20 ноября, вторник 01:45
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Рекомендации ЦБ-АРБ по ПДн

Свернуть
Это важная тема.
X
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Рекомендации ЦБ-АРБ по ПДн

    Все уже наверное прочитали новые рекомендации и проекты стандартов.

    У кого какие мысли?

    Забавная схема предлагается: внедряем стандарт - уведомляем регуляторов - PROFIT. Или так: не внедряем стандарт - получаем все радости общения с регуляторами (четверокнижие, лицензирование, аттестация) - FAIL.

  • #2
    Правильная схема!
    И все довольны.
    Рад бы в Рай, да... реаниматоры не пускают!

    Комментарий


    • #3
      Dr.Little,
      Схема расово верная! Но получается, что стандарт должен быть внедрен практически в полном объеме. Хватит ли сил у маленьких банков?

      Комментарий


      • #4
        лучше разжеванный и всем известный стандарт, чем непонятное общение с регуляторами
        к тому же, даже мелким банкам этот стандарт под силу
        внедрение... оно же может быть разным
        и никому на этом пути не запрещены ошибки и недочеты вроде бы
        Рад бы в Рай, да... реаниматоры не пускают!

        Комментарий


        • #5
          будем внедрять
          Жизнь всегда богаче, чем наше предоставление о ней

          Комментарий


          • #6
            внедрение... оно же может быть разным
            Ну как разным... В письме регуляторам мы должны будем указать итоговый уровень соответствия R.

            Комментарий


            • #7
              Сообщение от Garson#2 Посмотреть сообщение
              Ну как разным... В письме регуляторам мы должны будем указать итоговый уровень соответствия R.
              а где это сказано? можно поподробнее?
              Рад бы в Рай, да... реаниматоры не пускают!

              Комментарий


              • #8
                Dr.Little,
                Методика оценки соответствия, стр. 18
                В «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх», как минимум, следует включать следующие оценки:

                EVООПД — оценка степени выполнения требований СТО БР ИББС-1.0 регламентирующих обработку персональных данных;

                EV1ОЗПД — оценка степени выполнения требований СТО БР ИББС-1.0,
                регламентирующих защиту персональных данных в информационных системах
                персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

                EVМ 6 - оценка группового показателя М6 «Обеспечение информационной
                безопасности при использовании средств криптографической защиты информации»,применительно к банковскому технологическому процессу, в рамках которого
                обрабатываются персональные данные (оценка степени выполнения требований СТО БР
                ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных при использовании средств криптографической защиты информации);

                R — итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР
                ИББС-1.0.

                С целью направления «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх» регуляторам, осуществляющим надзор за выполнением законодательства в области персональных данных, данный документ следует составлять в пяти экземплярах, один из которых предназначен для использования в организации БС РФ.

                Комментарий


                • #9
                  ну и отлично
                  а где сказано, какой уровень R удовлетворит регуляторов?
                  Рад бы в Рай, да... реаниматоры не пускают!

                  Комментарий


                  • #10
                    Невысокий общий уровень, мне кажется, может их насторожить и вызвать лишние вопросы. Получится не "подтверждение соответствия", "подтверждение несоответствия". К тому же вопросы могут возникнуть у ЦБ.

                    Комментарий


                    • #11
                      Прошу прощения, быть я что-то недопонял. Как банкам предлагается классифицировать ИСПДн?
                      В рекомендациях "В соответствии с определенными критериями классификации (пункт 7.11.3 стандарта Банка России СТО БР ИББС-1.0-20хх)" - я скачал стандарт СТО БР ИББС-1.0-2008, но там такого пункта нет.

                      Комментарий


                      • #12
                        alexmib,
                        А Вы скачайте новый проект стандарта СТО БР ИББС-1.0-2010.

                        Комментарий


                        • #13
                          Просто мысли в слух:

                          7.7.2. СКЗИ:
                          – должны быть сертифицированы уполномоченным государственным органом, либо иметь разрешение ФСБ России.
                          И всё таки без сертификации СКЗИ никуда.

