11 апреля, воскресенье 13:31
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Рекомендации ЦБ-АРБ по ПДн

Свернуть
Это важная тема.
X
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ost Посмотреть сообщение
    Ни в одном нормативном документе подход: "Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн". озвучен только в документе "Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации". А на этом документе не стоят визы ФСТЭК и ФСБ, либо я их в упор не вижу.

    Причём в рекомендациях написано "на основе Комплекса СТО БР ИББС", но в самом СТО такой подход не закреплён. Классно всех подставили.
    Если открыть СТО, то на стр. 26 есть п. 7.10.9. в котором написано следующее: АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.
    На владение русским языком на уровне профессора филологии не претендую, но на мой взгляд, это определение тождественно "Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн".
    С одним отличием: второе определение (из мет.рекомендаций) шире (емче), так как позволяет НЕ отнести к ИСПДн еще и банковские информационные технологические процессы.
    А точнее, второе определение позволяет вообще почти все вычеркнуть из списка ИСПДн

    Какое из этих определений принять - решать вам. Возможно, что "горячая" линия как раз поможет определицца.
    Да пребудет с тобой Сила!

    Комментарий


    • Сообщение от Turkish Посмотреть сообщение
      Если открыть СТО, то на стр. 26 есть п. 7.10.9. в котором написано следующее: АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.
      вот кстати полностью согласен. Причем, написали конкретно, АБС, не АС, не ИС, всё четко и понятно. У большинства банков основной программный продукт так и идёт по документации - АБС. И не важно, клиенты там, зарплата, или что еще - если там есть платежный технологический процесс (а это, если почитать определение в том же СТО, не только перевод средств, но и контроль) - то это не ИСПД ни разу. Нет, надо обязательно пытаться читать между строк, рассуждать что такое АБС, куда то звонить, чтобы не дай бог появилось чье нибудь официальное мнение которое всё испортит. Как у людей мышление устроено, непонятно, ищут приключений...

      Комментарий


      • DedLopouhiy, тут дело в том, что хотя бы одна ИСПДн у вас должна быть. В качестве громоотвода. И если все на свете у вас крутится в одной АБС, то и требования к ИСПДн вам придется выполнять для всей системы.

        Комментарий


        • Сообщение от Turkish Посмотреть сообщение
          второе определение позволяет вообще почти все вычеркнуть из списка ИСПДн

          Какое из этих определений принять - решать вам. Возможно, что "горячая" линия как раз поможет определицца.
          Коллега, мне определятся не надо, мне теперь под мою классификацию надо подобрать "бумагу", чтобы закрыться от Регуляторов, при общении с регуляторами работает один принцип -- "чем больше бумаги, тем чище #опа".

          А вот тут-то и начинают всплывать неприятные "сюрпризы".

          Комментарий


          • Сообщение от Garson#2 Посмотреть сообщение
            дело в том, что хотя бы одна ИСПДн у вас должна быть. В качестве громоотвода.
            Во-во! Именно в качестве громоотвода.

            У меня по первости было желание подвести и кадры и СКУД под неавтоматизированную обработку, но потом пяток систем решили выделить как ИСПДн, в качестве громоотвода.

            Комментарий


            • Сообщение от Garson#2 Посмотреть сообщение
              DedLopouhiy, тут дело в том, что хотя бы одна ИСПДн у вас должна быть. В качестве громоотвода. И если все на свете у вас крутится в одной АБС, то и требования к ИСПДн вам придется выполнять для всей системы.
              это где такое требование?
              Вообще у меня получилась не одна, а штук пять тоже.. Но если бы не было ни одной, я бы никак не беспокоился. Одно НО - я не считаю все системы кучей (1с+банк-клиент +...) одной АБС, как тут раньше высказывались, конечно дорассуждаться можно и до такого, но мне это не нужно, я считаю максимально понятно с точки зрения здравого смысла - один производитель, одна документация = 1 абс.

              Комментарий


              • В связи с изменениями, внесенными в Федеральный закон от 27 июля
                2006 г. № 152-ФЗ «О персональных данных» (Федеральный закон от 23
                декабря 2010 г. N 359-ФЗ «О внесении изменения в статью 25 Федерального
                закона «О персональных данных»), связанными с переносом сроков
                реализации его требований для информационных систем персональных
                данных, созданных до 1 января 2011, считаем возможным перенести срок
                предоставления документа о подтверждении соответствия и установить его
                30.06.2011. - http://cbr.ru/credit/Gubzi_docs/info3.pdf

                Комментарий


                • Подтверждение соответствия следует направлять в адрес
                  центрального аппарата Банка России, откуда оно будет направлено
                  Регуляторам: Роскомнадзор, ФСБ России, ФСТЭК России.


