5 июня, пятница 12:30
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ost Посмотреть сообщение
    Да щаз, нигде не сказано, что представлять интересы субъекта ПДн можно только по нотариальной доверенности, и надзорные органы на этом не настаивают.
    Куда приходить с самопальными доверенностями на операции со вкладами клиентов?

    Комментарий


    • Сообщение от Александр Четвертый Посмотреть сообщение
      Куда приходить с самопальными доверенностями на операции со вкладами клиентов?
      С вкладом простая доверенность не прокатит, а с ПДн запросто.

      З.Ы. простая доверенность на управление автомобилем прокатывала.

      Комментарий


      • Нужен совет. ЦБ выдал запрос на предоставление анкет по ПОД/ФТ клиентов и потребовал к ним копии паспортов.
        Не будет ли нарушением ПДН передача копии паспортов клиентов в ЦБ?

        Комментарий


        • Сообщение от Luba_A Посмотреть сообщение
          Не будет ли нарушением ПДН передача копии паспортов клиентов в ЦБ?
          ЦБ действуют как государственный надзорный орган в рамках закона, т.е. их запрос попадает под п. 2 и 4 ч. 1 ст. 6, т.о. такая обработка допускается и не требует согласия субъекта ПДн.

          З.Ы. А вы им попробуйте отказать, сославшись на нарушение 152-ФЗ, узнаете много интересного....

          Комментарий


          • Вы правы, спорить с проверяющими бессмысленно.

            Осмысленно - исключительно и только составить акт о передаче персональных данных, он и по закону положен. Что представитель оператора ПДн - Банка России, на основании запроса (номер, дата) получил ПДн такие-то в таком-то объеме, дата, подпись получившего.
            /kiv

            Комментарий


            • Народ, а отправка Клиенту на почту скана договора с ним будет же считаться нарушением передачи ПДн без использования шифрования канала?
              Или Клиент подпишет согласие на передачу ПДн по открытым каналам и можно не париться?

              Комментарий


              • Сообщение от Sat_Kelman Посмотреть сообщение
                Клиент подпишет согласие
                Что-то типа этого. Достаточно получить волеизъявление клиента на такие действия.

                Комментарий


                • Коллеги, делаем инструктаж для сотрудников. В конце кадры предлагают 3-4 небольших кейса. Какие-то житейские ситуации, что можно, а что нельзя делать.
                  Например: Не успеваете доделать работу к концу дня. Можно ли скопировать на флешку\отправить на личную почту данные с ПДн, чтобы дома сделать вовремя.

                  Еще бы какие-то вопросы для операционистов. Буду рад дельным предложениям.

