15 декабря, воскресенье 05:36
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Вопросы по ПДн

    Здравствуйте коллеги!
    С недавних пор работаю в банке. Возникли следующие вопросы по разработке ОРД по ПДн:
    1. Необходимо ли разрабатывать отдельно модель угроз по ПДн. Если ДА, можно ли пользоваться методикой определения актуальных угроз фстэк?
    2. АБС банка содержит большое колличество отдельных модулей(программ), преследующих конкретные цели: кредитование, вклады, переводы, анкеты клиентов и т.д. Делать отдельные ИСПДн для каждой из программ или объединить их в одну ИСПДн, например "Клиенты"? Ведь общая цель у них одна - обслуживание клиентов банка.
    3. Какие ИСПДн выделены в вашем банке?

    Спасибо!

  • #2
    Сообщение от Rinat1991 Посмотреть сообщение
    2. АБС банка содержит большое колличество отдельных модулей(программ), преследующих конкретные цели: кредитование, вклады, переводы, анкеты клиентов и т.д. Делать отдельные ИСПДн для каждой из программ или объединить их в одну ИСПДн, например "Клиенты"? Ведь общая цель у них одна - обслуживание клиентов банка.
    А если у клиента есть и кредит, и вклад - его паспортные данные хранятся в каждом модуле отдельно? Или всё ж это единая база данных? Танцевать надо не от реализации вида окошек у операциониста, а от того, где и в каком виде вся информация хранится.

    Комментарий


    • #3
      Сообщение от Rinat1991 Посмотреть сообщение
      Здравствуйте коллеги!
      С недавних пор работаю в банке. Возникли следующие вопросы по разработке ОРД по ПДн:
      1. Необходимо ли разрабатывать отдельно модель угроз по ПДн. Если ДА, можно ли пользоваться методикой определения актуальных угроз фстэк?
      2. АБС банка содержит большое колличество отдельных модулей(программ), преследующих конкретные цели: кредитование, вклады, переводы, анкеты клиентов и т.д. Делать отдельные ИСПДн для каждой из программ или объединить их в одну ИСПДн, например "Клиенты"? Ведь общая цель у них одна - обслуживание клиентов банка.
      3. Какие ИСПДн выделены в вашем банке?

      Спасибо!
      1. Можно воспользоваться методикой ФСТЭК, но нужно принять это внутренним документом.
      2. Вопрос в том, как вы определите цели обработки ПДн. Рекомендую формулировать общим - например "предоставление банковских услуг клиентам банка". Если будете регистрировать отдельно, то могут возникнуть сложности с предоставлением доступа и т.п.
      3. АБС, ДБО, HR, СКУД, внутренний бухучет это почти в любом банке, зачастую они разделены.
      А дальше нужна инвентаризация и анализ процессов и систем.
      Офицер ИБ должен хорошо понимать процессы в банке, особенно, если они плохо документированы.
      Задавайте вопросы - как работает конкретный процесс, используется ли система, какие ПДн хранятся.
      По инвентаризации систем обратитесь в отдел ИТ.

      Комментарий


      • #4
        Сообщение от Rinat1991 Посмотреть сообщение
        Здравствуйте коллеги!
        С недавних пор работаю в банке. Возникли следующие вопросы по разработке ОРД по ПДн:
        1. Необходимо ли разрабатывать отдельно модель угроз по ПДн. Если ДА, можно ли пользоваться методикой определения актуальных угроз фстэк?
        Рекомендую дождаться отраслевую модель угроз Банка России (Указание Банка России от 10.12.2015 N 3889-У), после завершения её регистрации в Минюсте.

        Комментарий


        • #5
          Сообщение от mda74 Посмотреть сообщение
          1. Можно воспользоваться методикой ФСТЭК, но нужно принять это внутренним документом.
          2. Вопрос в том, как вы определите цели обработки ПДн. Рекомендую формулировать общим - например "предоставление банковских услуг клиентам банка". Если будете регистрировать отдельно, то могут возникнуть сложности с предоставлением доступа и т.п.
          3. АБС, ДБО, HR, СКУД, внутренний бухучет это почти в любом банке, зачастую они разделены.
          А дальше нужна инвентаризация и анализ процессов и систем.
          Офицер ИБ должен хорошо понимать процессы в банке, особенно, если они плохо документированы.
          Задавайте вопросы - как работает конкретный процесс, используется ли система, какие ПДн хранятся.
          По инвентаризации систем обратитесь в отдел ИТ.
          Какие сложности могут возникнуть с предоставлением доступа?
          Есть ли какие-нибудь письма от ЦБ по поводу того, какой необходим минимальный комплект документов по ПДн?
          Возможно ли не делать 30 актов защищенности к 30 ИСПДн, а сделать один акт? Насколько я знаю это не запрещено.

