26 мая, вторник 00:22
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проводим самооценку по СТО БР ИББС-1.2-2010

Свернуть
Это важная тема.
X
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от conficker-i Посмотреть сообщение
    Как же могло получиться так, что вы работаете в банке и не используете ни одной ИСПНд (БД сотрудников, клиентов)? Значит, плохо искали
    А у меня все ПДн обрабатываются в одной АБС, которая является платежной и по стандарту к ИСПДн не относится.

    Комментарий


    • #32
      Сообщение от Garson#2 Посмотреть сообщение
      А у меня все ПДн обрабатываются в одной АБС, которая является платежной и по стандарту к ИСПДн не относится.
      ооочень спортный момент. а как же HR-система? в какой системе происходят операции по приему/увольнению сотрудников, все в платежной? тогда классификация этой АБС как "платежной" вызовет сомнения у регуляторов.

      Комментарий


      • #33
        Сообщение от conficker-i Посмотреть сообщение
        ооочень спортный момент. а как же HR-система? в какой системе происходят операции по приему/увольнению сотрудников, все в платежной? тогда классификация этой АБС как "платежной" вызовет сомнения у регуляторов.
        От того что в системе ведется учет кадров она не перестает быть платежной.

        Комментарий


        • #34
          Сообщение от Garson#2 Посмотреть сообщение
          От того что в системе ведется учет кадров она не перестает быть платежной.
          замечательно, цитирую:

          "в системе ведется учет кадров"

          соответственно, это "АБС, целью использования которой является обработка персональных данных" (п. 7.10.9 СТО), а следовательно, это ИСПДн (опять же в соотв. с упомянутым п. стандарта).

          На самом деле, я искренне понимаю желание избавить себя от лишних забот, но доказать обратное в случае проверки будет практически невозможно.

          Можно перейти на "бумажный" кадровый документооборот )

          Комментарий


          • #35
            Сообщение от conficker-i Посмотреть сообщение
            замечательно, цитирую:

            "в системе ведется учет кадров"

            соответственно, это "АБС, целью использования которой является обработка персональных данных" (п. 7.10.9 СТО), а следовательно, это ИСПДн (опять же в соотв. с упомянутым п. стандарта).
            Целью использвания системы является автоматизация банковских процессов, в первую очередь платежных. Кадры - это второстепенная задача. И требования по защите платежных процессов, распространяясь на всю АБС, с лихвой перекрывают требования по защите кадровой подсистемы. Логично?

            Комментарий


            • #36
              Коллеги, кто как интерпретировал данные пункты

              6.7. При проведении оценки частных показателей, для которых оценивается как степень документированности, так и степень выполнения, рекомендуется использовать следующий...
              6.8. При проведении оценки частных показателей, для которых оценивается только степень документированности, рекомендуется использовать следующий..
              и
              6.9. При проведении оценки частных показателей, для которых оценивается только степень выполнения, рекомендуется использовать следующий

              Ведь дальше в методике нигде нет критериев отнесения частного показателя к одной из категорий (оценка степени документирования/степени выполнения/или того и другого). Мы сами (экспертно, исходя из здравого смысла) должны классифицировать каждый из показателей?

              Комментарий


              • #37
                conficker-i, мне кажется, если в вопросе есть слова "документировано ли", то по пятибальной шкале. Если нет, то по трехбальной. Если вопрос конечно не про документы собственно.

                Комментарий


                • #38
                  Сообщение от conficker-i Посмотреть сообщение
                  Коллеги, кто как интерпретировал данные пункты

                  6.7. При проведении оценки частных показателей, для которых оценивается как степень документированности, так и степень выполнения, рекомендуется использовать следующий...
                  6.8. При проведении оценки частных показателей, для которых оценивается только степень документированности, рекомендуется использовать следующий..
                  и
                  6.9. При проведении оценки частных показателей, для которых оценивается только степень выполнения, рекомендуется использовать следующий

                  Ведь дальше в методике нигде нет критериев отнесения частного показателя к одной из категорий (оценка степени документирования/степени выполнения/или того и другого). Мы сами (экспертно, исходя из здравого смысла) должны классифицировать каждый из показателей?
                  Я исходил из уровня собственной испорченности

                  Комментарий


                  • #39
                    Коллеги,

                    разрабатывал уже кто-нибудь ==подход к отнесению АБС к информационным системам персональных данных (ИСПДн)== в соответствии со стандартом?
                    можете расшарить в каком-либо виде?

