11 апреля, воскресенье 12:38
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Постановление Правительства РФ по персональным данным

Свернуть
Это важная тема.
X
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Elsen Посмотреть сообщение
    есть положения по персональным данным. полный комплект. но хотелось бы по обмену.
    Ну давайте поменяемся.. Наше тут

    У вас больше и/или лучше?

    Комментарий


    • Сообщение от surfer Посмотреть сообщение
      Алексей Лукацкий, Походу, СТО БР к концу 2011 сделают обязательным для банков?
      Этого никто сейчас не скажет. Надо ждать принятия ФЗ о НПС и тогда уже ждать ответа ЦБ о его требованиях, согласованных с ФСТЭК и ФСБ. Вероятность, что это будет СТО - выше 70%. Но нельзя исключить и разработку новых документов.

      Комментарий


      • Алексей Лукацкий, Подождём...

        Комментарий


        • Сообщение от Алексей Лукацкий Посмотреть сообщение
          Если по уму, то начните с моей презы на эту тему - http://lukatsky.blogspot.com/2010/02/1.html

          Если вам для галочки, то зачем вам свою модель ваять - введите приказом СТОшную. Там и приведен список актуальных угроз. А перечень методов защиты дан в СТО 1.0. Вам надо просто их внедрять и все.
          Вот мы СТО-шную приказом и ввели. Но ведь вероятность реализации перечисленных угроз будет в каждом конкретном случае разной. И зависит от реализации конкретной ИСПДн. И где-то это надо задокументировать. Что вероятность реализации урозы А высока и мы защищаемся так то, а для угрозы Б ничтожна и мы принимаем риски (например). Так вот где задокументировать то? Что это - описание системы защщиты для каждой ИСПДн или что то ещё?

          Комментарий


          • Сообщение от Alex_MCBM Посмотреть сообщение
            Вот мы СТО-шную приказом и ввели. Но ведь вероятность реализации перечисленных угроз будет в каждом конкретном случае разной. И зависит от реализации конкретной ИСПДн. И где-то это надо задокументировать. Что вероятность реализации урозы А высока и мы защищаемся так то, а для угрозы Б ничтожна и мы принимаем риски (например). Так вот где задокументировать то? Что это - описание системы защщиты для каждой ИСПДн или что то ещё?
            В модели угроз вероятность уже никого не интересует - у вас угроза либо актуальная либо нет. Если она актуальная, то вы по любому должны ее нейтрализовать. Если неактуальная, то в модели ее и не будет.

            Понятие вероятность угрозы нужна только при формировании модели угроз, а ЦБ уже это за вас сделал.

            Комментарий


            • Сообщение от Alex_MCBM Посмотреть сообщение
              Вот мы СТО-шную приказом и ввели. Но ведь вероятность реализации перечисленных угроз будет в каждом конкретном случае разной. И зависит от реализации конкретной ИСПДн. И где-то это надо задокументировать. Что вероятность реализации урозы А высока и мы защищаемся так то, а для угрозы Б ничтожна и мы принимаем риски (например). Так вот где задокументировать то? Что это - описание системы защщиты для каждой ИСПДн или что то ещё?
              То что Вы хотите сделать - называется оценка рисков. А отраслевая модель угроз - это результат оценки рисков. Т.е. в первом случае - вы определяете вероятность угроз и оценку ценности ресурсов, далее определяете преемлемый уровень риска для банка и сравниваете полученное значение с утвержденным приемлемым. Все, что выше преемлемого, говорит о том, что угроза актуальная, все что ниже - нет. Результат, угроза - риск: "Начинаем защищать" Во втором случае, как комментирует Алексей: "Все уже сделано за Вас ЦБ". Только ЦБ скрывает то как получилась такая модель угроз и на основании чего - что на входе?, что на выходе?, какой алгоритм?.

              Комментарий


              • Сообщение от Ерохин Сергей Посмотреть сообщение
                ... А отраслевая модель угроз - это результат оценки рисков...
                Что-то я в этой жизни не понимаю. Можно подробнее рассказать, как не проводить оценку рисков сославшись на ЦБ-шную модель угроз.

                Комментарий


                • Сообщение от Идущий Посмотреть сообщение
                  Что-то я в этой жизни не понимаю. Можно подробнее рассказать, как не проводить оценку рисков сославшись на ЦБ-шную модель угроз.
                  Просто ввести в действие приказом, так же, как приказом утверждается и вводится любое положение или инструкция.

