13 апреля, вторник 04:23
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Удостоверяющий центр как ИСПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Удостоверяющий центр как ИСПДн

    Добрый день, решил всё же создать тему, похожих по смыслу не нашел.
    Вопрос, в итоге, состоит вот в чем: является ли закрытый ключ Уполномоченного лица УЦ персональными данными Уполномоченного лица?
    Сам закрытый ключ хранится на отчуждаемом носителе (еТокен).
    Два мнения:
    1 - это технологическая информация (в терминологии 1-ФЗ)
    2 - это ПД, так как используется (в терминологии 152-ФЗ) в УЦ и подпадает под определение ПД (в терминологии 152-ФЗ).

    Если 1, то УЦ будет К4.
    Если 2, то К3.

    ПД из сертификата ЭЦП пользователей УЦ общедоступные по Согласию.

    Прошу высказаться. Спасибо.
    С уважением, Дмитрий

  • #2
    Интересный заход... ключ шифрования (в данном случая закрытый) наврядли позволяет идентифицировать субъекта ПДн. Разве только сопоставлять его с владельцем путем расшифровки последовательно перехватываемой информации

    Комментарий


    • #3
      Сообщение от Шауро Евгений Посмотреть сообщение
      Интересный заход... ключ шифрования (в данном случая закрытый) наврядли позволяет идентифицировать субъекта ПДн. Разве только сопоставлять его с владельцем путем расшифровки последовательно перехватываемой информации
      Вообще-то, закрытый ключ имеет уникальный идентификатор и однозначно связан с владельцем через поле Subject Key ID сертификата отзкрытого ключа.

      Комментарий


      • #4
        Любой ключ, учтенный в УЦ, будет являться ПД.
        Это не значит, что УЦ следует отнести к К4 или К3, потому как система специальная и даже специфическая.
        Все равно что поваренную соль (NaCl) обозвать отравляющим веществом, поскольку хлор ядовит.
        Ну и если это действительно УЦ, то нехватки СЗИ в нем набллюдаться не может. Соответственно, уровень защиты превосходит требования К3.
        Стоит ли заморачиваться таким выбором?

        Комментарий


        • #5
          УЦ защищается согласно требованиям ФСБ и ФСТЭК, предъявляемым к УЦ, то есть меры приняты вполне себе достаточные.
          Вопрос именно в классификации по ПД. У нас уже была сделана по К4. Стоит переделывать или нет (ЧМУ, проект, акты классификации итд) - вот в чем вопрос.
          ЗЫ Я не банк.
          С уважением, Дмитрий

          Комментарий


          • #6
            К чему академические споры?
            Важно обращает на это внимание Роскомнадзор или ФСТЭК или нет.
            Есть прецеденты?
            Если нет, то наплевать и забыть.

            Комментарий


            • #7
              Сообщение от Berrimor Посмотреть сообщение
              К чему академические споры?
              Важно обращает на это внимание Роскомнадзор или ФСТЭК или нет.
              Есть прецеденты?
              Если нет, то наплевать и забыть.
              +1

              Комментарий


              • #8
                Сообщение от malotavr Посмотреть сообщение
                +1
                Была бы практика, не было бы споров -)
                Всем спасибо.
                С уважением, Дмитрий

                Комментарий


                • #9
                  т.е. УЦ в любом случае ИСПДн ?
                  Удачи!

                  Комментарий


                  • #10
                    Заявление о согласии на обработку персональных данныхЯ, Фамилия Имя Отчество>, паспортные данные: наименование документа, серия, номер, орган, выдавший документ, дата выдачи>, проживающий(ая) по адресу: адрес регистрации>, даю согласие наименование компании>, расположенному по адресу: адрес >, (далее – Оператор) на обработку моих персональных данных, указанных в пунктах 1 – 5 настоящего заявления, с целью использования в рамках системы ___________________ и обеспечения выполнения функций Удостоверяющего центра в соответствии с Регламентом УЦ.

                    1. Фамилия Имя Отчество
                    2. Адрес электронной почты (e-mail)
                    3. Место работы:
                    Наименование организации
                    Город
                    Субъект Федерации
                    Страна
                    4.Подразделение
                    5.Должность
                    Настоящее согласие предоставляется мной на осуществление любых действий в отношении моих персональных данных, включая: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование и уничтожение. Обработка персональных данных осуществляется Оператором с применением следующих основных способов (но не ограничиваясь ими): хранение, запись на электронные носители и их хранение, составление перечней.
                    Настоящим согласием я признаю и подтверждаю, что мои персональные данные, указанные в пунктах 1 – 5 настоящего заявления, являются общедоступными персональными данными, и соглашаюсь с включением этих персональных данных в следующие общедоступные источники персональных данных:
                    реестр – базу данных УЦ, содержащую сведения об;
                    сертификаты ключей подписей;
                    Настоящее согласие дается мной на срок хранения в Удостоверяющем центре изготовленного для меня сертификата ключа подписи, наиболее позднего по дате изготовления.
                    Настоящее согласие может быть отозвано мной путем направления Оператору> письменного заявления, прямо выражающего намерение отозвать согласие на обработку моих персональных данных, не менее чем за 3 (Три) месяца до момента отзыва согласия.


                    P.S. Про закрытые ключи. Если пользователь их генерит сам - то о каких ПДн идёт речь?
                    Последний раз редактировалось Spanky; 05.04.2011, 14:47.

                    Комментарий


                    • #11
                      Вот что по этому поводу говорит Крипто ПРО
                      http://www.cryptopro.ru/forum2/Defau...g=posts&t=1041

                      Сообщение от Dom Посмотреть сообщение
                      УЦ защищается согласно требованиям ФСБ и ФСТЭК, предъявляемым к УЦ, то есть меры приняты вполне себе достаточные.
                      Вопрос именно в классификации по ПД. У нас уже была сделана по К4. Стоит переделывать или нет (ЧМУ, проект, акты классификации итд) - вот в чем вопрос.
                      ЗЫ Я не банк.
                      Где эти требования можно раздобыть? (сорри за офф)

                      Комментарий


                      • #12
                        Сообщение от AlexIB Посмотреть сообщение
                        Где эти требования можно раздобыть? (сорри за офф)
                        Лицензиату ФСБ положена несекретная выписка
                        С уважением, Дмитрий

                        Комментарий

                        Обработка...
                        X