                    Комментарий


                    • #40
                      conficker-i, писал проекты летом. Сам подход не прошел. Придется похоже всю АБС к ИСПДн относить.

                      Комментарий


                      • #41
                        а насколько аппробирован (согласован ли с ЦБ?) подход, описанный в вашем документе, о том, что если обрабатываются ПД + обрабатывается платежная инфо + введен режим банковской тайнты, - система не ИСПДн? Очень каверзный момент

                        Комментарий


                        • #42
                          Сообщение от conficker-i Посмотреть сообщение
                          а насколько аппробирован (согласован ли с ЦБ?) подход, описанный в вашем документе, о том, что если обрабатываются ПД + обрабатывается платежная инфо + введен режим банковской тайнты, - система не ИСПДн? Очень каверзный момент
                          Я же говорю, что этот подход не прошел. Придется менять формулировки. На последней конференции АРБ договорились что если в системе есть кадровый модуль, то систему придется относить к ИСПДн.

                          Комментарий


                          • #43
                            Коллеги, скажите ваше мнение: в стандарте я нигде не нашел отличается ли чем-то при подсчете рекомендуемые показатели от обязательных или нет. Напротив рекомендуемых в Методике самооценки серым цветом закрашены оценки от 0 до 0.75. Что это значит? Что в любом случае оценка этого показателя равна 1 ? Или же на коэффициент следует умножать любую фактическую оценку этого показателя - так же как и обязательного?

                            Комментарий


                            • #44
                              Сообщение от Манюк Иван Посмотреть сообщение
                              Коллеги, скажите ваше мнение: в стандарте я нигде не нашел отличается ли чем-то при подсчете рекомендуемые показатели от обязательных или нет. Напротив рекомендуемых в Методике самооценки серым цветом закрашены оценки от 0 до 0.75. Что это значит? Что в любом случае оценка этого показателя равна 1 ? Или же на коэффициент следует умножать любую фактическую оценку этого показателя - так же как и обязательного?
                              Это значит, что оценка может быть или 1 или н/о, тогда коэффициенты пересчитываются. Возьмите шаблон тут выше. В нем все отлично считается и пересчитывается.

                              Комментарий


                              • #45
                                Garson#2, Спасибо!

                                А есть соображения как может выглядеть в документе реализация вот этого требования ЦБ:
                                7.10.14. В организации БС РФ должен быть определен и документально зафик-
                                сирован порядок доступа работников организации БС РФ в помещения, в которых ведется обработка персональных данных.

                                Кроме того, что "в помещения Банка, в которых располагаются СВТ, обрабатывающие ПД, должны иметь доступ только сотрудники Банка", нужно еще что-нибудь прописать в Регламенте ? Могут ли туда иметь доступ несотрудники, скажем в сопровождении сотрудников, в каких-то случаях ? И важно ли какие именно требования я в регламенте определю, для проведения оценки по Стандарту?

                                Комментарий


                                • #46
                                  Сообщение от Манюк Иван Посмотреть сообщение
                                  Garson#2, Спасибо!

                                  А есть соображения как может выглядеть в документе реализация вот этого требования ЦБ:
                                  7.10.14. В организации БС РФ должен быть определен и документально зафик-
                                  сирован порядок доступа работников организации БС РФ в помещения, в которых ведется обработка персональных данных.