                  Комментарий


                  • Сообщение от Идущий Посмотреть сообщение
                    Что-то я в этой жизни не понимаю. Можно подробнее рассказать, как не проводить оценку рисков сославшись на ЦБ-шную модель угроз.
                    ЦБ разделил информационную безопасность АБС на две составляющие (не без помощи нашего законодателя): 1. Обеспечение ИБ АБС; 2. Обеспечение ИБ ИСПДн. Выпустил отраслевую модель угроз для ИСПДн, которая отражает актуальные угрозы ИБ. Как были получены эти актуальные угрозы? Очевидно, что по результатам оценки рисков типовой ИСПДн банка (тут конечно много вопросов что за ИСПДн, кто определил такую ИСПДн, какие параметры у этой типовой ИСПДн...). Если методика оценки рисков при этом не учитывалась, то лично мне становиться печально .
                    Аналогичным образом Вы получаете актуальные угрозы АБС, через оценку рисков. Только для меня проще проводить оценку рисков всей информационной системы, которая включает и АБС и ИСПДн, чем принимать отдельно для ИСПДн, потом разрабатывать для АБС в рамках оценки рисков.

                    Получается, что фактически у Вас должна проводиться оценка рисков для АБС и для ИСПДн. Если Вы применяете отраслевую модель угроз, то тогда вам не надо проводить оценку рисков для ИСПДн. Ограничиваетесь только оценкой рисков для АБС.

                    Методика опредеелния актуальных угроз ПДн ФСТЭК России - одна из разновидностей оценки рисков.

                    Комментарий


                    • Сообщение от Ерохин Сергей Посмотреть сообщение
                      Получается, что фактически у Вас должна проводиться оценка рисков для АБС и для ИСПДн. Если Вы применяете отраслевую модель угроз, то тогда вам не надо проводить оценку рисков для ИСПДн. Ограничиваетесь только оценкой рисков для АБС.
                      Ну это вы загнули. Оценку рисков надо проводить для каждой системы, потому что различается архитектура системы, объём данных, условия использования, способы подключения и способы обработки и передачи данных. Если у вас для всех систем всё совпадает, то можете не делить их, но так не бывает.

                      Комментарий


                      • Сообщение от ost Посмотреть сообщение
                        Ну это вы загнули. Оценку рисков надо проводить для каждой системы, потому что различается архитектура системы, объём данных, условия использования, способы подключения и способы обработки и передачи данных. Если у вас для всех систем всё совпадает, то можете не делить их, но так не бывает.
                        Читайте мои посты внимательнее. Я не говорил о том, что оценка рисков не должна проводится для каждой системы. Я сказал, что оценка рисков должна проводится для ИСПДн и АБС. АБС - состоит из подсистем. Следовательна модель угроз и оценка рисков учитывает особенности всей АБС, которые состоят из комплекса особенностей каждой подсистемы. Мат. часть .

                        Но проводить оценку рисков АБС и ИСПДн в одном документе я бы не стал с той точки зрения, что нет особого желания представлять регуляторам в сфере ПДн актуальные угрозы по всей АБС. Я бы не хотел, что бы представители регуляторов ознакамливались со всеми риска ИБ, а только с рисками в пределах их компетенции . Да и регуляторам, думаю, будет не особо интересно читать 100-150 стр. отчета из которых только четвертая часть по теме ПДн.

                        По модели угроз ЦБ я уже выразил свое мнение......

                        Комментарий


                        • Определил для банка цели обработки ПДн клиентов, охватывающие все процессы. Всего 7:
                          1. Выполнение договора (включая доп. соглашения, заявления на доп. услуги к договорам и т.д.) с клиентами - физическими лицами - согласие не требуется.

                          2. Выполнение договора с контрагентами, устанавливающего цели, объем, содержание обработки, порядок передачи ПДн и предусматривающего оказание разовых услуг субъектам ПДн - согласие не требуется, т.к. банк не является оператором.