          Комментарий


          • #6
            Сообщение от UserNick Посмотреть сообщение
            Рекомендую дождаться отраслевую модель угроз Банка России (Указание Банка России от 10.12.2015 N 3889-У), после завершения её регистрации в Минюсте.
            Спасибо за информацию

            Комментарий


            • #7
              И еще вопрос:
              Допустим я выделил испдн АБС, в которую входят АС со своими БД. Например, АС Анкета клиента + БД:Анкета, АС Регистрация счетов + БД: Счета и т.д. Могу ли я в "перечне и категории ПДн обрабатываемых в ИСПДн" написать так
              ФИО, паспортные данные||| ИСПДн "АБС" (модули: анкета клиента, регистрация счетов)||
              ФИО, номера телефона, снилс|| ИСПДн "АБС" (модули: регистрация телефонов)||

              Я хочу так сделать, чтобы хоть как нибудь упорядочить данные и в дальнейшем не запутаться.

              Комментарий


              • #8
                Сообщение от Rinat1991 Посмотреть сообщение
                номера телефона, снилс
                И с каких пор они стали для Вас ПДН?
                [OFF]Красим белим, иногда защищаем[/OFF]

                Комментарий


                • #9
                  Сообщение от akitukitua Посмотреть сообщение
                  И с каких пор они стали для Вас ПДН?
                  С каких пор они перестали быть ПДн?

                  Комментарий


                  • #10
                    Сообщение от akitukitua Посмотреть сообщение
                    И с каких пор они стали для Вас ПДН?
                    054-367-70165 мой снилс
                    89023400795 моя мобила
                    Будьте любезны идентифицируйте меня как субьекта ПДН по этим, по Ваши словам Перс. данным.
                    [OFF]Красим белим, иногда защищаем[/OFF]

                    Комментарий


                    • #11
                      Сообщение от akitukitua Посмотреть сообщение
                      054-367-70165 мой снилс
                      89023400795 моя мобила
                      Будьте любезны идентифицируйте меня как субьекта ПДН по этим, по Ваши словам Перс. данным.
                      "Шо, опять"?

                      Вы, субъект, однозначно идентифицировавший себя СНИЛС и номером мобильного телефона. То, что для получения других ваших ПД типа ФИО и прочей никому не интересной лабуды, к вашей идентификации не имеет никакого отношения. ПД - это любая информация, относящаяся к определенному лицу, а не только та, которая позволяет в это лицо стукнуть или пригласить на рюмку чая

                      Комментарий


                      • #12
                        Сообщение от malotavr Посмотреть сообщение
                        Вы, субъект, однозначно идентифицировавший себя СНИЛС и номером мобильного телефона."
                        А можно всё же пояснить каким образом эти ПДн идентифицируют, по мне это вполне таки обезличенные ПДн. Если дать вам эти ПДн, разве только по ним без какой-либо дополнительной информации вы можете определить какому конкретному субъекту ПДн они относятся (т.е. определить принадлежность)?

                        Комментарий


                        • #13
                          Сообщение от malotavr Посмотреть сообщение
                          Вы, субъект, однозначно идентифицировавший себя СНИЛС и номером мобильного телефона
                          Продолжаем разговор мои вторые
                          Снилс 086-123-33321 и номер телефона 89051023515, по Вашему
                          Сообщение от malotavr Посмотреть сообщение
                          ПД - это любая информация, относящаяся к определенному лицу
                          СНИЛС1=СНИЛС2 и телефон 1= телефон2 и это всё принадлежит некоторому лицу с ником akitukitua на данном форуме.
                          Вы смогли меня однозначно идентифицировать?
                          [OFF]Красим белим, иногда защищаем[/OFF]

                          Комментарий


                          • #14
                            Сообщение от Rinat1991 Посмотреть сообщение
                            ФИО, номера телефона, снилс|| ИСПДн "АБС" (модули: регистрация телефонов)||
                            Я же написал ФИО номер телефона снилс

                            Комментарий


                            • #15
                              Сообщение от Rinat1991 Посмотреть сообщение
                              Я же написал ФИО номер телефона снилс
                              Опять же Вы можете по связке ФИО-телефон-СНИЛС однозначно идентифицировать субьекта? У Вас есть доступ к базе ПТК СПУ, СМЭВ, или базе ОПСОСа?
                              [OFF]Красим белим, иногда защищаем[/OFF]

                              Комментарий


                              • #16
                                Номер и серия паспорта - тоже не ПДн?
                                Ведь у Вас нет доступа к БД, содержащим такие сведения.