                                  Кроме того, что "в помещения Банка, в которых располагаются СВТ, обрабатывающие ПД, должны иметь доступ только сотрудники Банка", нужно еще что-нибудь прописать в Регламенте ? Могут ли туда иметь доступ несотрудники, скажем в сопровождении сотрудников, в каких-то случаях ? И важно ли какие именно требования я в регламенте определю, для проведения оценки по Стандарту?
                                  На мой взгляд, важно чтобы требования, которые Вы определите в регламенте, хотя бы устраивали Вас, т.к. оценку Вы будете проводить сами. Эти требования должны быть объективными и непротиворечивыми и опираться на логику ваших бизнес-процессов. Тогда и внешних аудиторов они устроят. Обосновывайте свои решения.

                                  Комментарий


                                  • #47
                                    Вопрос - кто какие получал значения R?
                                    Стоит ли "светиться" 0-вым значением R перед ЦБР (оценка на текущий момент)?
                                    Но другого выхода получается что нет, ведь подтверждение уровня соответствия необходимо отправить до 31 декабря 2010, а времени на изменение/исправление ситуации нет.

                                    Комментарий


                                    • #48
                                      Сообщение от conficker-i Посмотреть сообщение
                                      Вопрос - кто какие получал значения R?
                                      Стоит ли "светиться" 0-вым значением R перед ЦБР (оценка на текущий момент)?
                                      Но другого выхода получается что нет, ведь подтверждение уровня соответствия необходимо отправить до 31 декабря 2010, а времени на изменение/исправление ситуации нет.
                                      я провёл самооценку ещё в августе-сентябре. Поэтому, думаю, до декабря исправить всё по персональным данным, а в декабре провести ещё одну самооценку и гордо выйти на 1-й уровень

                                      Комментарий


                                      • #49
                                        поделитесь у кого есть примеры документов :
                                        - план проведения самооценки
                                        - регламент проведения самооценки
                                        - отчет по результатам самооценки

                                        Комментарий


                                        • #50
                                          Сообщение от Garson#2 Посмотреть сообщение
                                          Я же говорю, что этот подход не прошел. Придется менять формулировки. На последней конференции АРБ договорились что если в системе есть кадровый модуль, то систему придется относить к ИСПДн.
                                          Формулировки поменяли? Если да, то можете выложить отредактированный документ?

                                          А по поводу отношения "кадрового модуля" к ИСПДн, я думаю, что а как же быть если цели обработки ПД именно начисление з/п сотрудникам Банка следовательно, сотрудники будут являться клиентами Банка, что этот факт уже нельзя будет подвести под БТ? И нельзя будет в итоге всю АРБ не относить ИСПДн?

                                          Комментарий


                                          • #51
                                            Сообщение от K0Lb@zzeR Посмотреть сообщение
                                            А по поводу отношения "кадрового модуля" к ИСПДн, я думаю, что а как же быть если цели обработки ПД именно начисление з/п сотрудникам Банка следовательно, сотрудники будут являться клиентами Банка, что этот факт уже нельзя будет подвести под БТ? И нельзя будет в итоге всю АРБ не относить ИСПДн?
                                            Не пробовали пройтись по всем целям в кадровом модуле?