                          3. Выполнение ФЗ-115 "О противодействии легализации.." - согласие не требуется

                          4. Выполнение №125-ФЗ "Об архивном деле в РФ" - согласие не требуется

                          5. Реализация права Банка на судебную защиту по возможным имущественным искам со стороны субъекта ПДн - согласие включено в договор, заявление на ден. перевод в случае бездоговорных отношений

                          6. Продвижение банковских услуг - отдельное согласие (галочка в договоре, заявлении и т.д.)

                          7. Проверка лица, подавшего заявку на кредит (открытие счета) - согласие в заявке.

                          Получается, что ПДн клиента проходит несколько этапов, которые соответствуют разным целям. Например, при обслуживании кредита:
                          1. ПДн из заявки обрабатываются до момента принятия решения с целью №7, после чего хранятся в архиве (вроде год) с целью №4.
                          2. ПДн из договора обрабатываются с целью №1 до момента закрытия договора.
                          3. После закрытия договора: ПДн, содержащиеся в кредитном досье хранятся в архиве с целью №4, ПДн, указанные в 115-фз хранятся в АБС 5 лет с целью № 3, ПДн, обозначенные банком хранятся в АБС 3 года с целью № 5, и ПДн, содержащие (к примеру), ФИО и тел., хранятся с целью № 6 до момента отзыва согласия, либо лицензии.

                          Подобную схему при желании можно составить по каждому бизнес-процессу.
                          Прокомментируйте такой подход!

                          Комментарий


                          • Сообщение от vilis Посмотреть сообщение
                            Подобную схему при желании можно составить по каждому бизнес-процессу.
                            Прокомментируйте такой подход!
                            На примере кадровой подсистемы я предлагал тот же подход

                            Комментарий


                            • Сообщение от Ерохин Сергей Посмотреть сообщение
                              проводить оценку рисков АБС и ИСПДн в одном документе я бы не стал
                              а как можно в одном документе провести оценку двух разных информационных систем?
                              либо данная АБС является ИСПД, либо нет, т.к. она задействована в банковском платежном информационном процессе.
                              и то и то быть не может

                              Комментарий


                              • Сообщение от vilis Посмотреть сообщение
                                Прокомментируйте такой подход!
                                а рекомендации цб и арб чем то не устраивают?

                                3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
                                3.1. Целью обработки указанных выше персональных данных является:
                                - осуществление возложенных на Организацию законодательством Российской Федерации функций в соответствии с Налоговым кодексом
                                4 1
                                Российской Федерации, федеральными законами, в частности: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», нормативными актами Банка России, а также Уставом и нормативными актами Организации;
                                - организация учета служащих кредитной организации для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия служащему в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и нормативными актами Организации.

                                Комментарий


                                • Сообщение от DedLopouhiy Посмотреть сообщение
                                  а рекомендации цб и арб чем то не устраивают?
                                  А как вы определили, например, сроки обработки ПДн для цели "осуществление возложенных на Организацию законодательством РФ функций"?

                                  Комментарий


                                  • Сообщение от DedLopouhiy Посмотреть сообщение
                                    а как можно в одном документе провести оценку двух разных информационных систем?
                                    либо данная АБС является ИСПД, либо нет, т.к. она задействована в банковском платежном информационном процессе.
                                    и то и то быть не может
                                    Можно, читайте определение АБС, АС и ИСПДн и вы поймете, что АБС может состоять из комплекса подсистем в том числе туда относятся и 1С и Интернет-Банк и ................... АБС в чистом виде не может быть ИСПДн, так как есть процессы в которых вообще нет ПДн. На основании определений, можно сделать вывод что ИСПДн входит в состав АБС, т.е. АБС по уровню иерархии выше ИСПДн .

                                    Комментарий


                                    • О коммунальных платежах:
                                      Плательщик приходит в Банк, совершает платеж (платежное поручение) в пользу коммунальной службы, например за воду.
                                      Между Банком и коммунальной службой ежемесячно происходит обмен электронным реестром плательщиков (фио, место жительства, платежная инфа), методом шифрования.
                                      Договора между Банком и плательщиком нет
                                      Есть только договор между Банком и коммунальной службой
                                      Хочу понять, законно ли это, с юридической точки зрения...