                  Комментарий


                  • 1. В кабинете в данный момент нет никого из коллег. Вам тоже необходимо уйти, как поступить с кабинетом?
                    • Закрыть кабинет и сдать ключ на пост охраны, либо взять его с собой, если у каждого работника кабинета есть ключ
                    • Оставить кабинет открытым, если ухожу ненадолго
                    • Закрыть дверь и оставить ключ в замке
                    • Попросить охранника присмотреть за кабинетом на время моего отсутствия
                    2. В кабинете находится постороннее лицо, ваш коллега просит вас сказать ему номер телефона и место работы клиента. Что вы сделаете?
                    • Спрошу, срочно ли это. Если да, то продиктую
                    • Напишу на листе бумаги и передам через посетителя
                    • Откажу в просьбе, так как в прошлый раз он не предоставил запрашиваемую мной информацию
                    • Откажу в просьбе, так как это банковская тайна и её не должен слышать посторонний
                    3. Вы находитесь в отпуске. Вам звонит сотрудник УАБД и просит вам сказать ваш пароль, так как в Банке произошел технический сбой. Что вы сделаете?
                    • Скажу пароль, так как узнаю голос коллеги
                    • Скажу, где на моем рабочем месте посмотреть листок с паролем
                    • Не скажу пароль, так как не имею права его разглашать, даже сотрудникам УАБД
                    • Отправлю пароль на электронную почту сотрудника, его запросившего
                    4. Где нужно хранить пароль, используемый для входа на компьютер?
                    • Под клавиатурой
                    • В голове
                    • В ежедневнике
                    • На стикере, приклеенном на мониторе
                    5. Если вам нужно скопировать информацию с компьютера на флешку, и у вас нет к доступа к использованию съемных носителей информации. Что вы сделаете?
                    • Обращусь к руководителю СПБ или напрямую к ответственному за копирование с сообщением о необходимости копирования
                    • Вставлю флешку в компьютер, попробую скопировать нужную информацию
                    • Напишу служебную записку на имя председателя Правления о том, что служба информационной безопасности ввела слишком жёсткие меры
                    • Пойду напьюсь
                    6. Вам нужно скопировать информацию с флешки на компьютер, но у вас нет доступа к флешкам. Что вы сделаете?
                    • Обращусь к ответственному за копирование
                    • Вытащу из компьютера жёсткий диск и дома скопирую на него всю необходимую информацию напрямую
                    • Скопирую дома нужную информацию на диск, а потом с него на рабочий компьютер
                    • Подсмотрю пароль от входа в компьютер у того, кто имеет доступ к флешкам
                    7. Как надо поступить, если антивирус на вашем компьютере обнаружил подозрительную активность или предупреждает о наличии вируса?
                    • Необходимо по телефону проинформировать УАБД и пока никто не подошел продолжить текущую работу
                    • Нужно доделать все свои дела, провести запланированные переводы и после рассказать непосредственному начальнику СПБ
                    • Необходимо оставить работу за компьютером и сразу же поставить в известность председателя Правления
                    • Любым удобным способом поставить в известность работников СИБ и УАБД, отвечающих за безопасность, и до получения инструкций остановить работу за компьютером
                    8. Какие письма запрещено рассылать с корпоративной почты банка?
                    • Письма, содержащие вредоносные программы (вирусы, черви и т.д.)
                    • «Письма счастья» - письма, которые убеждают рассылать свои копии другим адресатам
                    • Деловые письма, переписку с контрагентами или клиентами банка
                    • Письма рекламного характера (спам), не относящиеся к выполнению должностных обязанностей работника банка
                    9. Какой пароль нужно использовать?
                    • Состоящий из 8 одинаковых символов
                    • Содержащий имя и/или дату рождения близких людей или домашних животных
                    • 28-значный пароль из букв, цифр и символов, который невозможно запомнить
                    • Состоящий из слова не из словаря, содержащий буквы и цифры, но имеющий для вас смысл, чтобы его было легко запомнить
                    10. Какой пароль является надежным?
                    • 123
                    • password
                    • AfD121ga
                    • qwerty
                    11. Какая информация не относится персональным данным?
                    • ФИО, адреса и телефоны физических лиц – клиентов банка
                    • Название организации, инн, огрн, юридический и фактический адрес, другие реквизиты юридических лиц – клиентов банка
                    • ФИО, даты рождения, сведения об образовании, составе семьи, адреса, номера личных телефонов сотрудников банка
                    • Паспортные данные, номер страхового пенсионного свидетельства, ИНН сотрудников банка
                    12. Какую информацию о Банке можно обсуждать с коллегами при общении в общественных местах и переписке в социальных сетях?
                    • Проведенное Банком общественное мероприятие
                    • Какие счета есть у клиентов Банка, остатки на счетах
                    • Какие договоры были заключены Банком в прошедшем году, на какие суммы
                    • Планы развития Банка на текущий год
                    13. Посещение каких ресурсов в Интернете не связано с профессиональной деятельностью и относятся к развлекательным?
                    • Официальные сайты городов Алтайского края
                    • Новостные сайты
                    • Социальные сети
                    • Форумы о рыбалке
                    • Интернет-радио
                    14. При возникновении каких ситуаций вы обязаны немедленно сообщить о случившемся на пост охраны?
                    • при получении информации об угрозах террористического характера
                    • при возгорании
                    • когда вы или ваши коллеги покидаете кабинет
                    • когда в ваш кабинет заходят сотрудники других СПБ
                    15. Что рекомендуется делать при получении письма от неизвестного адресата?
                    • Открывать файлы-вложения
                    • Переходить по ссылкам с предложениями получения выигрыша
                    • Обращаться к сотрудникам УАБД или СИБ при возникновении сомнений в безопасности открытия письма
                    • Удалять письмо, если уверены, что оно содержит спам (рекламные сообщения)