                  это что-то новенькое, так наверное и лучше будет.
                  Жизнь всегда богаче, чем наше предоставление о ней

                  Комментарий


                  • DedLopouhiy, а бывает так что один производитель, одна сеть, толком никакой документации = ХЗ что

                    Комментарий


                    • Сообщение от ОСАНИК Посмотреть сообщение
                      Подтверждение соответствия следует направлять в адрес
                      центрального аппарата Банка России, откуда оно будет направлено
                      Регуляторам: Роскомнадзор, ФСБ России, ФСТЭК России.


                      это что-то новенькое, так наверное и лучше будет.
                      Да, мы в АРБ это обсуждали, но я не думал, что ЦБ так оперативно решит этот вопрос ;-) И срок они сильно сдвинули - мы говорили о 1-м февраля только ;-)

                      Комментарий


                      • Многие из нас последний месяц потратили много своего рабочего времени на оценку соответствия. Полагаю, что возник поток "обратной связи" от непосредственных исполнителей СТО-1.2, небывалый ранее.

                        В связи с этим 2 вопроса:
                        1) Планируется ли какое-то мероприятие по сбору пожеланий/дополнений в СТО-1.2 ?
                        2) Где в ближайшее время будут проходить семинары по СТО-1.0 и особенно СТО-1.2 с представительством уполномоченных лиц ЦБ ? Хотелось бы поучаствовать и возможно задать накопившиеся вопросы ...

                        Комментарий


                        • Сообщение от NGBank Посмотреть сообщение
                          Где в ближайшее время будут проходить семинары по СТО-1.0 и особенно СТО-1.2 с представительством уполномоченных лиц ЦБ ? Хотелось бы поучаствовать и возможно задать накопившиеся вопросы ...
                          ib-bank.ru III Межбанковская конференция «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ»
                          в прошлом году очень даже полезно было, и цб там все, и регуляторы. Список участников вот http://www.ib-bank.ru/ibb/uch

                          Комментарий


                          • Сообщение от NGBank Посмотреть сообщение
                            1) Планируется ли какое-то мероприятие по сбору пожеланий/дополнений в СТО-1.2 ?
                            А пожелание принимаются постоянно. Напрямую или через ABISS. Ждать чего-то не надо.

                            Сообщение от NGBank Посмотреть сообщение
                            2) Где в ближайшее время будут проходить семинары по СТО-1.0 и особенно СТО-1.2 с представительством уполномоченных лиц ЦБ ? Хотелось бы поучаствовать и возможно задать накопившиеся вопросы ...
                            Если честно, то я не очень разделяю оптимизм в отношении таких семинаров. Выслушать позицию - да. Но узнать что-то - нереально. Я присутствовал на части таких семинаров и заметил две вещи:
                            - сотрудник ЦБ либо не до конца понимает ПРАКТИКУ работы в коммерческих банках (все-таки безопасность ЦБ и безопасность всех остальных банков - это небо и земля зачастую).
                            - слишком много желающих спросить и в итоге сотрудник ЦБ не успевает ответить и на половину, а на то, что отвечает - отвечает поверхности.

                            Поэтому надо писать письма. Чем больше писем, тем больше шансов, что будет создан FAQ. И горячая линия АРБ в том числе для этого и создана.

                            Комментарий


                            • Вопрос к Алексею Лукацкому: Алексей Викторович, не подскажете, а относить ли к ИСПДН и классифицировать такие информационные системы, посредством которых мы передаем персональные данные в виде необходимых отчетов? Например, Клико, система Пенсионного фонда и т.п.? Ведь вроде целью является не обработка ПД, а отправление отчетов в соответствии с законодательством...

                              Комментарий


                              • Сообщение от Юристsbnk Посмотреть сообщение
                                Вопрос к Алексею Лукацкому: Алексей Викторович, не подскажете, а относить ли к ИСПДН и классифицировать такие информационные системы, посредством которых мы передаем персональные данные в виде необходимых отчетов? Например, Клико, система Пенсионного фонда и т.п.? Ведь вроде целью является не обработка ПД, а отправление отчетов в соответствии с законодательством...
                                Не Алексей Лукацкий, но вклинюсь.

                                Внимательно смотрим определение оператора:
                                Статья 3. Основные понятия, используемые в настоящем Федеральном законе
                                В целях настоящего Федерального закона используются следующие основные понятия:
                                2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
                                Можно еще посмотреть эту тему

                                Т.ч. Клико/отчетность в ПФ/т.п. будут ИСПДн. Но Вы их не классифицируете т.к. не являетесь операторами данных ИСПДн. Эти ИСПДн Вы должны выявить при выполнении п.22 Плана (Приложение № 2 к Методическим рекомендациям ЦБ/АРБ):
                                Выявить ИСПДн (в том числе государственные) и их границы (в рамках организации БС РФ), в отношении которых организация не определяет цели обработки и требования по защите (например, передача отчетности в Пенсионный фонд, ФНС, ФОМС и др.)

