Лицензиату ФСБ положена несекретная выписка

Вот что по этому поводу говорит Крипто ПРО
http://www.cryptopro.ru/forum2/Defau...g=posts&t=1041

Где эти требования можно раздобыть? (сорри за офф)

Заявление о согласии на обработку персональных данныхЯ, Фамилия Имя Отчество>, паспортные данные: наименование документа, серия, номер, орган, выдавший документ, дата выдачи>, проживающий(ая) по адресу: адрес регистрации>, даю согласие наименование компании>, расположенному по адресу: адрес >, (далее – Оператор) на обработку моих персональных данных, указанных в пунктах 1 – 5 настоящего заявления, с целью использования в рамках системы ___________________ и обеспечения выполнения функций Удостоверяющего центра в соответствии с Регламентом УЦ.

1. Фамилия Имя Отчество
2. Адрес электронной почты (e-mail)
3. Место работы:
Наименование организации
Город
Субъект Федерации
Страна
4.Подразделение
5.Должность
Настоящее согласие предоставляется мной на осуществление любых действий в отношении моих персональных данных, включая: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование и уничтожение. Обработка персональных данных осуществляется Оператором с применением следующих основных способов (но не ограничиваясь ими): хранение, запись на электронные носители и их хранение, составление перечней.
Настоящим согласием я признаю и подтверждаю, что мои персональные данные, указанные в пунктах 1 – 5 настоящего заявления, являются общедоступными персональными данными, и соглашаюсь с включением этих персональных данных в следующие общедоступные источники персональных данных:
реестр – базу данных УЦ, содержащую сведения об;
сертификаты ключей подписей;
Настоящее согласие дается мной на срок хранения в Удостоверяющем центре изготовленного для меня сертификата ключа подписи, наиболее позднего по дате изготовления.
Настоящее согласие может быть отозвано мной путем направления Оператору> письменного заявления, прямо выражающего намерение отозвать согласие на обработку моих персональных данных, не менее чем за 3 (Три) месяца до момента отзыва согласия.


P.S. Про закрытые ключи. Если пользователь их генерит сам - то о каких ПДн идёт речь?

т.е. УЦ в любом случае ИСПДн ?

Была бы практика, не было бы споров -)
Всем спасибо.

+1

К чему академические споры?
Важно обращает на это внимание Роскомнадзор или ФСТЭК или нет.
Есть прецеденты?
Если нет, то наплевать и забыть.

УЦ защищается согласно требованиям ФСБ и ФСТЭК, предъявляемым к УЦ, то есть меры приняты вполне себе достаточные.
Вопрос именно в классификации по ПД. У нас уже была сделана по К4. Стоит переделывать или нет (ЧМУ, проект, акты классификации итд) - вот в чем вопрос.
ЗЫ Я не банк.

Любой ключ, учтенный в УЦ, будет являться ПД.
Это не значит, что УЦ следует отнести к К4 или К3, потому как система специальная и даже специфическая.
Все равно что поваренную соль (NaCl) обозвать отравляющим веществом, поскольку хлор ядовит.
Ну и если это действительно УЦ, то нехватки СЗИ в нем набллюдаться не может. Соответственно, уровень защиты превосходит требования К3.
Стоит ли заморачиваться таким выбором?

Вообще-то, закрытый ключ имеет уникальный идентификатор и однозначно связан с владельцем через поле Subject Key ID сертификата отзкрытого ключа.

Интересный заход... ключ шифрования (в данном случая закрытый) наврядли позволяет идентифицировать субъекта ПДн. Разве только сопоставлять его с владельцем путем расшифровки последовательно перехватываемой информации