17 ноября, суббота 11:36
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Приоритет видов тайны в грифах документов

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Приоритет видов тайны в грифах документов

    Прочитал историю Форума по маркировке/грифованию документов, в частности
    http://dom.bankir.ru/showthread.php?t=78001
    http://dom.bankir.ru/showthread.php?t=79784
    и решил всё же начать тему снова.

    Согласно ст.3 №149-ФЗ "ограничение доступа к информации возможно только Федеральными Законами", т.е. имеем только 5 видов ИОД :
    - Гос.Тайна
    - Коммерческая тайна
    - Банковская тайна
    - Служебная тайна
    - Персональные данные

    Что делать с документами (речь пока веду о грифах в верхнем правом углу), которые попадают сразу в несколько категорий ?

    1) указывать сразу несколько меток (некрасиво, но возможно правильно)
    2) установить некую градацию приоритетов (я бы видел ее как БТ > ПДн > КТ) и ставить "наибольшую" из меток

    Ваше мнение коллеги ?

  • #2
    Сообщение от NGBank Посмотреть сообщение
    Прочитал историю Форума по маркировке/грифованию документов, в частности
    http://dom.bankir.ru/showthread.php?t=78001
    http://dom.bankir.ru/showthread.php?t=79784
    и решил всё же начать тему снова.

    Согласно ст.3 №149-ФЗ "ограничение доступа к информации возможно только Федеральными Законами", т.е. имеем только 5 видов ИОД :
    - Гос.Тайна
    - Коммерческая тайна
    - Банковская тайна
    - Служебная тайна
    - Персональные данные

    Что делать с документами (речь пока веду о грифах в верхнем правом углу), которые попадают сразу в несколько категорий ?

    1) указывать сразу несколько меток (некрасиво, но возможно правильно)
    2) установить некую градацию приоритетов (я бы видел ее как БТ > ПДн > КТ) и ставить "наибольшую" из меток

    Ваше мнение коллеги ?
    Во-первых, видов тайн даже на уровне ФЗ гораздо больше - несколько десятков.

    А во-вторых, четкого ответа нет. Регуляторы в лице ФСТЭК говорят, что если информация относится к разным видам ИОД, то и метить ее надо как разные ИОД. Отсюда и множественные конфликты.

    С точки зрения здравого смысла маркируйте исходя из размера ущерба. В каком из режимов он больше, тот и обеспечивайте.

    Комментарий


    • #3
      Сообщение от Алексей Лукацкий Посмотреть сообщение
      Во-первых, видов тайн даже на уровне ФЗ гораздо больше - несколько десятков.
      Алексей, я знаком с Вашим замечательным (без какой-либо иронии) материалом по классификации тайн, однако, в таком объеме их очень трудно внедрять на практике.

      Кстати, вот и обсуждаемые рядом категории ИОД из СТО БР 2.2, содержат некую "управляющую информацию платежных, информационных и телекоммуникационных систем (информация, используемая для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации)", что не попадает ни под один из известных мне видов информации, охраняемой Федеральным Законом. В связи с чем считаю необходимым все подобные вещи "вносить под" коммерческую тайну, т.к. считаю, что она "имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам". Извините за некий оффтоп.

      Комментарий


      • #4
        Сообщение от Алексей Лукацкий Посмотреть сообщение
        Регуляторы в лице ФСТЭК говорят, что если информация относится к разным видам ИОД, то и метить ее надо как разные ИОД. Отсюда и множественные конфликты.
        В смысле сразу несколько меток ?

        Комментарий


        • #5
          Сообщение от NGBank Посмотреть сообщение
          Что делать с документами (речь пока веду о грифах в верхнем правом углу), которые попадают сразу в несколько категорий ?
          А у нас (для не ГТ) существует лишь 2 непересекающихся грифа - ДСП и КТ. Других способов визуализации сведений конфиденциального характера (грифов) законодатели еще не предусмотрели

          Комментарий


          • #6
            Сообщение от Toparenko Посмотреть сообщение
            А у нас (для не ГТ) существует лишь 2 непересекающихся грифа - ДСП и КТ. Других способов визуализации сведений конфиденциального характера (грифов) законодатели еще не предусмотрели
            Но и запрещают вводить свои грифы ;-)

            Комментарий


            • #7
              Сообщение от NGBank Посмотреть сообщение
              В смысле сразу несколько меток ?
              Ну вот есть у вас информация по клиентам. Это ПДн и БТ, как минимум. А может еще и КТ. ФСТЭК считает, что вы должны защищать эту информацию сразу в трех режимах, в т.ч. и классифицировать их также. Как это должно быть на практике они не говорят ;-) На практике можно присваивать тот гриф, ущерб от нарушения которого будет максимальным, если нет регулятивных/законодательных ограничений.