                                Комментарий


                                • Вот именно ;-) Та же Город, WebMoney и т.п. Вы не оператор этих ИСПДн. Хотя в качестве промежуточного варианта можно их классифицировать как автономные ИСПДн. Но это уже зависит от вашего подхода к классификации, который вы должны выбрать для себя сами.

                                  Комментарий


                                  • Сообщение от Toparenko Посмотреть сообщение

                                    Т.ч. Клико/отчетность в ПФ/т.п. будут ИСПДн. Но Вы их не классифицируете т.к. не являетесь операторами данных ИСПДн. Эти ИСПДн Вы должны выявить при выполнении п.22 Плана (Приложение № 2 к Методическим рекомендациям ЦБ/АРБ):
                                    Я (возможно и неправильно) затолкал эти ИСПДн в общий список специализированных ИСПДн. Из обсуждения я понял, что надо кокой-то отдельный список не собственных (можно назвать и "автономных") ИСПДн по отношению к которым Банк является обработчиком. Так? И назвать его что-то вроде "Список ИСПДн по отношению к которым (Банк) не определяет цели обработки и требования по защите".

                                    Комментарий


                                    • Сообщение от iv-dima Посмотреть сообщение
                                      Из обсуждения я понял, что надо кокой-то отдельный список не собственных (можно назвать и "автономных") ИСПДн по отношению к которым Банк является обработчиком. Так? И назвать его что-то вроде "Список ИСПДн по отношению к которым (Банк) не определяет цели обработки и требования по защите".
                                      Можно и в общем списке, но отдельным разделом

                                      Комментарий


                                      • Коллеги, извините что вклиниваюсь в обсуждение.
                                        Опять письмо из отделения по поводу ПД и опять молодым коллегам понадобились шаблоны документов.
                                        Выкладываю материалы заседания "Комисси по ПД в банке".
                                        На заседании утверждаются следующие документы:
                                        Перечень ПД
                                        Список ПО с ПД
                                        Список ИСПДн
                                        Акты классификации ИСПДн
                                        Перечень сотрудников, допущенных к обработке ПД

                                        Комментарий


                                        • Можно и в общем списке, но отдельным разделом

                                          А зачем отдельным разделом? Я в порядке классификации так написал:

                                          - Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн.
                                          - Системы, в которых обрабатываются персональные данные, но где в отношении такой обработки Банк не определяет цели и содержание обработки персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн.
                                          В графе цели пишу "... Банк не определяет цели ...", в примечаниях кто определяет (ЦБ, МНС и т.п.) и всё.

                                          Комментарий


                                          • Упс...
                                            Последний раз редактировалось ost; 14.01.2011, 09:39.

                                            Комментарий


                                            • alex.a.fedorov, посмотрел ваши документы по второму заседанию и у меня возникли вопросы.

                                              1. Зачем вы в перечне ПДн роете себе яму? Написали:
                                              2.1.1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (в том числе видеозаписи внутренних систем охранного телевидения и банковских терминальных устройств, фотографии работника Банка на Личном листке по учету кадров, на удостоверении сотрудника Банка и в общедоступных источниках Банка (в т.ч. в электронном виде), данные в устройствах, использующих для идентификации биометрические данные человека, ксерокопии с документов, удостоверяющих личность и имеющих фотографию владельца).
                                              У вас есть желание и возможность обращатся с видеозаписями и с .jpg фоток сотрудников с сайта как с биометрическими данными, записывать из на устройства однократной записи, вести учёт и контроль носителей и т.п.?

                                              2. Вот вы утвердили "ПЕРЕЧЕНЬ СОТРУДНИКОВ допущенных к обработке персональных данных в КБ «???????????????????»", насколько я знаю специфику работы банков, доступ к ПДн там имеет больше 2/3 персонала, операционисты, кассиры, бухгалтеры, ИТ, СБ и т.д., -- проще перечислить тех, кто не имеет такого доступа. И текучка кадров в банке есть всегда, операционисты увольняются, уходят в декрет, вместо них берут на работу новых и т.д. Вы собираетесь каждый случай замены сотрудника проводить через заседание комиссии и утверждать ему доступ к ПДн? Это же нереально.

                                              Комментарий


                                              • Как АО, мы используем реестр акционеров, который ведет Регистратор. В этом случае Банк не определяет цели и содержание обработки персональных данных. Так? И эта система не классифицируется как ИСПДн?