                                            Например:
                                            1. Учет персонала и предоставление статистической отчетности - формы обработки: 1С-персонал и карточки Т-2 - лицо определяющее цели и состав обрабатываемых ПДн: Федеральная служба государственной статистики - Поручение оператора: Ст.5 ТК РФ (197-ФЗ 2001), Постановление Госкомстата России от 05.01.2004 N 1 - отношение к ИСПДн: клиентская часть ИСПДн ФСГС
                                            2. Учет военнообязанных и предоставление отчетности - ... - Министерство обороны РФ - Ст.10 № 53-ФЗ 1998, Постановление Правительства РФ 2006 № 719 - клиентская часть ИСПДн МО РФ
                                            3. Выполнение обязанностей плательщика страховых взносов - ... - ПФР, ФСС, ФОМС - 212-ФЗ 2009 - клиентская часть ИСПДн ПФР, ФСС, ФОМС
                                            4. Данные о состоянии здоровья отдельных категорий работников и прохождении ими медицинских осмотров - ... - Роспотребнадзор - Ст.213 ТК РФ, Ст.34 №52-ФЗ 1999, СанПиН 2.2.2/2.4.1340-03 - клиентская часть ИСПДн Роспотребнадзора
                                            5. Начисление ЗП персоналу и перевод на [карточные] счета - 1С-зарплата, счета сотрудников - банк - не является ИСПДн т.к. является платежным банковским технологическим процессом
                                            6. Выполнение обязанностей налогового агента - 1С-зарплата - ФНС - НК РФ - клиентская часть ИСПДн ФНС
                                            7. Идентификация сотрудника как клиента и иных выгодоприобретателей (членов семьи) в рамках ПОД/ФТ - ... - ФСФМ - 115-ФЗ - клиентская часть ИСПДн ФСФМ
                                            .. ........
                                            .. Рекрутинг персонала - ... - банк - ИСПДн банка
                                            .. Рекрутинг персонала ответственного за ПОД/ФТ - ... - ЦБ РФ - Ч.2 ст.7 № 115-ФЗ 2001 - клиентская часть ИСПДн БР
                                            .. Рекрутинг инсайдеров - ...........


                                            PS: Никто не запрещает Вам не заморачиваться вышеперечисленным и взять на себя обязанности оператора по всем вышеперечисленным целям. Но и ответственность оператора Вы возьмете соответственно
                                            Последний раз редактировалось Toparenko; 08.11.2010, 09:34.

                                            Комментарий


                                            • #52
                                              Доброй ночи. Тоже подумываем о покупке софта от ПАСИФИКИ. Смущает конечно цена и сложность продукта. Есть ли какие нибудь альтернативы? Единственные упоминания, которые нашел в нете, это софт от НПФ Кристалл и БС Атлас от ФОРС, но не демонстрационных версий, ни даже скриншотов нет. Кто нибудь с ними работал? Может есть еще какие нибудь варианты, чтобы дешево и сердито, но без экселя?

                                              Комментарий


                                              • #53
                                                Сообщение от Toparenko Посмотреть сообщение
                                                Не пробовали пройтись по всем целям в кадровом модуле?

                                                Например:
                                                1. Учет персонала и предоставление статистической отчетности - формы обработки: 1С-персонал и карточки Т-2 - лицо определяющее цели и состав обрабатываемых ПДн: Федеральная служба государственной статистики - Поручение оператора: Ст.5 ТК РФ (197-ФЗ 2001), Постановление Госкомстата России от 05.01.2004 N 1 - отношение к ИСПДн: клиентская часть ИСПДн ФСГС
                                                2. Учет военнообязанных и предоставление отчетности - ... - Министерство обороны РФ - Ст.10 № 53-ФЗ 1998, Постановление Правительства РФ 2006 № 719 - клиентская часть ИСПДн МО РФ
                                                3. Выполнение обязанностей плательщика страховых взносов - ... - ПФР, ФСС, ФОМС - 212-ФЗ 2009 - клиентская часть ИСПДн ПФР, ФСС, ФОМС
                                                4. Данные о состоянии здоровья отдельных категорий работников и прохождении ими медицинских осмотров - ... - Роспотребнадзор - Ст.213 ТК РФ, Ст.34 №52-ФЗ 1999, СанПиН 2.2.2/2.4.1340-03 - клиентская часть ИСПДн Роспотребнадзора
                                                5. Начисление ЗП персоналу и перевод на [карточные] счета - 1С-зарплата, счета сотрудников - банк - не является ИСПДн т.к. является платежным банковским технологическим процессом
                                                6. Выполнение обязанностей налогового агента - 1С-зарплата - ФНС - НК РФ - клиентская часть ИСПДн ФНС
                                                7. Идентификация сотрудника как клиента и иных выгодоприобретателей (членов семьи) в рамках ПОД/ФТ - ... - ФСФМ - 115-ФЗ - клиентская часть ИСПДн ФСФМ
                                                .. ........
                                                .. Рекрутинг персонала - ... - банк - ИСПДн банка
                                                .. Рекрутинг персонала ответственного за ПОД/ФТ - ... - ЦБ РФ - Ч.2 ст.7 № 115-ФЗ 2001 - клиентская часть ИСПДн БР
                                                .. Рекрутинг инсайдеров - ...........