              Комментарий


              • #8
                Сообщение от NGBank Посмотреть сообщение
                Алексей, я знаком с Вашим замечательным (без какой-либо иронии) материалом по классификации тайн, однако, в таком объеме их очень трудно внедрять на практике.
                Так и не надо. У вас неотраслевых видов ИОД всего 2 - ПДн и КТ/ДСП. Третий (максимум четвертый) вид у вас проявляется только в отраслевых приложениях - банковская, страховая, медицинская тайна. Врядли вы найдете информацию, которая одновременно относится к 3-4 десяткам видам ИОД.

                Комментарий


                • #9
                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  Но и запрещают вводить свои грифы ;-)
                  запрещают или не запрещают ?

                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  На практике можно присваивать тот гриф, ущерб от нарушения которого будет максимальным, если нет регулятивных/законодательных ограничений.
                  Вот об этом я спрашивал в самом первом посте :
                  согласны ли вы с градациями ущерба в большинстве случаев
                  БТ > ПДн > КТ
                  или нет ?

                  Комментарий


                  • #10
                    Сообщение от NGBank Посмотреть сообщение
                    запрещают или не запрещают ?
                    Не запрещают.

                    Сообщение от NGBank Посмотреть сообщение
                    Вот об этом я спрашивал в самом первом посте : согласны ли вы с градациями ущерба в большинстве случаев
                    БТ > ПДн > КТ
                    или нет ?
                    Нет. Универсального ответа не будет. Но по сути, я бы поставил так: КТ > БТ > ПДн ;-) Ибо за ущерб ПДн у вас наказание копейки. По БТ серьезных наказаний тоже нет. По КТ тоже, но по ней есть и закон отдельный. Но КТ и БТ можно и местами поменять в зависимости от условий.

                    Комментарий


                    • #11
                      Сообщение от NGBank Посмотреть сообщение
                      Вот об этом я спрашивал в самом первом посте :
                      согласны ли вы с градациями ущерба в большинстве случаев
                      БТ > ПДн > КТ
                      или нет ?
                      Не согласен
                      КТ > БТ > ПДн,
                      При этом: БТ (часть или полностью) может быть КТ, ПДн клиентов являются БТ, часть ПДн может быть КТ

                      Комментарий


                      • #12
                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        Не запрещают.
                        Но и никакой "юридической нагрузки" не несут

                        Комментарий


                        • #13
                          Спасибо

                          Комментарий


                          • #14
                            А разве закон ФЗ152 или другой нормативно-правовой документ обязывает ставить гриф на носители с ПДн?
                            Искал, искал -не нашел такого.
                            Если в законе ФЗ-98 О коммерческой тайне, определено:
                            Статья 10. Охрана конфиденциальности информации
                            ..
                            5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)
                            ..

                            что должен быть гриф, то и вопрос нет.

                            А как быть с ПДн ?

                            Комментарий


                            • #15
                              Ну например в "Основных мероприятиях" для К1 :

                              должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами ИСПДн с указанием на последнем листе документа общего количества листов (страниц).

                              Комментарий


                              • #16
                                Сообщение от NGBank Посмотреть сообщение
                                Ну например в "Основных мероприятиях" для К1 :
                                И зачем "так высоко лезть"?
                                См. требования 1Г:
                                должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются:
                                время и дата выдачи (обращения к подсистеме вывода),
                                спецификация устройства выдачи (логическое имя/номер внешнего устройства),
                                краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа,
                                А учетные реквизиты АС/ИСПДн вылезли уже из требований к ГТ...

                                Увы... Когда писали РД были совсем другие законы. А те, кто писал существующие законы маловероятно, что помнили про РД

                                Комментарий


                                • #17
                                  должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются:
                                  время и дата выдачи (обращения к подсистеме вывода),
                                  спецификация устройства выдачи (логическое имя/номер внешнего устройства),
                                  краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа,
                                  Эта часть по моему мнению не подразумевает печать этих данных на бумажном носителе, а регулирует состав сведений, заносящихся в электронный журнал регистрации, ведущийся в АС.

                                  Комментарий


                                  • #18
                                    Сообщение от NGBank Посмотреть сообщение
                                    Эта часть по моему мнению не подразумевает печать этих данных на бумажном носителе, а регулирует состав сведений, заносящихся в электронный журнал регистрации, ведущийся в АС.
                                    Да. Но я про "уровень конфиденциальности"

                                    А печать реквизитов (как уже сказал ниже) - это из требований к ГТ (см. 3А/2А/1В) "перекочевало", когда Основные мероприятия "рисовали" и никто не думал о применимости/реализации

                                    Комментарий

                                    Пользователи, просматривающие эту тему

                                    Свернуть

                                    Присутствует 1. Участников: 0, гостей: 1.

                                    Обработка...
                                    X