18 ноября, воскресенье 08:58
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

К какому классу относим АБС?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • К какому классу относим АБС?

    Вопрос: кто к какому классу относит АБС? Например, в зависимости от конфигурации (РКО + кредиты + депозиты, как вариант: + пластик и ипотека).

    Попутно: может ли класс системы обработки персональных данных быть выше чем категория обрабатываемых в ней данных?

  • #2
    Сообщение от Баян Посмотреть сообщение
    Вопрос: кто к какому классу относит АБС? Например, в зависимости от конфигурации (РКО + кредиты + депозиты, как вариант: + пластик и ипотека).

    Попутно: может ли класс системы обработки персональных данных быть выше чем категория обрабатываемых в ней данных?
    ИМХО вне зависимости от того, что там за АБС(РКО + кредиты + депозиты, как вариант: + пластик и ипотека)- везде есть не только перснональные данные "суьъекта ПДн" но и другая дополнительная информация о нем (номер счета, суммы поступившие/списанные, иснофрмация о занимаемой должности-для юрлиц и тд) так что по-любому 2 класс. А если в АБС есть еще и фото клиента)) то это 1 класс т.к. есть данные по биометрике )))
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      Сообщение от George-on-Don Посмотреть сообщение
      другая дополнительная информация о нем (номер счета, суммы поступившие/списанные, иснофрмация о занимаемой должности-для юрлиц и тд) так что по-любому 2 класс.
      Номер счета не является дополнительной информацией субъекта ПДн, это четко сказали консультанты из ФСТЭК. Что такое "информация о занимаемой должности для юрлиц" - это вообще выше моего понимания, у юрлица нет никакой "занимаемой должности". Движение средств по счету (как вариант - зарплата) - вроде как относится ко второй категории, но она фигурирует не везде.
      Последний раз редактировалось Баян; 15.10.2009, 12:58.

      Комментарий


      • #4
        Сообщение от Баян Посмотреть сообщение
        Номер счета не является дополнительной информацией субъекта ПДн, это четко сказали консультанты из ФСТЭК. Что такое "информация о занимаемой должности для юрлиц" - это вообще выше моего понимания, у юрлица нет никакой "занимаемой должности". Движение средств по счету (как вариант - зарплата) - вроде как относится ко второй категории, но она фигурирует не везде.
        в РКО есть справочник-анкета по каждому клиенту банка- юридическому лицу, в этом справочнике обязательно указывается ФИО руководителя и гл.бух предприятия- это и есть дополнительная информация к данному субъекту ПДн ст.3 п 1 ФЗ-152 1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
        Мы продолжаем делать то, что мы уже много наделали

        Комментарий


        • #5
          Сообщение от George-on-Don Посмотреть сообщение
          А если в АБС есть еще и фото клиента)) то это 1 класс т.к. есть данные по биометрике )))
          Наличие/отсутствие биометрии абсолютно не влияет на класс ИСПДн. Т.к. класс ИСПДн - это ПП781 и ниже, а биометрия - это ПП512 (здесь совершенно другая "мина").

          Комментарий


          • #6
            Сообщение от Toparenko Посмотреть сообщение
            Наличие/отсутствие биометрии абсолютно не влияет на класс ИСПДн. Т.к. класс ИСПДн - это ПП781 и ниже, а биометрия - это ПП512 (здесь совершенно другая "мина").
            ну я имел ввиду то что наличие фото в базе дает повод отнести эти персональные данные "субъекта" к первой категории т.к.
            т.к. согласно приказа ТРЕХ - категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;, а по фотографии вполне можно опеределеит и расовую принадлежность и даже -иногда национальность))) а некоторые умельцы еще и состояние здоровья диагностируют по фото)))))))))
            Мы продолжаем делать то, что мы уже много наделали

            Комментарий


            • #7
              Сообщение от George-on-Don Посмотреть сообщение
              в РКО есть справочник-анкета по каждому клиенту банка- юридическому лицу, в этом справочнике обязательно указывается ФИО руководителя и гл.бух предприятия- это и есть дополнительная информация
              Очень спорно. Начнем с того, что только по ФИО однозначно идентифицировать субъект персональных данных нельзя. Следовательно, указание занимаемой должности не будет дополнительной информацией, т.к. субъект не идентифицирован. Сама связка "ФИО" + "место работы" + "занимаемая должность" может идентифицировать субъекта, но это 3-я категория ПД.

              Комментарий


              • #8
                Ну ЦБ вообще жестко придерживается позиции, что АБС вообще не может относиться к ИСПДн.