                    16. Сотрудник федеральной налоговой службы по телефону просит вас уточнить сведения о физическом лице, касающиеся его материального положения. Как быть в сложившейся ситуации?
                    • В соответствии с законодательством РФ банк обязан информировать ФНС обо всех финансовых операциях физических лиц и не предоставление в указанный срок сведений влечет наложение штрафа, поэтому запрашиваемая информация может быть сообщена по телефону
                    • В соответствии с внутренними документами банка и ФЗ «О персональных данных», по телефону можно предоставлять только сведения об остатках денежных средств на счетах физического лица
                    • Вам запрещено разглашать сведения о физических лицах по телефону
                    • ФНС должна направить официальный запрос
                    17. Что можно делать на рабочем месте в Интернете?
                    • Скачивать на компьютер необходимое для работы программное обеспечение
                    • Посещать сайты, необходимые для выполнения должностных обязанностей
                    • Осуществлять подписку на рассылку информации непроизводственного характера
                    • Использовать Интернет для получения личной материальной выгоды
                    18. Что нужно сделать перед закрытием служебного помещения и уходом с работы?
                    • Проверить отключение от сети оборудования, не предназначенного для работы в круглосуточном режиме, электроприборов
                    • Выключить свет (кроме дежурного освещения)
                    • Закрыть форточки и окна
                    • Убедиться, что в помещении не осталось посторонних лиц
                    19. Что разрешено делать, работая за компьютером?
                    • Использовать компьютер в личных целях
                    • Использовать принтеры и сканеры, подключенные работниками УАБД
                    • Работать в автоматизированной банковской системе ЦФТ-Банк (IBSO) – при наличии установленной программы
                    • Самостоятельно подключать любое дополнительное оборудование
                    • Самостоятельно устанавливать и удалять программы
                    20. Вам поступил телефонный звонок с вопросом: «Какой режим работы банка, до которого часа работает касса и в какой период времени приезжает инкассация?»
                    О чем Вы можете проинформировать клиента?
                    • Ответить на все интересующие вопросы позвонившего
                    • Информацию по телефону не даю - расписание работы есть на сайте и на входе в офис, а также в других справочных службах
                    • Проинформировать о режиме работы банка и кассы
                    21. Вам необходимо ненадолго уйти из кабинета, как вы поступите с компьютером?
                    • Оставлю работать, если в кабинете нет клиентов – от коллег скрывать нечего
                    • Выключу компьютер, а по возвращении включу
                    • Выключу монитор
                    • Заблокирую экран
                    • Оставлю работать – коллега как раз хотел что-то сделать за моим компьютером
                    22. Ваш коллега просит сказать ему пароль от вашего компьютера (учетной записи) для выполнения необходимых ему операций, как вы поступите?
                    • Опять забыл мой пароль, сколько можно уже напоминать!
                    • Скажу ему, если расскажет мне, что он собирается сделать
                    • Не скажу ему, мой пароль должен знать только я и администраторы из УАБД и СИБ
                    • Мой пароль должен знать только я и никто больше
                    23. Если вы вернулись из отпуска и не можете вспомнить свой пароль от IBSO (БИК «ЦФТ-БАНК»), что вы сделаете?
                    • Мой пароль не забудешь, он везде одинаковый – 123456
                    • Позвоню в УАБД, чтобы мне напомнили мой пароль
                    • Спрошу у коллеги – он должен помнить
                    • Позвоню в УАБД, запрошу сделать сброс пароля от программы БИК «ЦФТ-БАНК»
                    24. Вам нужно скопировать информацию на флешку (при условии, что у вас нет прав на копирование). Какая информация должна содержаться в письме с запросом на копирование?
                    • Тема сообщения – «Копирование на СНИ»
                    • Для кого и с какой целью необходимо скопировать информацию
                    • Файлы для копирования
                    • В какой срок нужно выполнить копирование и кому отдать флешку
                    • Дата создания файлов, их автор, размер
                    25. По вашему запросу на флешку была скопирована конфиденциальная информация, кто несет ответственность за сохранность флешки и безопасность скопированной информации?
                    • Руководитель СПБ, согласовавший копирование
                    • Я
                    • Я и руководитель СПБ, согласовавший копирование
                    • Я и сотрудник, ответственный за копирование
                    26. Ваш коллега просит вас скинуть срочную информацию с флешки клиента, так как у него нет прав на копирование. У вас есть доступ к флешкам, но вы не являетесь ответственным за копирование, что вы сделаете?
                    • Проверю ее на вирусы, только потом скопирую необходимую информацию
                    • Скопирую информацию, но предупрежу руководителя СПБ о случившемся
                    • Не буду ничего копировать, предложу ему сделать это согласно Положению об управлении доступом
                    • Не буду ничего копировать, предложу ему сделать это согласно Инструкции по использованию съёмных носителей информации
                    27. Вам поступает звонок, человек представляется новым кассиром ДО, вместо недавно уволившегося сотрудника, и просит вас сказать остаток средств в кассе на текущий момент. Как вы поступите?
                    • Скажу остаток на текущий момент, если обладаю такой информацией
                    • Если не в курсе, то уточню у коллег, после чего сообщу точные данные
                    • Даже если в курсе этой информации, то не имею права ее разглашать
                    • Предоставлю информацию, если узнаю голос сотрудника и могу его точно идентифицировать
                    28. Вам звонит недавно уволившийся сотрудник и просит предоставить информацию об одном из клиентов Банка. Что вы сделаете?
                    • Посмотрю необходимую информацию и продиктую по телефону
                    • Посмотрю необходимую информацию и отправлю по почте
                    • Если клиент – физ. лицо, то информацию не предоставлю (персональные данные разглашать нельзя), если это организация, то предоставлю информацию
                    • Не буду предоставлять никакую информацию о клиентах сотрудникам, не работающим в Банке