                          7.10.4. В организации БС РФ рекомендуется проводить классификацию персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.
                          Рекомендуется выделять следующие категории персональных данных:
                          персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» [5] к специальным категориям персональных данных;
                          персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» [5] к биометрическим персональным данным;
                          персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» [5] к общедоступным или обезличенным персональным данным;
                          персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным.
                          Классификация (по степени тяжести последствий) и категорирование – помоему это разные вещи. Может конечно ошибаюсь, но как-то коробит от такого "синонимизма".

                          7.10.8. В организации БС РФ должен быть определен и документально зафиксирован порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в сфере персональных данных.
                          Прогиб засчитан

                          7.10.9. В организации БС РФ должны быть определен и документально зафиксирован подход к отнесению АБС к информационным системам персональных данных (ИСПДн).
                          В организации БС РФ должен быть определен и документально зафиксирован перечень ИСПДн. В перечень ИСПДн должны быть включены, как минимум, АБС, целью создания и использования которых является обработка персональных данных.
                          АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.
                          Всёравно не доходит, почему? Но приятно

                          9.4. Аудит ИБ, проводимый внешними по отношению к организации БС РФ независимыми проверяющими организациями, является основной формой проверки и оценки (контроля) выполнения организацией БС РФ требований настоящего стандарта.

                          Периодичность проведения аудита ИБ, в том числе с целью контроля выполнения требований настоящего стандарта по обработке и обеспечению безопасности персональных данных, а также порядок информирования о результатах указанного аудита определяются Банком России совместно с надзорными органами, осуществляющими контроль и надзор в сфере персональных данных. Результаты аудита ИБ, в том числе в части обработки и обеспечения безопасности персональных данных по согласованию направляются в адрес надзорных органов, осуществляющих контроль и надзор в сфере действия законодательства о персональных данных.
                          Неужели они согласятся отдать роль первой скрипки ЦБ. Не верю!

                          9.6. В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются. В случае введения в действие стандарта в организации БС РФ указанные требования не являются обязательными при проведении комплекса мероприятий по обеспечению безопасности персональных данных в специальных ИСПДн организаций БС РФ. Альтернативой процедурам лицензирования и аттестации являются процедуры проверки и оценки информационной безопасности организаций банковской системы Российской Федерации, требования к которым изложены в пункте 9 настоящего стандарта.
                          Если в организации БС РФ настоящий стандарт не введен в действие, то в соответствии с документом ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» эта организация как оператор должна аттестовать типовые ИСПДн классов К1 и К2, а также при проведении мероприятий по обеспечению безопасности в типовых ИСПДн должна получить лицензию на осуществление деятельности по технической защите конфиденциальной информации (только для типовых ИСПДн классов К1, К2 и распределенных типовых ИСПДн класса К3) в установленном порядке.
                          Вкусно!

                          9.7. Требование получения организацией БС РФ лицензии ФСБ России на виды деятельности, связанные с эксплуатацией шифровальных (криптографических) средств как отечественных, так и импортных:
                          - деятельность по распространению шифровальных (криптографических) средств;
                          - деятельность по техническому обслуживанию шифровальных (криптографических) средств;
                          - предоставление услуг в области шифрования информации, является обязательным в случае предоставления услуг или осуществления предпринимательской деятельности.
                          В случае, если использование (эксплуатация) шифровальных (криптографических) средств в организации БС РФ осуществляется только для внутренних целей (для обеспечения собственных нужд), то получение лицензии на эти виды деятельности не требуется.
                          Расставили точки на i

                          Комментарий


                          • #14
                            Сообщение от Berckut Посмотреть сообщение
                            Всёравно не доходит, почему?
                            См. в соседней ветке

                            Комментарий


                            • #15
                              Berckut,
                              И всё таки без сертификации СКЗИ никуда
                              Это еще с прошлой версии стандарта пошло.
                              Классификация (по степени тяжести последствий) и категорирование – помоему это разные вещи.
                              Тут видимо цель такая: отсечь сразу специальные и биометрические ПДн. И дальше работать с общедоступными и обыкновенными ПДн.
                              Всёравно не доходит, почему? Но приятно
                              Приятно, слов нет Но тут интересный вопрос возникает: какие это системы создаются исключительно с целью обработки ПДн? Все которые не платежные?
                              Неужели они согласятся отдать роль первой скрипки ЦБ. Не верю!
                              Я так понял, что ЦБ делает нам крышу в этом вопросе, а взамен требует соблюдения своего стандарта.