                                Комментарий


                                • #17
                                  С какой целью обрабатывается СНИЛС?
                                  Если скажите, что для идентификации, то сами ответите на свой вопрос.
                                  Ну а если он в базе просто до кучи лежит, то за безцельную обработку и огрести от РКН можно.

                                  Комментарий


                                  • #18
                                    Сообщение от Berckut Посмотреть сообщение
                                    С какой целью обрабатывается СНИЛС?
                                    Если скажите, что для идентификации, то сами ответите на свой вопрос.
                                    Вот и я думаю что собака где то здесь зарыта, другое дело что заявить много что можно, реализовать гораздо сложнее.
                                    [OFF]Красим белим, иногда защищаем[/OFF]

                                    Комментарий


                                    • #19
                                      Сообщение от Rinat1991 Посмотреть сообщение
                                      Ведь у Вас нет доступа к БД, содержащим такие сведения.
                                      То есть интернет Вам прикрыли и зайти на ФМСовский сайт и проверить реквизиты паспорта Вы не можете?
                                      [OFF]Красим белим, иногда защищаем[/OFF]

                                      Комментарий


                                      • #20
                                        Сообщение от Berckut Посмотреть сообщение
                                        Ну а если он в базе просто до кучи лежит, то за безцельную обработку и огрести от РКН можно.
                                        Вот это то и печалит, если раньше в 152 было практически чётко указано, что есть ПДН, а что так только признаки, то теперь при их формулировке можно голову свернуть.
                                        [OFF]Красим белим, иногда защищаем[/OFF]

                                        Комментарий


                                        • #21
                                          Сообщение от akitukitua Посмотреть сообщение
                                          Продолжаем разговор мои вторые
                                          Снилс 086-123-33321 и номер телефона 89051023515, по Вашему

                                          СНИЛС1=СНИЛС2 и телефон 1= телефон2 и это всё принадлежит некоторому лицу с ником akitukitua на данном форуме.
                                          Вы смогли меня однозначно идентифицировать?
                                          Сообщение от Zuz Посмотреть сообщение
                                          А можно всё же пояснить каким образом эти ПДн идентифицируют, по мне это вполне таки обезличенные ПДн. Если дать вам эти ПДн, разве только по ним без какой-либо дополнительной информации вы можете определить какому конкретному субъекту ПДн они относятся (т.е. определить принадлежность)?
                                          "Шо, опять?" означало, что после нескольких лет споров я еще в 2010 зарекся эту жвачку пережевывать

                                          Если вкратце, мы сошлись на том, что участники спора по-разному понимают термин "идентифицировать":
                                          - установить личность ("Это Моисей Иван-оглы, паспорт...");
                                          - опознать ("это вон тот, третий слева");
                                          - определить, что в данном контексте речь идет о конкретном человеке ("пользователь с ником akitukitua").

                                          Я лично придерживаюсь третьей точки зрения, но в целом ни один из участников спора не смог убедить остальных в своей безусловной правоте. А раз мы не можем договориться об определениях, спорить по существу - даром тратить время.
                                          Последний раз редактировалось malotavr; 14.03.2016, 11:12.

                                          Комментарий


                                          • #22
                                            Сообщение от akitukitua Посмотреть сообщение
                                            То есть интернет Вам прикрыли и зайти на ФМСовский сайт и проверить реквизиты паспорта Вы не можете?
                                            Дайте пож-та ссылку, где я могу ввести номер и серию паспорта и определить место регистрации человека, семейное положение и т.д.

                                            Комментарий


                                            • #23
                                              Сообщение от malotavr Посмотреть сообщение
                                              Если вкратце, мы сошлись на том, что участники спора по-разному понимают термин "идентифицировать":
                                              А откуда вообще этот термин появляется? Но согласен с вашей трактовой термина определить.