                Комментарий


                • #9
                  Сообщение от Баян Посмотреть сообщение
                  Очень спорно. Начнем с того, что только по ФИО однозначно идентифицировать субъект персональных данных нельзя. Следовательно, указание занимаемой должности не будет дополнительной информацией, т.к. субъект не идентифицирован. Сама связка "ФИО" + "место работы" + "занимаемая должность" может идентифицировать субъекта, но это 3-я категория ПД.
                  а если речь идет об ИЧП/ПОБЮЛ??? - в анкету клиентта вносится и его ИНН и паспортные данные и место жительства- регистрации...
                  Мы продолжаем делать то, что мы уже много наделали

                  Комментарий


                  • #10
                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                    Ну ЦБ вообще жестко придерживается позиции, что АБС вообще не может относиться к ИСПДн.
                    Где написано?

                    Комментарий


                    • #11
                      Сообщение от George-on-Don Посмотреть сообщение
                      а если речь идет об ИЧП/ПОБЮЛ??? - в анкету клиентта вносится и его ИНН и паспортные данные и место жительства- регистрации...
                      А теперь посмотрите, что из этого есть в ЕГРИП (источник общедоступных ПДн)

                      Комментарий


                      • #12
                        Сообщение от Баян Посмотреть сообщение
                        Где написано?
                        Внутренние нормативные документы. Отсылка идет на п.9 ст.3 ФЗ-152.

                        ЗЫ. Я с такой постановкой не согласен ;-)

                        Комментарий


                        • #13
                          Сообщение от Toparenko Посмотреть сообщение
                          А теперь посмотрите, что из этого есть в ЕГРИП (источник общедоступных ПДн)
                          ))Ок, если у Вас в АБС все данные ПДн субъектов из общедоступных источников- тогда Вам и волноваться нечего)))))))- и кстати даже более того- ненужно и заботиться об их защите в АБС)))- может поделитесь своей базой клиентов?????
                          Мы продолжаем делать то, что мы уже много наделали

                          Комментарий


                          • #14
                            Сообщение от George-on-Don
                            ))) это ничего не доказывает- я знал одного негра, так у него в паспорте указано- русский))))))
                            Значит и в этом случае Вы неправильно определили расовую принадлежность
                            Смесь европеидной и негроидной расы будет (в зависимости от смеси): мулат/окторон/мюлатр/мюстиф/грифф/марабу/мусти/мустафино... И определить по фото Вы это не сможете

                            Комментарий


                            • #15
                              Сообщение от Toparenko Посмотреть сообщение
                              Значит и в этом случае Вы неправильно определили расовую принадлежность
                              Смесь европеидной и негроидной расы будет (в зависимости от смеси): мулат/окторон/мюлатр/мюстиф/грифф/марабу/мусти/мустафино... И определить по фото Вы это не сможете
                              ) ну так это не я неправльно определил)) а те кто заносил паспортные данные)) - которые указываются кстати- либо по записи с родительcких документов, либо по выбору (если родители разной национальности) только со слов "субъекта" ПДн)))- так что если Ваш "мулат/окторон/мюлатр/мюстиф/грифф/марабу/мусти/мустафино" сообщит что у него у примерц папа русский- то так и запишут в паспорте- чистокровный "русак"))). И Ваш Салман Радуев вполне мог быть не чистым чеченцем))- но это так- ремарка- не я же этот закон 152-ФЗ выдумал))) - но на фото все же смотрят - несмотря ни на что))). Попутно возник вопрос- а есть ли какие вообще надежные на 100% данные по которым можно определить национальность??? т.е. что должно быть в базе ПДн- ??? Просто сочетание букв с названием национальности???? Фотография хромосом?? или заключение экспертной комиссии??
                              Мы продолжаем делать то, что мы уже много наделали

                              Комментарий


                              • #16
                                Сообщение от George-on-Don Посмотреть сообщение
                                Попутно возник вопрос- а есть ли какие вообще надежные на 100% данные по которым можно определить национальность??? т.е. что должно быть в базе ПДн- ??? Просто сочетание букв с названием национальности????
                                1. Надежных 100%-ных данных нет. Даже хромосомный анализ даст с какой-то степенью вероятности.
                                2. По законодательству РФ национальность выбирает сам субъект т.ч. он может "обозваться" кем угодно (по результатам последней переписи имелись даже эльфы по национальности ). Т.ч. сейчас понятие национальности - это "просто сочетание букв с названием национальности".
                                3. А Вам действительно нужно наличие данных о национальности в Вашей базе ПДн???
                                IMO: достаточно доказать, что у Вас их не содержится

                                Комментарий


                                • #17
                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  Внутренние нормативные документы.
                                  А не подскажешь конкретные реквизиты этих документов?