                              Комментарий


                              • #16
                                Сообщение от Garson#2 Посмотреть сообщение
                                Но тут интересный вопрос возникает: какие это системы создаются исключительно с целью обработки ПДн? Все которые не платежные?
                                Уже писал, что по неплатежным см. п.7.11.1

                                "Ноги растут" из (см. "Обобщенные предложения органов государственной власти и заинтересованных организаций по гармонизации законодательства в сфере персональных данных по состоянию на 28.10.2009" на сайте Минкомсвязи - .doc):
                                51. Внести изменения в Закон № 152-ФЗ, в соответствии с которым персональные данные защищаются в различных режимах в зависимости о того, включена ли эта информация в состав банковской или иной профессиональной тайны. Если же специального режима не установлено, то к информации персональным данным предъявляются требования, установленные по отношению к персональным данным.

                                Комментарий


                                • #17
                                  to all
                                  9.7. Требование получения организацией БС РФ лицензии ФСБ России на виды деятельности, связанные с эксплуатацией шифровальных (криптографических) средств как отечественных, так и импортных:
                                  - деятельность по распространению шифровальных (криптографических) средств;
                                  - деятельность по техническому обслуживанию шифровальных (криптографических) средств;
                                  - предоставление услуг в области шифрования информации, является обязательным в случае предоставления услуг или осуществления предпринимательской деятельности.
                                  В случае, если использование (эксплуатация) шифровальных (криптографических) средств в организации БС РФ осуществляется только для внутренних целей (для обеспечения собственных нужд), то получение лицензии на эти виды деятельности не требуется.
                                  возникает вопрос- что есть "только внутренние" цели?
                                  -допустим если в банке есть УЦ но ЭЦП используется только для внутреннего ЭДО?
                                  а если УЦ используется и для передачи клиентам и/или контрагентам, или если ЭЦП используется в Банк-Клиенте - то это уже НЕ для внутренних целей?
                                  Мы продолжаем делать то, что мы уже много наделали

                                  Комментарий


                                  • #18
                                    George-on-Don, я так понимаю, что любые ДБО - это предоставление услуг, да еще и распространение, ну и обслуживание конечно Так что лицензии нужны. А внутри делайте что хотите.

                                    Комментарий


                                    • #19
                                      Сообщение от George-on-Don Посмотреть сообщение
                                      to all
                                      возникает вопрос- что есть "только внутренние" цели?
                                      -допустим если в банке есть УЦ но ЭЦП используется только для внутреннего ЭДО?
                                      а если УЦ используется и для передачи клиентам и/или контрагентам, или если ЭЦП используется в Банк-Клиенте - то это уже НЕ для внутренних целей?
                                      Ну у ФСБ на это есть четкая точка зрения. Если вы взимаете деньги за оказание услуг на базе СКЗИ, то это явно не для собственных нужд.

                                      Комментарий


                                      • #20
                                        Сообщение от Garson#2 Посмотреть сообщение
                                        Но тут интересный вопрос возникает: какие это системы создаются исключительно с целью обработки ПДн? Все которые не платежные?
                                        В отдел кадров давно заходил? Автоматизированный учет персонала в твоем банке ведется? А теперь докажи, что такая система не создана исключительно с целью обработки ПДн.
                                        Бухгалтерия тебе зарплату на железных феликсах со счетами считает? Или есть некая программулина? Твои доходы и налоги - не есть ПДн? Причем не общедоступные... А теперь скажи, что такая программа не создана исключительно с целью обработки ПДн (той же зарплаты).
                                        Это вообще касается всех без исключения работодателей, независимо от формы собственности и вида бизнеса.
                                        А если у тебя есть некая санчасть, и там автоматизированно ведут твою "историю болезни"? Это уже выход на биометрические ПДны...
                                        А базы данных с клиентскими кредитными историями? Или кредиты выдаются физикам от балды, без какого либо анализа их платежеспособности? И разве такие программы не созданы исключительно с целью обработки ПДн?

                                        Куда не кинь, везде ПДны... И без их обработки практически никакой бизнес невозможен. Увы.