                                                Комментарий


                                                • Сообщение от alex.a.fedorov Посмотреть сообщение
                                                  Коллеги, извините что вклиниваюсь в обсуждение.
                                                  alex.a.fedorov спасибо, интересно посмотреть..

                                                  Я кстати о чем хотел..
                                                  Как вам вот это, коллеги?
                                                  Кроме мысли - это личное мнение автора - есть еще что сказать??

                                                  http://www.iso27000.ru/blogi/aleksan...ii-sto-br-ibbs

                                                  Комментарий


                                                  • Горчая линия заработала - http://www.arb.ru/site/action/list_news.php?id=4169

                                                    Комментарий


                                                    • Кроме мысли - это личное мнение автора - есть еще что сказать??

                                                      Там всё верно написано. В СТО есть только одна фраза, которая облегчает банкам жизнь: "АБС реализующие платёжные банковские процессы не относятся к ИСПДн".

                                                      Комментарий


                                                      • Сообщение от alex.a.fedorov Посмотреть сообщение
                                                        Коллеги, извините что вклиниваюсь в обсуждение.
                                                        Опять письмо из отделения по поводу ПД и опять молодым коллегам понадобились шаблоны документов.
                                                        Выкладываю материалы заседания "Комисси по ПД в банке".
                                                        На заседании утверждаются следующие документы:
                                                        Перечень ПД
                                                        Список ПО с ПД
                                                        Список ИСПДн
                                                        Акты классификации ИСПДн
                                                        Перечень сотрудников, допущенных к обработке ПД
                                                        Меня мучают смутные сомнения)) посмотрел я вложенный Перечень Пд+ цели обработки+сроки хранения ПДн- сразу возник вопрос:
                                                        Данные отправленные банком в РоскомНадзор в виде уведомления о начале обработки ПДн - должны совпадать на все 100% с данными в подобном перечне??
                                                        иными словами говоря- утвердив данный "перечень" ПДн, нужно тут же вносить изменения в уведомление - и полностью копировать туда все утвердили в перечне ПДн+сроки хранения/обработки ПДн, цели обработки ПДн итд??
                                                        Мы продолжаем делать то, что мы уже много наделали

                                                        Комментарий


                                                        • Прошу прощения, возможно эти вопросы уже обсуждали (поисковая система здесь, к сожалению, несовершенна)однако рискну их задать вновь:

                                                          1. Чем подтверждена легитимность пункта 9.6 СТО БР ИББС-1.0-20хх, фактически отменяющего обязательность исполнения требований по получению лицензий на деятельность по технической защите конфиденциальной информации и требований аттестации ИСПДн?
                                                          2. На основе каких нормативных актов могут проводиться проверки ФСБ и ФСТЭК в Банках России?

                                                          Буду очень признателен всем, кто окажет помощь.

                                                          Комментарий


                                                          • Сообщение от Горыныч Посмотреть сообщение
                                                            фактически отменяющего обязательность исполнения требований по получению лицензий на деятельность по технической защите конфиденциальной информации
                                                            См. на ГосБуке
                                                            Сообщение от Горыныч Посмотреть сообщение
                                                            и требований аттестации ИСПДн
                                                            С отменой Основных мероприятий, для не гос-ов (т.к. СТР-К для них рекомендуемо, а не обязательно - даже не учитывая его статус), и необязательности ГОСТ-ов с 2004 года нет обязательных требований по аттестации объектов не обрабатывающих ГТ.
                                                            Сообщение от Горыныч Посмотреть сообщение
                                                            2. На основе каких нормативных актов могут проводиться проверки ФСБ и ФСТЭК в Банках России?
                                                            1. В рамках проверки лицензируемой деятельности у лицензиатов
                                                            2. В рамках проверок работы с ГТ - ежели, паче чаяния, она у Вас есть
                                                            3. Если Вы умудритесь гдей-то у себя в документах прописать/не убрать наличие "конфиденциальной информации"

                                                            Комментарий


                                                            • Большое спасибо, Александр Владимирович. По первому вопросу более менее прояснилось.
                                                              В ответе на второй вопрос, если не трудно, уточните:
                                                              Сообщение от Toparenko Посмотреть сообщение
                                                              1. В рамках проверки лицензируемой деятельности у лицензиатов
                                                              А на основании чего могут проводиться подобные проверки?

                                                              Сообщение от Toparenko Посмотреть сообщение
                                                              3. Если Вы умудритесь гдей-то у себя в документах прописать/не убрать наличие "конфиденциальной информации"
                                                              Даже если термин "конфиденциальная информация" является внутрибанковским?!

                                                              Комментарий

                                                              Обработка...
                                                              X