                                                PS: Никто не запрещает Вам не заморачиваться вышеперечисленным и взять на себя обязанности оператора по всем вышеперечисленным целям. Но и ответственность оператора Вы возьмете соответственно
                                                СПС за такой полный ответ.
                                                Но все же, это понятно, что как оператор ПД, мы вправе выбрать любой вариант, так сказать для «отмазки», НО как к этому отнесутся регуляторы, в ходе плановой проверки, этот вопрос куда более интересен. т.·к. согласно требованиям стандартам БР, нам нужно выделить хотя бы одну АБС, которая будет являться ИСПДн, но у нас же, таже АБС (в частности 1С) не является ИСПДн (как «отмазаться» от ИСПДн Вы описали выше). Вопрос в том а если после инвентаризации в Банке вообще не окажется ИСПДн? Тогда что? Как на это отреагирует регуляторы в ходе плановых проверок?

                                                Комментарий


                                                • #54
                                                  Сообщение от K0Lb@zzeR Посмотреть сообщение
                                                  Вопрос в том а если после инвентаризации в Банке вообще не окажется ИСПДн? Тогда что? Как на это отреагирует регуляторы в ходе плановых проверок?
                                                  Похоже недосмотрели

                                                  Рекрутинг персонала (кроме персонала ответственного за ПОД/ФТ, топ-менеджмента и, возможно, инсайдеров - по последней категории еще недостаточно НПА) - по этой цели банк является лицом определяющим цели и состав обрабатываемых ПДн

                                                  Как пример попробуйте наложить вышеприведенный алгоритм на это дело. Как раз 28.10.2010 Радиан проиграл очередной этап, но в том числе потому, что взял обязанности оператора по всем целям на себя (ну и ляп с включением в уведомление неавтоматизированной обработки).
                                                  Автоматизированность то там доказывается на форме Т-2 и передаче в ПФР и т.д.
                                                  Последний раз редактировалось Toparenko; 09.11.2010, 09:04.

                                                  Комментарий


                                                  • #55
                                                    Сообщение от Toparenko Посмотреть сообщение
                                                    Похоже недосмотрели
                                                    Рекрутинг персонала (кроме персонала ответственного за ПОД/ФТ, топ-менеджмента и, возможно, инсайдеров - по последней категории еще недостаточно НПА) - по этой цели банк является лицом определяющим цели и состав обрабатываемых ПДн
                                                    Я так и не понял ответа. Значит у нас есть ИСПДн или нет? Если учесть что 1С используется для клиентов (сотрудниуков) банка для начисления ЗП.

                                                    А что такое ПОД/ФТ и НПА (не понятны сокращения)?

                                                    Комментарий


                                                    • #56
                                                      Сообщение от K0Lb@zzeR Посмотреть сообщение
                                                      Я так и не понял ответа. Значит у нас есть ИСПДн или нет?
                                                      Есть - рекрутинг (набор/подбор персонала)
                                                      Сообщение от K0Lb@zzeR Посмотреть сообщение
                                                      А что такое ПОД/ФТ и НПА (не понятны сокращения)?
                                                      ПОД/ФТ - противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма - см. Федеральный закон РФ 2001 года № 115-ФЗ (если банкир, то обязаны знать)
                                                      НПА - нормативно-правовой акт

                                                      Вроде бы применял общеупотребительные сокращения...