                                      п.с.: считаю что нужно брать согласие с плательщиков о передаче ПДн третьим лицам, с указанием целей сроков и тп. Причем брать такое согласие должна коммунальная служба, ибо они являются держателями договоров с плательщиками. и как они это будут делать я не знаю

                                      Возник вопрос а является ли вообще такая информация персональными данными? ведь сам Плательщик не идентифицирован (Вася пупкин может заплатить за коммунальные услуги в пользу друга Пети Иванова)

                                      сейчас на стадии подписания договора с коммунальной службой
                                      Последний раз редактировалось Александр.; 17.12.2010, 13:14.

                                      Комментарий


                                      • Александр., Хочу понять, законно ли это, с юридической точки зрения...


                                        Исключите из передаваемого реестра ФИО. И полУчите обезличенные реестры. Вуаля! (Мы так и сделали, и совсем об этом не жалеем.)
                                        С уважением, Антон

                                        Комментарий


                                        • Регулируется ГК - "расчет платежными поручениями" и П-2 и П-222. Согласие в этом случае не надо.

                                          Комментарий


                                          • Сообщение от Ерохин Сергей Посмотреть сообщение
                                            Можно, читайте определение АБС, АС и ИСПДн и вы поймете, что АБС может состоять из комплекса подсистем в том числе туда относятся и 1С и Интернет-Банк и ................... АБС в чистом виде не может быть ИСПДн, так как есть процессы в которых вообще нет ПДн. На основании определений, можно сделать вывод что ИСПДн входит в состав АБС, т.е. АБС по уровню иерархии выше ИСПДн .
                                            Т. е. вы читаете определение так что набор отдельных никак не связанных между собой продуктов типо 1С + Интернет-Банк - это будет единая АБС? Может быть мы разные с вами определения читаем?

                                            Комментарий


                                            • Сообщение от DedLopouhiy Посмотреть сообщение
                                              Т. е. вы читаете определение так что набор отдельных никак не связанных между собой продуктов типо 1С + Интернет-Банк - это будет единая АБС? Может быть мы разные с вами определения читаем?
                                              Наличие головы и возможность ею говорить не означает, что голова (читай 1С) есть объект самостоятельный, т.е. отделимый от тела. Отделить его можно (голову от тела), однако в этом случае теряется "системное свойство".
                                              Указанный Вами набор не является "не связанным между собой". Это набор иднтифицируемых продуктов. Связью является использование этого набора конкретной организацией.

                                              Комментарий


                                              • Сообщение от Ерохин Сергей Посмотреть сообщение
                                                ...Получается, что фактически у Вас должна проводиться оценка рисков для АБС и для ИСПДн. Если Вы применяете отраслевую модель угроз, то тогда вам не надо проводить оценку рисков для ИСПДн. Ограничиваетесь только оценкой рисков для АБС.
                                                ...
                                                Т.е. проводить оценку рисков все равно придется, какую методику не бери.
                                                А я то, грешным делом, подумал, что Вы нашли кусок халявы.

                                                Комментарий


                                                • Сообщение от DedLopouhiy Посмотреть сообщение
                                                  Т. е. вы читаете определение так что набор отдельных никак не связанных между собой продуктов типо 1С + Интернет-Банк - это будет единая АБС? Может быть мы разные с вами определения читаем?
                                                  Давайте по другому пути пойдем. Есть "Операционный день банка", который собирает информацию из всех подсистем, в том числе и И-Б и 1С и кредиты и ...... Вот это и есть АБС. Постройти структуру из более крупных квадратиков - попробуйте подойти к рассмотрению АБС более широко. Мои выводы такие: АБС - одна в банка, которая направлена на осуществление лицензируемой деятельности банка (цель). Все остально - комплекс подсистем АБС (задачи).

                                                  PS. Хороший пример от Идущий с отсылкой на системный анализ и понятие системы

                                                  Комментарий


                                                  • Сообщение от Идущий Посмотреть сообщение
                                                    Т.е. проводить оценку рисков все равно придется, какую методику не бери.
                                                    А я то, грешным делом, подумал, что Вы нашли кусок халявы.
                                                    Проводить оценку рисков прийдется, более того, если посмотреть показатель, характеризующий оценку рисков в "Методике оценки соответствия.....", то риск должен оцениваться качественно и количественно. Зачем?! Я не понял. Как не крути в конечном счете для принятия рска нужны конкретные цифры, что бы их можно было сравнить с приемлемым уровнем риска.

                                                    А халява - отраслевая модель угроз для ИСПДн .