                                  Комментарий


                                  • #18
                                    Сообщение от Toparenko Посмотреть сообщение
                                    1. Надежных 100%-ных данных нет. Даже хромосомный анализ даст с какой-то степенью вероятности.
                                    2. По законодательству РФ национальность выбирает сам субъект т.ч. он может "обозваться" кем угодно (по результатам последней переписи имелись даже эльфы по национальности ). Т.ч. сейчас понятие национальности - это "просто сочетание букв с названием национальности".
                                    3. А Вам действительно нужно наличие данных о национальности в Вашей базе ПДн???
                                    IMO: достаточно доказать, что у Вас их не содержится
                                    нет, мне от ПДн субъекта ничего не нужно))- и чем меньше их там будет тем лучше)). И на самом деле вопросы возникают потому что в законе 152-ФЗ есть набор "терминов" - идентификация субъекта, автоматизированая обработка данных, ИСПДН и др. А четкого " определения" что являестя "идентификацией субъекта", что такое исключительно автоматизированая обработка данных, и что такое ИСПДН, т.е. является ли любая информационная система содержащая в том числе хоть какие-то ПДн субъекта - ИСПДН??? -закон не предоставляет)) поэтому и возникают всякие теории и идеи))))
                                    Мы продолжаем делать то, что мы уже много наделали

                                    Комментарий


                                    • #19
                                      Сообщение от Баян Посмотреть сообщение
                                      А не подскажешь конкретные реквизиты этих документов?
                                      Пока нет. Это именно что внутренние документы "для себя". Скоро будут выпущены рекомендации "для всех". Посмотрим, что там будет.

                                      Комментарий


                                      • #20
                                        Сообщение от Баян
                                        Русский - это национальность, негр - раса. Не надо путать национальность и расу.
                                        вот люблю я юристов за то что они любят точность, всегда укажут - что белое это не черное, однако потом с таким же успехом вывернут все наоборот))) респект!!!
                                        Мы продолжаем делать то, что мы уже много наделали

                                        Комментарий


                                        • #21
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          Внутренние нормативные документы. Отсылка идет на п.9 ст.3 ФЗ-152.

                                          ЗЫ. Я с такой постановкой не согласен ;-)
                                          наверное наоборот?
                                          ст.9 п.3 152-ФЗ ??
                                          потому что в 9 пункте третьей статьи не за что зацепится вроде бы...

                                          А почему Вы не согласны?
                                          по их идее... АБС не содержит ничего особо тайного...
                                          в плане ПДн
                                          Правильно я подозреваю?

                                          Как правило, все эти данные - они как раз официальные и широкоизвестные,
                                          если же клиент "шифруется", пытается что-то скрывать... то это прямой путь по уже другому ФЗ-115
                                          что такого секретного, например, в адресе клиента? как правило все его публикуют на своих сайтах в общем доступе, как впрочем и расчетный счет и корреспондентский счет обслуживающего банка.

                                          Если адрес клиента неверный - то он не пройдет "идентификацию" в службе финмониторинга... и очень вероятно, что такого клиента не возьмут на обслуживание и т.п.

                                          так что позиция ЦБ как раз очень понятна - все данные ПДн АБС в хороших банках по их идее не носят тайны...

                                          или я чего-то обкурился и не туда пошел?
                                          Рад бы в Рай, да... реаниматоры не пускают!

                                          Комментарий


                                          • #22
                                            Сообщение от Dr.Little Посмотреть сообщение
                                            наверное наоборот?
                                            А почему Вы не согласны?
                                            по их идее... АБС не содержит ничего особо тайного...
                                            в плане ПДн
                                            Правильно я подозреваю?
                                            Даже если ничего тайного - это все равно общедоступные ПДн, а значит АБС - ИСПДн. Не говоря уже о том, что АБС обрабатывает данные о счете, движении по нему и т.п. Я бы не хотел, чтобы об этом знали все кому не лень.

                                            Мотивация ЦБ проста - АБС разрабатывалась не для обработки ПДн (не это основная цель АБС), а значит это не ИСПДн. Позиция очень спорная.

                                            Комментарий


                                            • #23
                                              И да... в чем-то ЦБ прав
                                              АБC это не CRM

                                              я понимаю, что есть данные о счете, движении по нему и еще много чего другого...
                                              но это другое неким замечательным образом возносит АСБ чуть ли не приравнивая ее к гостайне
                                              это же тоже перегиб

                                              и еще момент
                                              а движения по вашему счету - это разве ПД ?
                                              т.е. я о чем хочу сказать...
                                              что надо защищать в самих информационных системах?
                                              сами персональные данные или и все, что вокруг них?
                                              т.е. обеспечивая невозможность "выуживания" из своей АБС ваших ПД... обязан ли я так же обеспечить невозможность выуживания и данных о ваших счетах\проводках... ??

