. Актив и 3.23. Информационный актив

                                                  Из определения видим, что информация в электронной почте является одним из информационных активов банка

                                                  3.27. Банковский технологический процесс

                                                  Использование и управление работой электронной почтой банка является банковским технологическим процессом

                                                  Под 3.28 не очень подходит (хотя может быть контроль операций, связанных с перемещением денежных средств с одного счета на другой), но больше подходит под 3.29

                                                  Т.ч. почему Вы решили, что не подходит под часть АБС (см. п.3.30)???

                                                  И "нафига" тогда написан раздел 7.6 СТО БР ИББС-1.0...

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Toparenko Посмотреть сообщение
                                                    Попробуйте обсновать, что это не АБС или банковские системы
                                                    Они не реализуют специфически банковские функции. Так же как кадровый учет и бухгалтерия.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Garson#2 Посмотреть сообщение
                                                      Berckut, ну так куда базу данных платежей отнесем? В оба раздела? Я ведь к чему спрашиваю: как это дело запихнуть в предложенную в стандарте схему классификации?
                                                      См. предложенный в стандарте алгоритм:
                                                      1. Выделяете платежные технологические процессы
                                                      2. Из остального выделяете технологические процессы с БТ/КТ и/или иной информацией конфиденциального характера, кроме "чистых" ПДн
                                                      3. В оставшемся выделяете банковские технологические процессы с ПДн и относите их к ИСПДн
                                                      4. "Сухой остаток" не требует обеспечения конфиденциальности, но не факт, что не требуется целостность и доступность (или оперативность, достоверность, живучесть)

                                                      Таким образом у Вас данная база "уйдет" под классификацию на первом шаге.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Garson#2 Посмотреть сообщение
                                                        Berckut, ну так куда базу данных платежей отнесем? В оба раздела? Я ведь к чему спрашиваю: как это дело запихнуть в предложенную в стандарте схему классификации?
                                                        Схема классификации, про которую идёт разговор, классифицирует информационные активы. Информационный актив - это информация. База данных - информаицонным активом не является. Это актив организации, но не информаицонный актив, т.к. является средством хранения информации, а не самой информацией. Если говорить более точно, база данных - это объект среды (в терминах стандарта), а для объектов среды стандартом предусмотрены другие типы.
                                                        И вполне нормально, что объект среды база данных содержит разные информационные активы: платёжную информацию и информацию, составляющую банковскую тайну.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Toparenko Посмотреть сообщение
                                                          См. предложенный в стандарте алгоритм:
                                                          А Вы какой стандарт имеете в виду? Я тут про тот, который "методика оценки рисков" (2.2-2007).

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Garson#2 Посмотреть сообщение
                                                            Они не реализуют специфически банковские функции. Так же как кадровый учет и бухгалтерия.
                                                            Неужели?

                                                            Люди (персонал) - это тоже актив банка (п.3.22 СТО БР ИББС-1.0). При том требующий "пристального внимания", подверженный внешним и внутренним воздействиям, требующий постоянного управления/лоялизации/мотивации/контроля/its
                                                            И изменение и/или определению состояния данного актива - это банковский технологический процесс (п.3.27 СТО БР ИББС-1.0), частью которого будет кадровый учет и бухгалтерия (в некоторой степени)

                                                            А уж про специфику банковского персонала вообще можно долого говорить (инсайдеры/секретносители, персонал работающий с денежными и материальными средствами, персонал работающий с ценными бумагами, персонал непосредственно или косвенно участвующий в платежных операциях и т.д. и т.п.)...

                                                            Про то, что/как на бухгалтерию "завязано" обеспечение деятельности банка тоже необходимо рассказывать?!?

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X