                                                    Комментарий


                                                    • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                      Регулируется ГК - "расчет платежными поручениями" и П-2 и П-222. Согласие в этом случае не надо.
                                                      Извините, не обнаружил пункта где сказано, что согласие не требуется, может это сказано не прямо. тыкните в пунктик
                                                      Нашел только (из № 222-п): Информация о плательщике - физическом лице может доводиться банком - отправителем платежа до банка-получателя иным, согласованным с ним способом, в том числе с использованием программно-технических средств.
                                                      но получатель коммунальная служба, а не банк-получатель, т.е. у коммунальной службы нет лицензии ЦБ РФ, соответственно она не попадает под влияние ЦБ РФ. как то так...

                                                      Коммунальная служба нам будет передавать базу персональных данных, мы будем эту базу сводить и передавать обратно в коммунальную службу. передача персональных данных третьему лицу,
                                                      фз 152 что на такую передачу нужно согласие...

                                                      В случае если будет проверка этой коммунальной службы, как это может затронуть Банк, в части документооборота ?
                                                      (думаю что нужно согласие оферта в счет-квитанции, в договоре абзац о конфиденциальности и использование сертифицированной криптографии для организации документооборота)
                                                      Исключите из передаваемого реестра ФИО. И полУчите обезличенные реестры. Вуаля! (Мы так и сделали, и совсем об этом не жалеем.)
                                                      Обезличить невозможно, такое условие..
                                                      Последний раз редактировалось Александр.; 20.12.2010, 11:33.

                                                      Комментарий


                                                      • Александр., Обезличить невозможно, такое условие..
                                                        Знакома мне эта песня. Я знаю точно - невозможное - возможно. Был в аналогичной ситуации. Вот, мол, мы будем передавать ФИО - и точка! В очередной беседе стоило упомянуть про нарушение норм 152-ФЗ, задать уточняющий вопрос - "а включены ли вы в реестр РСКН?" - и сразу же пропали ПД.
                                                        Тут стоит уточнить, что эти ПД к ПД собственно плательщиков никакого отношения не имеют, и для банка не нужны вообще!

                                                        Это типа раз.

                                                        Вышесказанное не освобождает Вас от необходимости соблюдения требований 222-П: доведение информации о плательщике в указанных случаях до банка-получателя.
                                                        Ему (банку-получателю) это тоже на фиг не надо, но - 222-П нарушать не особо хочется.
                                                        С уважением, Антон

                                                        Комментарий


                                                        • Сообщение от Ерохин Сергей Посмотреть сообщение
                                                          Проводить оценку рисков прийдется, более того, если посмотреть показатель, характеризующий оценку рисков в "Методике оценки соответствия.....", то риск должен оцениваться качественно и количественно. Зачем?! Я не понял.
                                                          Задал себе человек вопрос и тут же на него и ответил:
                                                          Сообщение от Ерохин Сергей Посмотреть сообщение
                                                          Как не крути в конечном счете для принятия рска нужны конкретные цифры, что бы их можно было сравнить с приемлемым уровнем риска.
                                                          О халяве:
                                                          Сообщение от Ерохин Сергей Посмотреть сообщение
                                                          А халява - отраслевая модель угроз для ИСПДн .
                                                          Пропущенная через 2.2 (с честными защитными мерами) мне как-то таковой (халявой) не кажется. Если мало - дополните от себя (модель ведь можно дополнять).

                                                          Комментарий


                                                          • Сообщение от Идущий Посмотреть сообщение
                                                            Задал себе человек вопрос и тут же на него и ответил:
                                                            Если Вы внимательно читали, то я поставил два вопроса: 1. Зачем проводить качественную оценку рисков, если проведена количественная? 2. Зачем проводить количественную, если проведена качественная. На второй вопрос я ответил, а вот на первый .........

                                                            О халяве:
                                                            Пропущенная через 2.2 (с честными защитными мерами) мне как-то таковой (халявой) не кажется. Если мало - дополните от себя (модель ведь можно дополнять).
                                                            В этой ветке, я уже высказывал свое мнение по поводу отраслевой модели угроз . Как по мне, так лучше разработать свою.

                                                            Комментарий


                                                            • План проверок на 2011 год от РКН - http://rsoc.ru/plan-and-reports/contolplan/

                                                              Комментарий

                                                              Обработка...
                                                              X