                                              Комментарий


                                              • #24
                                                Сообщение от Zuz Посмотреть сообщение
                                                А откуда вообще этот термин появляется? Но согласен с вашей трактовой термина определить.
                                                Ну, "определенному или определяемому" в тексте ФЗ соответствует оригинал "identified or identifiable" в конвенции Совета Европы. Так что с тем, что "определить" и "идентифицировать" в контексте ФЗ - синонимы, участники спора, вроде бы, согласились/

                                                Комментарий


                                                • #25
                                                  Сообщение от malotavr Посмотреть сообщение
                                                  Так что с тем, что "определить" и "идентифицировать" в контексте ФЗ - синонимы, участники спора, вроде бы, согласились/
                                                  Спасибо, действительно identifiable не оставляет вариантов. Но всё же как провести грань между ПДн и обезличенными ПДн? Ведь не имея потенциальной возможности по СНИЛС или номеру паспорта определить принадлежность данных к какому-либо лицу я могу такие ПДн считать обезличенными? Но для тех же ПФР / ФНС это уже не так.
                                                  Т.е. отнесение тех или иных сведений к ПДн зависит от множества факторов, даже более того, оценка факторов может меняться на протяжении времени и в какой-то момент времени обезличенные ПДн могут перейти в ПДн и наоборот. Или я заблуждаюсь?

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Zuz Посмотреть сообщение
                                                    Спасибо, действительно identifiable не оставляет вариантов. Но всё же как провести грань между ПДн и обезличенными ПДн? Ведь не имея потенциальной возможности по СНИЛС или номеру паспорта определить принадлежность данных к какому-либо лицу я могу такие ПДн считать обезличенными? Но для тех же ПФР / ФНС это уже не так.
                                                    Т.е. отнесение тех или иных сведений к ПДн зависит от множества факторов, даже более того, оценка факторов может меняться на протяжении времени и в какой-то момент времени обезличенные ПДн могут перейти в ПДн и наоборот. Или я заблуждаюсь?
                                                    Это лучше к Лукацкому Я принципиально не лезу в тему ПД, от нее реально тошнит А вот у него по теме обезличивания было несколько интересных публикаций со ссылками на источники.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от malotavr Посмотреть сообщение
                                                      Я принципиально не лезу в тему ПД, от нее реально тошнит
                                                      Завидно даже. )

                                                      Комментарий


                                                      • #28
                                                        Сообщение от malotavr Посмотреть сообщение
                                                        определить, что в данном контексте речь идет о конкретном человеке ("пользователь с ником akitukitua").
                                                        Вообще не понял о чём Вы
                                                        [OFF]Красим белим, иногда защищаем[/OFF]

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Rinat1991 Посмотреть сообщение
                                                          Дайте пож-та ссылку, где я могу ввести номер и серию паспорта и определить место регистрации человека, семейное положение и т.д.
                                                          А вот передёргивать не надо, Вы ставили совсем другую задачу изначально верно?
                                                          [OFF]Красим белим, иногда защищаем[/OFF]

                                                          Комментарий


                                                          • #30
                                                            Сообщение от malotavr Посмотреть сообщение
                                                            Ну, "определенному или определяемому" в тексте ФЗ соответствует оригинал "identified or identifiable" в конвенции Совета Европы. Так что с тем, что "определить" и "идентифицировать" в контексте ФЗ - синонимы, участники спора, вроде бы, согласились/
                                                            Неа совсем не согласились, очень давно, когда девушки были моложе а вода мокрее, мне безусому курсанту вдолбили два термина идентификация и аутентификация. Определения я выучил хорошо и потом всю службу и всё время в народном хозяйстве их успешно применял. А вот писатели ФЗ как раз в своём контексте попутали (правда совсем чуть чуть), но молодые и горячие лекции наверно слушали не внимательно (или вообще обошлись без профильного образования). Отсюда и идёт путаница в определении что в данной конкретной ситуации ПД (аутентификация), а что просто сведения (идентификация). И если для сотрудника имеющего доступ в СМЭВ, ПТК СПУ СНИЛС это самый что ни наесть ПДН то для всех остальных это просто набор циферок. А всё это безобразин по одной простой причине, нефиг переводить непойми что не пойми как и принимать в качестве ФЗ.
                                                            [OFF]Красим белим, иногда защищаем[/OFF]

                                                            Комментарий

                                                            Обработка...
                                                            X