                                        Комментарий


                                        • #21
                                          Сообщение от Евстафьев Алексей Посмотреть сообщение
                                          В отдел кадров давно заходил?
                                          Принимается. Кадры и бухгалтерия - ИСПДн. А вот кредитные истории - уже банковская тайна.
                                          Последний раз редактировалось Garson#2; 16.02.2010, 09:37.

                                          Комментарий


                                          • #22
                                            Сообщение от Garson#2 Посмотреть сообщение
                                            Принимается. Кадры и бухгалтерия - ИСПДн. А вот кредитные истории - уже банковская тайна.
                                            Более того, ведение кредитных историй - не самоцель, а всего лишь следствие из другой задачи - выдача и своевременный возврат кредитов. Именно ради этого и создается система. Так что под ИСПДн уже не подходит ;-)

                                            Комментарий


                                            • #23
                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              В отдел кадров давно заходил? Автоматизированный учет персонала в твоем банке ведется? А теперь докажи, что такая система не создана исключительно с целью обработки ПДн.
                                              А если персонал банка еще и клиенты банка
                                              Уже БТ получаем...
                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              Бухгалтерия тебе зарплату на железных феликсах со счетами считает? Или есть некая программулина? Твои доходы и налоги - не есть ПДн? Причем не общедоступные... А теперь скажи, что такая программа не создана исключительно с целью обработки ПДн (той же зарплаты).
                                              Это вообще касается всех без исключения работодателей, независимо от формы собственности и вида бизнеса.
                                              Частично "заехали" в налоговую тайну и зарплатные карточки сотрудников (БТ)
                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              А если у тебя есть некая санчасть, и там автоматизированно ведут твою "историю болезни"? Это уже выход на биометрические ПДны...
                                              Врачебная тайна
                                              И не на биометрию, а на спецкатегорию
                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              А базы данных с клиентскими кредитными историями? Или кредиты выдаются физикам от балды, без какого либо анализа их платежеспособности? И разве такие программы не созданы исключительно с целью обработки ПДн?
                                              Тайна кредитной истории + БТ
                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              Куда не кинь, везде ПДны... И без их обработки практически никакой бизнес невозможен. Увы.
                                              Внимательно смотрим проф. тайну

                                              Комментарий


                                              • #24
                                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                Более того, ведение кредитных историй - не самоцель, а всего лишь следствие из другой задачи - выдача и своевременный возврат кредитов. Именно ради этого и создается система. Так что под ИСПДн уже не подходит ;-)
                                                А бухгалтерия ведется ради своевременной выдачи зарплаты и уплаты налогов

                                                Комментарий


                                                • #25
                                                  Сообщение от Garson#2 Посмотреть сообщение
                                                  А бухгалтерия ведется ради своевременной выдачи зарплаты и уплаты налогов
                                                  Это лишь одна из задач бухгалтерии, но та которая наиболее связанна с ПДн своих сотрудников

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Toparenko Посмотреть сообщение
                                                    Это лишь одна из задач бухгалтерии, но та которая наиболее связанна с ПДн своих сотрудников
                                                    И что из этого следует?

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Garson#2 Посмотреть сообщение
                                                      И что из этого следует?
                                                      Не стОит однозначно относить все задачи бухгалтерии к обработке ПДн. Как и относить все технологические процессы обработки ПДн в бухгалтерии к обработке информации не отнесенной к БТ/КТ

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Toparenko Посмотреть сообщение
                                                        Не стОит однозначно относить все задачи бухгалтерии к обработке ПДн. Как и относить все технологические процессы обработки ПДн в бухгалтерии к обработке информации не отнесенной к БТ/КТ
                                                        Собственно ЦБ за ИСПДн считает только кадровые ;-)

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                          Собственно ЦБ за ИСПДн считает только кадровые ;-)
                                                          Вот и у меня складывается именно такое впечатление по прочтению СТО БР ИББС-1.0-2010

                                                          Это их официальное мнение ?

                                                          Комментарий


                                                          • #30
                                                            Сообщение от NGBank Посмотреть сообщение
                                                            Вот и у меня складывается именно такое впечатление по прочтению СТО БР ИББС-1.0-2010

                                                            Это их официальное мнение ?
                                                            Ну официальное мнение ЦБ может быть выражено только в письменной форме, исходящей из самого ЦБ ;-)

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X