                                                      Комментарий


                                                      • #57
                                                        Подскажите пожалуйста: одной из ИСПДн является система 1С:Предприятие. Кто в этом случае считается "разработчиком ИСПДн" - сам банк или ЗАО "1С"?
                                                        Соответственно, кто должен исполнять все обязательства по Стандарту, возложенные на "разработчика ИСПДн"?

                                                        Комментарий


                                                        • #58
                                                          Сообщение от Eugene S Hermelin Посмотреть сообщение
                                                          Подскажите пожалуйста: одной из ИСПДн является система 1С:Предприятие. Кто в этом случае считается "разработчиком ИСПДн" - сам банк или ЗАО "1С"?
                                                          Соответственно, кто должен исполнять все обязательства по Стандарту, возложенные на "разработчика ИСПДн"?
                                                          7.3.5. Разрабатываемые АБС и (или) их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе в отношении угроз ИБ (источников угроз), описанных в модели угроз организации БС РФ. Приобретаемые организацией БС РФ готовые АБС и (или) их компоненты рекомендуется снабжать указанной документацией.
                                                          Также документация на разрабатываемые АБС или приобретаемые готовые АБС и их компоненты должна содержать описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки.
                                                          В договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов организациям БС РФ должны включаться положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных положений должен быть приобретен полный комплект рабочей конструкторской документации, обеспечивающий возможность сопровождения АБС и их компонентов без участия разработчика.
                                                          Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости или позиции фирмы поставщика (разработчика), руководство организации БС РФ должно оценить и документально оформить допустимость риска нарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов.
                                                          Следовательно, пробуете у 1С получить комплект документов, если не получиться получить, то придется либо разработать самим, либо отказаться от данного ПО, и выбрать другое ПО (где в комплект вход нужная документация)

                                                          Комментарий


                                                          • #59
                                                            K0Lb@zzeR, спасибо.

                                                            Есть еще вопрос: правильно ли я понимаю, что если организация введет у себя СТО БР, то проверять по перс.данным её будут всё те же три регулятора (РКН, ФСБ, ФСТЭК), но уже до Стандарту БР? Или же теперь будет проверять только Центробанк?

                                                            Комментарий


                                                            • #60
                                                              Сообщение от Eugene S Hermelin Посмотреть сообщение
                                                              K0Lb@zzeR, спасибо.

                                                              Есть еще вопрос: правильно ли я понимаю, что если организация введет у себя СТО БР, то проверять по перс.данным её будут всё те же три регулятора (РКН, ФСБ, ФСТЭК), но уже до Стандарту БР? Или же теперь будет проверять только Центробанк?
                                                              Пока:
                                                              проверять по перс.данным её будут всё те же три регулятора (РКН, ФСБ, ФСТЭК), но уже по Стандарту БР
                                                              Возможно ст.19 ЗоПД будет выглядеть както-так, во всяком случае это предлагает Правительство:
                                                              Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
                                                              1. Оператор при обработке персональных данных обязан принимать или обеспечивать принятие необходимых организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
                                                              2. Правительство Российской Федерации устанавливает:
                                                              1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от характеристик угроз безопасности этих данных;
                                                              2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
                                                              3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
                                                              3. Состав и содержание организационных и технических мер для защиты персональных данных при их обработке в информационных системах персональных данных, которые необходимы для выполнения требований к защите персональных данных для каждого из уровней защищенности, устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
                                                              4. Федеральные органы исполнительной власти в соответствии с возложенной на них функцией по нормативно-правовому регулированию в установленной сфере деятельности принимают нормативные правовые акты, устанавливающие характеристики угроз безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
                                                              5. Ассоциации, союзы и иные объединения операторов вправе своими решениями установить характеристики дополнительных угроз безопасности персональных данных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.
                                                              6. Нормативные правовые акты федеральных органов исполнительной власти и решения ассоциаций, союзов и иных объединений операторов, указанные в частях 4 и 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.
                                                              7. Контроль и надзор за выполнением мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
                                                              8. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

                                                              Комментарий

                                                              Обработка...
                                                              X