8 марта, понедельник 12:28
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Отнесение/неотнесение АБС к ИСПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Отнесение/неотнесение АБС к ИСПДн

    Добрый день!
    Задался вопросом приведения в соответствие требований по ПДн. Кто-нибудь пользовался СТО БР в части разрешающей не относить АБС к ИСПДн.
    Хочу выделить всего 2 системы. Кадры с ее системой по учету персонала и бухгалтерию с системой учета з/п.
    Кто-нибудь использовал такой подход? Проверки РКН были? Как проверяющие относились к такой позиции?
    И еще вопрос по удалению ПДн в ИСПДн Кадры и Зарплата. Сколько должна храниться информация в этих системах?

  • #2
    Сообщение от Sat_Kelman Посмотреть сообщение
    Добрый день!
    Задался вопросом приведения в соответствие требований по ПДн. Кто-нибудь пользовался СТО БР в части разрешающей не относить АБС к ИСПДн.
    Хочу выделить всего 2 системы. Кадры с ее системой по учету персонала и бухгалтерию с системой учета з/п.
    Кто-нибудь использовал такой подход? Проверки РКН были? Как проверяющие относились к такой позиции?
    И еще вопрос по удалению ПДн в ИСПДн Кадры и Зарплата. Сколько должна храниться информация в этих системах?
    в ветке у кого прошла проверка много было прецедентов.
    Я тоже из их числа.
    Именно Кадры+Бухгалтерия в части ЗП отнесены к ПД.
    Проверку прошла в сентябре без замечаний.
    Бумаги хранятся по какому-то документу "об архивном деле" поищу реквизиты если надо, а в электронном виде как-то не регламентировала.

    Комментарий


    • #3
      Сообщение от Joystick Посмотреть сообщение
      Бумаги хранятся по какому-то документу "об архивном деле" поищу реквизиты если надо, а в электронном виде как-то не регламентировала.
      Про архивы я знаю этот документ, мне интересно про хранение в эл. виде. Получается что в таком случае нет удаления ПДн? Спросят акты об уничтожении, а им и показать нечего. Руками развести и сказать что не удаляются данные?

      Комментарий


      • #4
        Сейчас СТО БР уже не соответствует законодательству по ПДн, поэтому его исполнение в этой части спорный вопрос. И не так давно где-то мелькал подобный вопрос на форуме, эксперты советовали не следовать СТО БР, а рассматривать все системы в банке как ИСПДн.
        Но в предыдущем банке делал как вы Проверок там слава богу не было, поэтому в части соответствия их требованиям ничего сказать не могу.

        Комментарий


        • #5
          Сообщение от Sat_Kelman Посмотреть сообщение
          Про архивы я знаю этот документ, мне интересно про хранение в эл. виде. Получается что в таком случае нет удаления ПДн? Спросят акты об уничтожении, а им и показать нечего. Руками развести и сказать что не удаляются данные?
          Почитайте здесь http://archives.ru/documents/project...document.shtml
          Правда пока проект, но я думаю в план подобные работы можно включить.

          Комментарий


          • #6
            Сообщение от Sat_Kelman Посмотреть сообщение
            Про архивы я знаю этот документ, мне интересно про хранение в эл. виде. Получается что в таком случае нет удаления ПДн? Спросят акты об уничтожении, а им и показать нечего. Руками развести и сказать что не удаляются данные?
            почему нет удаления ПДн? сделайте акт уничтожения ПДн (на бумаге ) хранящихся в электронном виде... и проверяющие будут довольны
            Мы продолжаем делать то, что мы уже много наделали

            Комментарий


            • #7
              Сообщение от George-on-Don Посмотреть сообщение
              почему нет удаления ПДн? сделайте акт уничтожения ПДн (на бумаге ) хранящихся в электронном виде... и проверяющие будут довольны
              Ну это понятно что можно акт сделать для проверки. А как на самом деле? Для себя. Сколько должны храниться данные по бывшим сотрудникам. Точно знаю что они иногда требуют справку о доходах за предыдущие года. Это наверняка должно быть прописано в каком-нибудь нормативном документе налоговой, пенсионного или других ведомств.

              Комментарий


              • #8
                Сообщение от Sat_Kelman Посмотреть сообщение
                Ну это понятно что можно акт сделать для проверки. А как на самом деле? Для себя. Сколько должны храниться данные по бывшим сотрудникам. Точно знаю что они иногда требуют справку о доходах за предыдущие года. Это наверняка должно быть прописано в каком-нибудь нормативном документе налоговой, пенсионного или других ведомств.
                Сроки хранения определяются архивным законодательством РФ.Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (кажется был утвержден Росархивом в 2000 году). там в том числе было указано для кадровых документов,документы, с которыми законодательство связывает предоставление каких-либо выплат или льгот хранятся не менее 75 лет. (для личных карточек, личных дел, трудовых договоров, списков работников, занятых на вредных условиях труда и т.п.).. по справкам НДФЛ2 .. надо уточнять... эта же информация по официальной зарплате есть в ПФР по каждому человеку...
                Мы продолжаем делать то, что мы уже много наделали

                Комментарий


                • #9
                  Сообщение от Sat_Kelman Посмотреть сообщение
                  Ну это понятно что можно акт сделать для проверки. А как на самом деле? Для себя. Сколько должны храниться данные по бывшим сотрудникам. Точно знаю что они иногда требуют справку о доходах за предыдущие года. Это наверняка должно быть прописано в каком-нибудь нормативном документе налоговой, пенсионного или других ведомств.
                  ну если так мозгами пораскинуть то при оформлении пенсии сотруднику могут понадобиться данные за весь стаж как бы....
                  а так если для налоговой, то предъявить для вычета например можно в течение трех лет, следовательно и попросить сотрудник может это в течение трех лет....
                  на истину не претендую

                  Комментарий


                  • #10
                    Joystick, а что Вы предъявляли в качестве Актов уничтожения ПДн?

