12 апреля, понедельник 09:51
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Удостоверяющий центр как ИСПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Dom
    Участник создал тему Удостоверяющий центр как ИСПДн

    Удостоверяющий центр как ИСПДн

    Добрый день, решил всё же создать тему, похожих по смыслу не нашел.
    Вопрос, в итоге, состоит вот в чем: является ли закрытый ключ Уполномоченного лица УЦ персональными данными Уполномоченного лица?
    Сам закрытый ключ хранится на отчуждаемом носителе (еТокен).
    Два мнения:
    1 - это технологическая информация (в терминологии 1-ФЗ)
    2 - это ПД, так как используется (в терминологии 152-ФЗ) в УЦ и подпадает под определение ПД (в терминологии 152-ФЗ).

    Если 1, то УЦ будет К4.
    Если 2, то К3.

    ПД из сертификата ЭЦП пользователей УЦ общедоступные по Согласию.

    Прошу высказаться. Спасибо.

  • Dom
    Участник ответил
    Сообщение от AlexIB Посмотреть сообщение
    Где эти требования можно раздобыть? (сорри за офф)
    Лицензиату ФСБ положена несекретная выписка

    Прокомментировать:


  • AlexIB
    Участник ответил
    Вот что по этому поводу говорит Крипто ПРО
    http://www.cryptopro.ru/forum2/Defau...g=posts&t=1041

    Сообщение от Dom Посмотреть сообщение
    УЦ защищается согласно требованиям ФСБ и ФСТЭК, предъявляемым к УЦ, то есть меры приняты вполне себе достаточные.
    Вопрос именно в классификации по ПД. У нас уже была сделана по К4. Стоит переделывать или нет (ЧМУ, проект, акты классификации итд) - вот в чем вопрос.
    ЗЫ Я не банк.
    Где эти требования можно раздобыть? (сорри за офф)

    Прокомментировать:


  • Spanky
    Участник ответил
    Заявление о согласии на обработку персональных данныхЯ, Фамилия Имя Отчество>, паспортные данные: наименование документа, серия, номер, орган, выдавший документ, дата выдачи>, проживающий(ая) по адресу: адрес регистрации>, даю согласие наименование компании>, расположенному по адресу: адрес >, (далее – Оператор) на обработку моих персональных данных, указанных в пунктах 1 – 5 настоящего заявления, с целью использования в рамках системы ___________________ и обеспечения выполнения функций Удостоверяющего центра в соответствии с Регламентом УЦ.

    1. Фамилия Имя Отчество
    2. Адрес электронной почты (e-mail)
    3. Место работы:
    Наименование организации
    Город
    Субъект Федерации
    Страна
    4.Подразделение
    5.Должность
    Настоящее согласие предоставляется мной на осуществление любых действий в отношении моих персональных данных, включая: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование и уничтожение. Обработка персональных данных осуществляется Оператором с применением следующих основных способов (но не ограничиваясь ими): хранение, запись на электронные носители и их хранение, составление перечней.
    Настоящим согласием я признаю и подтверждаю, что мои персональные данные, указанные в пунктах 1 – 5 настоящего заявления, являются общедоступными персональными данными, и соглашаюсь с включением этих персональных данных в следующие общедоступные источники персональных данных:
    реестр – базу данных УЦ, содержащую сведения об;
    сертификаты ключей подписей;
    Настоящее согласие дается мной на срок хранения в Удостоверяющем центре изготовленного для меня сертификата ключа подписи, наиболее позднего по дате изготовления.
    Настоящее согласие может быть отозвано мной путем направления Оператору> письменного заявления, прямо выражающего намерение отозвать согласие на обработку моих персональных данных, не менее чем за 3 (Три) месяца до момента отзыва согласия.


    P.S. Про закрытые ключи. Если пользователь их генерит сам - то о каких ПДн идёт речь?
    Последний раз редактировалось Spanky; 05.04.2011, 14:47.

    Прокомментировать:


  • BARD
    Участник ответил
    т.е. УЦ в любом случае ИСПДн ?

    Прокомментировать:


  • Dom
    Участник ответил
    Сообщение от malotavr Посмотреть сообщение
    +1
    Была бы практика, не было бы споров -)
    Всем спасибо.

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от Berrimor Посмотреть сообщение
    К чему академические споры?
    Важно обращает на это внимание Роскомнадзор или ФСТЭК или нет.
    Есть прецеденты?
    Если нет, то наплевать и забыть.
    +1

    Прокомментировать:


  • Berrimor
    Участник ответил
    К чему академические споры?
    Важно обращает на это внимание Роскомнадзор или ФСТЭК или нет.
    Есть прецеденты?
    Если нет, то наплевать и забыть.

    Прокомментировать:


  • Dom
    Участник ответил
    УЦ защищается согласно требованиям ФСБ и ФСТЭК, предъявляемым к УЦ, то есть меры приняты вполне себе достаточные.
    Вопрос именно в классификации по ПД. У нас уже была сделана по К4. Стоит переделывать или нет (ЧМУ, проект, акты классификации итд) - вот в чем вопрос.
    ЗЫ Я не банк.

    Прокомментировать:


  • Идущий
    Участник ответил
    Любой ключ, учтенный в УЦ, будет являться ПД.
    Это не значит, что УЦ следует отнести к К4 или К3, потому как система специальная и даже специфическая.
    Все равно что поваренную соль (NaCl) обозвать отравляющим веществом, поскольку хлор ядовит.
    Ну и если это действительно УЦ, то нехватки СЗИ в нем набллюдаться не может. Соответственно, уровень защиты превосходит требования К3.
    Стоит ли заморачиваться таким выбором?

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от Шауро Евгений Посмотреть сообщение
    Интересный заход... ключ шифрования (в данном случая закрытый) наврядли позволяет идентифицировать субъекта ПДн. Разве только сопоставлять его с владельцем путем расшифровки последовательно перехватываемой информации
    Вообще-то, закрытый ключ имеет уникальный идентификатор и однозначно связан с владельцем через поле Subject Key ID сертификата отзкрытого ключа.

    Прокомментировать:


  • Шауро Евгений
    Участник ответил
    Интересный заход... ключ шифрования (в данном случая закрытый) наврядли позволяет идентифицировать субъекта ПДн. Разве только сопоставлять его с владельцем путем расшифровки последовательно перехватываемой информации

    Прокомментировать:

Обработка...
X