                    Комментарий


                    • Сообщение от Berckut Посмотреть сообщение
                      1. В кабинете в данный момент нет никого из коллег. Вам тоже необходимо уйти, как поступить с кабинетом?
                      Прикольные вопросы, у меня часть подобных есть в общем тесте. Но меня интересовали конкретно по ПДн.

                      Комментарий


                      • Berckut
                        если будет ситуация по вопросу 5 - в какой кабинет подходить со стаканом?)

                        Угол зрения зависит от занимаемого места.

                        Комментарий


                        • Сообщение от Sat_Kelman Посмотреть сообщение

                          Прикольные вопросы, у меня часть подобных есть в общем тесте. Но меня интересовали конкретно по ПДн.
                          Блин, да, промахнулся

                          Комментарий


                          • Сообщение от Berckut Посмотреть сообщение
                            Блин, да, промахнулся
                            Нормальные вопросы.
                            Я себе сохранил в загашничек, пригодятся.
                            Только не всё подходит, у нас, например, кабинеты отсутствуют как класс, опен офис, блин.

                            Комментарий


                            • Народ, поступил запрос от мирового судьи. В производстве дело, просят данные о кредитном договоре, были ли выплаты указанному контрагенту.
                              Ответ просят направит на адрес ... Город, улица, дом кабинет либо на факс или элдектронную почту.
                              Наши сотрудники подготовили ответ, и даже в сроки направили его (отметка почты о принятии есть), но к судье еще не пришло письмо и он просит скинуть по почте электронной.
                              Мы же можем смело отказать? Сказать незащищенный канал передачи ПДн и клиент согласие не давал. Ваш запрос мы выполнили, отправили в срок, ждите.