                                              ЦБ пытается повернуть тему видимо так - АБС есть система обработки счетов и платежных документов... а ПД в этих системах - суть вторичная вещь...
                                              т.е. АСБ - не система обработки данных о лицах

                                              Правильно я улавливаю мысль, что если, например, разрабатывалась система автоматизации работы бензоколонки...и в мыслях у людей не было заморачиваться с ПДн, но они сдуру туда воткнули ФИО обслуживающего персонала, которые там в общем-то почти, как козе пятая нога, то понятно их глубокое разочарование... ибо как систему ПДн это никто не задумывал и теперь масса проблем прилетела совсем неожиданно

                                              Об этом наверное пытается ЦБ тему поднять?
                                              Рад бы в Рай, да... реаниматоры не пускают!

                                              Комментарий


                                              • #24
                                                Сообщение от Dr.Little Посмотреть сообщение
                                                Об этом наверное пытается ЦБ тему поднять?
                                                Угу

                                                Комментарий


                                                • #25
                                                  Сообщение от Dr.Little Посмотреть сообщение
                                                  а движения по вашему счету - это разве ПД ?
                                                  Почитайте законодательство сначала, а? Это снимет многие ваши вопросы еще до этапа задавания. В законе есть такое понятие, как дополнительные сведения, относящиеся к идентифицированному на основании ПД лицу. Частный случай - зарплата, обрабатываемая в карточном модуле в рамках зарплатного проекта.
                                                  Последний раз редактировалось Баян; 21.10.2009, 11:16.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Dr.Little Посмотреть сообщение
                                                    ЦБ пытается повернуть тему видимо так - АБС есть система обработки счетов и платежных документов... а ПД в этих системах - суть вторичная вещь...
                                                    Основа всего банковского розничного бизнеса - клиенты. С точки зрения бизнес-процесса важно то, что происходит с деньгами клиентов. Это первично, остальное - вторично. С точки зрения законодательства, которое по идее должно работать в интересах граждан своей страны, первична защита интересов граждан.
                                                    Так что в лице АРБ и ЦБ мы просто наблюдаем борьбу за выручку, которую пытается перераспределить в свою пользу государство (органы исполнительной власти).
                                                    Заметьте, если бы не требования ФСТЭК в части ПЭМИН и аттестации ИСПДн - никто бы не возмущался, потому, что это бы не противоречило здравому смыслу. Но тогда не упали бы огромные деньги. Самая большая ошибка заключается в том, что ФСТЭК вообще допустили к этой теме. Вместо отсыла к этой структуре могли обязать операторов придерживаться подходящего стандарта (ГОСТа) по ИБ, как делают все цивилизованные страны.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от AndrewZ Посмотреть сообщение
                                                      Заметьте, если бы не требования ФСТЭК в части ПЭМИН и аттестации ИСПДн - никто бы не возмущался, потому, что это бы не противоречило здравому смыслу.
                                                      Не-а

                                                      Здравому смыслу еще противоречит предъявление требований к АСЗИ обрабатывающих ГТ (3А/2А/1В) к информационным системам не обрабатывающих ГТ (частично ИСПДн К2 и полностью ИСПДн К1). В этих требованиях не только ПЭМИН...

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Баян Посмотреть сообщение
                                                        Почитайте законодательство сначала, а? Это снимет многие ваши вопросы еще до этапа задавания. В законе есть такое понятие, как дополнительные сведения, относящиеся к идентифицированному на основании ПД лицу. Частный случай - зарплата, обрабатываемая в карточном модуле в рамках зарплатного проекта.
                                                        Есть в этом утверждении что-то вызывающее протест. Дело в том, что денюшка зачисляется и списывается со счета вовсе не на основе идентификации ПД вледельца. И даже если вы увидите движение по счету, то никогда не определите зарплата это или "подарок". Пример: пришел платеж в банк из ЦБ - зачислите денюшки на указанный счет(предполагается, что реквизиты указаны верно). И при этом абсолютно без разницы зарплата это или еще что-нибудь.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от AndrewZ Посмотреть сообщение
                                                          Основа всего банковского розничного бизнеса - клиенты. С точки зрения бизнес-процесса важно то, что происходит с деньгами клиентов. Это первично, остальное - вторично. С точки зрения законодательства, которое по идее должно работать в интересах граждан своей страны, первична защита интересов граждан.
                                                          Бизнес и клиенты "близнецы-братья"(С). Только вот основа АБС - счета и остатки. Все остальное пристегивается к этим элементам (включая не платежный документооборот).
                                                          ПД - это хорошо, но никто еще не отменял банковскую и комерческую тайны

                                                          Комментарий


                                                          • #30
                                                            to Идущий:
                                                            Платежный документооборот может содержать ПД. Которые не являются банковской тайной.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X