                    Комментарий


                    • #11
                      Сообщение от Sat_Kelman Посмотреть сообщение
                      Joystick, а что Вы предъявляли в качестве Актов уничтожения ПДн?
                      я не Joystick но могу ответить как делается у нас... в начале каждого года происходит сдача в архив на хранение всех документов, которые по сроку установленному в банке должны сдаваться в архив... а затем, из архива передаются на уничтожение документы, срок хранения в архиве которых истек.... ну и все... берете номенклатуру документов (опись) которые были переданы на уничтожение и выбираете из них ту номенклатуру,в которой есть ПДн... и оформляете на эти документы ее АКТ уничтожения ПДн на бумажных носителях... , а затем идете в базу данных за этот год,по которому были уничтожены документы, выводите оттуда список владельцев счетов, которые были закрыты в тот год... (приблизительно это будет начало текущий год - 5 лет, если у вас срок хранения 5 лет или текущий год-10 лет и тд), формируете реестр из ФИО и пишете а Акте что ПДн относящиеся к данным ФИО. уничтожены в базе данных в электронном виде. и ВСЕ.... у Вас по Актам уничтожены бумажные носители ПДн за конкретный год и по Актам уничтожены ПДн в электронном виде.. за этот же год.... Проверяющие довольны..... и Вы... тоже...
                      Мы продолжаем делать то, что мы уже много наделали

                      Комментарий


                      • #12
                        Сообщение от Sat_Kelman Посмотреть сообщение
                        Joystick, а что Вы предъявляли в качестве Актов уничтожения ПДн?
                        ничего
                        ибо все документы были приняты 1 августа а проверка в сентябре...не успели науничтожать каГбы

                        Комментарий


                        • #13
                          Сообщение от George-on-Don Посмотреть сообщение
                          я не Joystick но могу ответить как делается у нас... в начале каждого года происходит сдача в архив на хранение всех документов, которые по сроку установленному в банке должны сдаваться в архив... а затем, из архива передаются на уничтожение документы, срок хранения в архиве которых истек.... ну и все... берете номенклатуру документов (опись) которые были переданы на уничтожение и выбираете из них ту номенклатуру,в которой есть ПДн... и оформляете на эти документы ее АКТ уничтожения ПДн на бумажных носителях... , а затем идете в базу данных за этот год,по которому были уничтожены документы, выводите оттуда список владельцев счетов, которые были закрыты в тот год... (приблизительно это будет начало текущий год - 5 лет, если у вас срок хранения 5 лет или текущий год-10 лет и тд), формируете реестр из ФИО и пишете а Акте что ПДн относящиеся к данным ФИО. уничтожены в базе данных в электронном виде. и ВСЕ.... у Вас по Актам уничтожены бумажные носители ПДн за конкретный год и по Актам уничтожены ПДн в электронном виде.. за этот же год.... Проверяющие довольны..... и Вы... тоже...
                          Аналогично делаем, в акте указываем нечто подобное:
                          Вышеперечисленные дела, в том числе содержащие персональные данные, уничтожены путем измельчения. Персональные данные, соответствующие уничтоженным делам, удалены из информационных систем персональных данных Банка, за исключением персональных данных, обрабатываемых Банком на иных законных основаниях и условиях, которые не прекращаются или не могут прекращаться в связи с уничтожением вышеперечисленных дел, в соответствии со ст.6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

                          Комментарий


                          • #14
                            Сообщение от Sascha Посмотреть сообщение
                            Сейчас СТО БР уже не соответствует законодательству по ПДн, поэтому его исполнение в этой части спорный вопрос. И не так давно где-то мелькал подобный вопрос на форуме, эксперты советовали не следовать СТО БР, а рассматривать все системы в банке как ИСПДн.
                            Но в предыдущем банке делал как вы Проверок там слава богу не было, поэтому в части соответствия их требованиям ничего сказать не могу.
                            в ноябре 2012 подход СТО БР ИББС прокатил при проверке РКН.
                            по поводу дальнейших шагов - также слышала много мнений, что СТО уже не легитимен. и рекомендаций делать всё.
                            но в то же время ходят слухи что вроде как "письмо шестерых" планируют переподписать

                            Комментарий


                            • #15
                              Сообщение от Reaf Посмотреть сообщение
                              в ноябре 2012 подход СТО БР ИББС прокатил при проверке РКН.
                              по поводу дальнейших шагов - также слышала много мнений, что СТО уже не легитимен. и рекомендаций делать всё.
                              но в то же время ходят слухи что вроде как "письмо шестерых" планируют переподписать
                              на тот момент не было 21 приказа фстэк, для полной картины защиты ПДн по новым правилам, так что возможно это и послужило тем что проверки еще проходили по старым планам.

                              Комментарий


                              • #16
                                Сообщение от H4mek Посмотреть сообщение
                                на тот момент не было 21 приказа фстэк, для полной картины защиты ПДн по новым правилам, так что возможно это и послужило тем что проверки еще проходили по старым планам.
                                да еще от компетентности проверяющего многое зависит

                                Комментарий


                                • #17
                                  В связи с обновлением СТО:
                                  7.10.3. В организации БС РФ должны быть установлены критерии отнесения АБС к ИСПД
                                  есть потребность освежить тему.
                                  Поделитесь кто какие установил критерии отнесения (собирается установить) или вообще не заморачивались и отнесли АБС к ИСПДн?

                                  Комментарий

                                  Обработка...
                                  X