                              Комментарий


                              • Сообщение от Sat_Kelman Посмотреть сообщение
                                .... к судье еще не пришло письмо и он просит скинуть по почте электронной.
                                Мы же можем смело отказать? Сказать незащищенный канал передачи ПДн и клиент согласие не давал. Ваш запрос мы выполнили, отправили в срок, ждите.
                                Мы в подобных случаях отправляем в запароленном архиве. Да, кое какие требования нарушаем, но не все.
                                Можно, конечно, попросить его установить CryptoPro или еще что-то аналогичное, но пока не практиковали....

                                Комментарий


                                • Сообщение от Sat_Kelman Посмотреть сообщение
                                  Народ, поступил запрос от мирового судьи. В производстве дело, просят данные о кредитном договоре, были ли выплаты указанному контрагенту.
                                  Ответ просят направит на адрес ... Город, улица, дом кабинет либо на факс или элдектронную почту.
                                  Наши сотрудники подготовили ответ, и даже в сроки направили его (отметка почты о принятии есть), но к судье еще не пришло письмо и он просит скинуть по почте электронной.
                                  Мы же можем смело отказать? Сказать незащищенный канал передачи ПДн и клиент согласие не давал. Ваш запрос мы выполнили, отправили в срок, ждите.
                                  Иногда даже в запросе это указано. Сразу отказываю. Мы не имеем права отправлять защищаемую законом информацию по открытым каналам связи. Если будет соответствующее решение суда, то нарушим и передадим. Обычно после этого вопросы отпадают.
                                  Либо ждите бумажный документ, либо приезжайте и забирайте. Если в запросе указано, что предоставить в электронном виде, то отдаём только на электронном носителе, никакой электронной почты.

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    ......Если в запросе указано, что предоставить в электронном виде, то отдаём только на электронном носителе, никакой электронной почты.
                                    Возможно ошибаюсь, но если в соответствии с 378-ым Приказом ФСБ, то и на электронном носителе надо бы в зашифрованном по ГОСТу виде передавать, если не с фельдъегерской почтой... Хотя, наверное, смотря где акт приема-передачи подписывать.

                                    Комментарий


                                    • Сообщение от saches Посмотреть сообщение
                                      Возможно ошибаюсь, но если в соответствии с 378-ым Приказом ФСБ, то и на электронном носителе надо бы в зашифрованном по ГОСТу виде передавать, если не с фельдъегерской почтой...
                                      А если на бумаге, то распечатанные невидимыми чернилами.

                                      PS
                                      Давеча на хабре, кажись, была статья человека из техподдержки циски. Он плакался, как их подставило минобороны США.
                                      Был сбой с циской, попросили прислать логи. Минобороны долго молчало, потом прислали.
                                      В виде распечатанных и отсканированных в PDF страниц (3000 листов).

                                      Комментарий


                                      • Добрый день!
                                        Коллеги, помогите. Только начинаю трудовой стаж в ИБ и со многим сталкиваюсь впервые.
                                        Поставили задачу провести внутреннюю проверку по ПДн. Сделать чек-лист и написать акт проверки.
                                        Подскажите как вы их проводите? Что нужно учесть в чек-листе? Я так прикидываю, что в кадрах нужно проверить как хранятся документы, как обрабатываются. Операционистов проверить. А что еще?
                                        И как должен выглядеть акт проверки? Кто-то сможет поделиться своим примером? Буду очень признателен.

                                        Комментарий


                                        • Сообщение от Данко Посмотреть сообщение
                                          Добрый день!
                                          Коллеги, помогите. Только начинаю трудовой стаж в ИБ и со многим сталкиваюсь впервые.
                                          Поставили задачу провести внутреннюю проверку по ПДн. Сделать чек-лист и написать акт проверки.
                                          Подскажите как вы их проводите? Что нужно учесть в чек-листе? Я так прикидываю, что в кадрах нужно проверить как хранятся документы, как обрабатываются. Операционистов проверить. А что еще?
                                          И как должен выглядеть акт проверки? Кто-то сможет поделиться своим примером? Буду очень признателен.
                                          Ну, для начала надо ответить на вопрос, это проверка выполнения требований по обработке ПДн или проверка требований по защите ПДн.
                                          Если первое, то лучше сразу сваливать и искать другую работу, потому что это скорее юридический вопрос и вопрос организации работы вцелом. А ещё это означает с вероятностью 90%, что на службу ИБ будут постоянно скидывать всё непонятное и на ИБ времени не останется.
                                          Если второе, но не было проведено первое, проверять по сути нечего, т.к. нельзя защищать процессы которых не существует. Ну, либо просто идти по требования и отмечать попунктно, что выполянется, а что нет.

                                          Комментарий


                                          • Сообщение от Данко Посмотреть сообщение
                                            провести внутреннюю проверку по ПДн
                                            Почитать разделы СТО ИБ БС про Пдн, почитать новый ГОСТ Р, там есть раздел, посмотреть разделы внутренних документов, что и как там и в путь ...
                                            Например:
                                            В ходе проверки контролю подлежат:
                                            1. Обеспечение разграничения доступа лиц, допущенных к обработке персональных данных, к различным персональным данным;
                                            2. Обеспечение доступа субъектов персональных данных к ознакомлению с документами и информацией, содержащих их персональные данные;
                                            3. Закрепление ответственности должностных лиц за обеспечение безопасности персональных данных;
                                            4. Соблюдение мер по исключению несанкционированного, в том числе случайного, доступа к персональным данным посторонних лиц, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий;
                                            5. Правильность определения угроз безопасности персональных данных при их обработке, формирования на их основе модели угроз;
                                            6. Обеспечение нейтрализации предполагаемых угроз разработанной на основе модели угроз системой защиты персональных данных;
                                            7. Правильность учета применяемых средств защиты информации, эксплуатационной и технической документации к ним;
                                            8. Осуществление учета лиц, допущенных к работе с персональными данными, в информационной системе персональных данных;
                                            9. Проверка соблюдения условий эксплуатации средств защиты информации, предусмотренных эксплуатационной и технической документацией;
                                            10. Наличие фактов несоблюдения условий эксплуатации средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений, проведение проверок и составление заключений по данным фактам;
                                            11. Соблюдение требований по осуществлению обработки персональных данных сотрудниками в служебных помещениях и на оборудовании, включенном в состав информационной системы персональных данных .

                                            Комментарий


                                            • Добрый день!
                                              Подъехала задачка - нужно предоставить документы о блокировании и последующем уничтожении ПДн физ-ла.
                                              По факту "последующего" уничтожения бумажных носителей готовится соответствующий Акт (с этим вроде бы всё понятно).
                                              А что лучше отписать по факту исполненного блокирования ПДн и как лучше отразить (в каком документе) удаление или обезличивания информации по физику в ИСПДн?

                                              Комментарий


                                              • Сообщение от saches Посмотреть сообщение
                                                А что лучше отписать по факту исполненного блокирования ПДн и как лучше отразить (в каком документе) удаление или обезличивания информации по физику в ИСПДн?
                                                А нужно о блокировании делать документ? Я так понимаю в РКН надо ответ дать? Блокирование - процедура временного прекращения обработки данных, на время выяснения законности обработки таких данных. Если законность не подтверждена, то удаляем данные, уничтожаем бумагу. Подтверждать блокирование, я считаю, оператор будет обязан только тогда, когда удалить/уничтожить данные он не может, хотя и законных оснований их обрабатывать у него нет (и то максимум закон позволяет блокировать пол года). Техническая реализация блокирования может быть разной, законом не регулируется.

                                                Комментарий


                                                • 1. Чем отличаются эти две угрозы из ЦБ-указания от 10.12.2015 N 3889-У?
                                                  угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;

                                                  угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;
                                                  2. Какими мерами из 21 приказа ФСТЭК их нейтрализовывать - АНЗ.2, АНЗ.3, АНЗ.4 ..?

                                                  АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
                                                  АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
                                                  АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации

                                                  Комментарий


                                                  • Для борьбы с уязвимостями, я бы еще может добавил п.4.

                                                    4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

                                                    Комментарий


                                                    • Сообщение от saches Посмотреть сообщение
                                                      средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия
                                                      Я как раз наоборот считаю, что сертифицированные СЗИ "более уязвимы к уязвимостям" - даже при их обнаружении проходит очень много времени на их исправление в том месте, где СЗИ применяется (с соблюдением всех процедур получения изменений в формуляры и т.п.). То есть мера на нейтрализацию такая же, только геморроя с формальностями больше.

                                                      Комментарий


                                                      • Александр Четвертый
                                                        А мы обсуждаем формальную сторону вопроса построения системы защиты в соответствии с требованиями регуляторов или чисто прикладную сторону?
                                                        И, кроме того, в п.4. нигде не упоминаются именно сертифицированные СЗИ, да и ФСТЭК не требует использование сертифицированных СЗИ для защиты ПДн в негосударственных структурах.

                                                        Комментарий


                                                        • saches
                                                          формальную часть. Я вот сколько ни смотрел на подходы к моделированию угроз ПДн, ничего не приглянулось (кто-то берет вот эти 200 угроз https://bdu.fstec.ru/threat/ кто-то пытается сводить миллионы угроз в спецальном ПО - каждый по-своему сходит с ума). Я решил пойти путем, который и ЦБ, и ФСТЭК устроил бы (двух зайцев), ну и для себя пометь некий чек-лист выполнения требований по защите данных по 152-ФЗ в каждой ИСПДн (хз кто-то вообще проводит "оценку эффективности реализованных мер каждые 3 года"?):

                                                          1. Определяем ИСПДн и уровни защищенности для них.
                                                          2. Создаем модель угроз для каждой ИСПДн или для типа ИСПДн (критерий объединения в тип - один уровень защищенности, одна архитектура и ИТ-решение):
                                                          2.1. Берем указание ЦБ с актуальными угрозами (3889-У) + указание для ИСПДн, обрабатывающих биометрию для ЕБС (4859-У).
                                                          2.2. Для каждой угрозы находим меры по ее нейтрализации из 21 приказа ФСТЭК (базовую меру для вашего уровня защищенности либо дополнительную из уровней повыше, если в базовых нет ничего подходящего). Если вообще ничего из ФСТЭК мер не подходит - описываем свои собственные меры.
                                                          2.3. Далее по каждой мере (базовой и(или) дополнительной) описываем имплементацию (как оно реально реализовано в ИСПДн).

                                                          Не совсем понимаю, что делать, если какие-то меры из приказа ФСТЭК требуются для вашего уровня защищенности, но не подходят для нейтрализации ни одной из ЦБ-угроз (там можно такое найти) - все равно нужно реализовывать эти меры?
                                                          Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.

                                                          Комментарий


                                                          • Сообщение от Александр Четвертый Посмотреть сообщение
                                                            saches.......Не совсем понимаю, что делать, если какие-то меры из приказа ФСТЭК требуются для вашего уровня защищенности, но не подходят для нейтрализации ни одной из ЦБ-угроз (там можно такое найти) - все равно нужно реализовывать эти меры?
                                                            Насколько я понимаю, если в модели (или в описании системы защиты ИСПДн) написать, что такие-то угрозы не актуальны, то и защитные меры можно считать избыточными.
                                                            И, кроме того, в разъяснениях ФСТЭК по 17 и 21 Приказам от 15 июля N 240/22/2637 -
                                                            3. По вопросу о форме оценки эффективности принимаемых мер по обеспечению безопасности персональных данных, о форме и содержании материалов оценки эффективности, а также о возможности проведения оценки эффективности при проведении аттестации информационной системы
                                                            ....
                                                            Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.


                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              написать, что такие-то угрозы не актуальны
                                                              А разве можно признать неактуальным то, что ЦБ признал актуальным?)

                                                              Комментарий

                                                              Обработка...
                                                              X