5 июня, пятница 13:12
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Александр Четвертый Посмотреть сообщение
    saches.....Не совсем понимаю, что делать, если какие-то меры из приказа ФСТЭК требуются для вашего уровня защищенности, но не подходят для нейтрализации ни одной из ЦБ-угроз (там можно такое найти) - все равно нужно реализовывать эти меры?
    В предыдущем письме вопрос был о мерах из 21 приказа ФСТЭК, которые непонятно куда приткнуть. О чем и был ответ, на который задается уже вопрос об угрозах из Указания ЦБ.
    Сообщение от Александр Четвертый Посмотреть сообщение
    А разве можно признать неактуальным то, что ЦБ признал актуальным?)
    Это что, стиль такой? Вы уж определитесь, что Вас интересует в первую очередь...
    Последний раз редактировалось saches; 24.10.2018, 20:35.

    Комментарий


    • Сообщение от saches Посмотреть сообщение
      что Вас интересует в первую очередь
      Хочется понять формальный замысел этих двух документов - как по ним должны работать банки.

      Комментарий


      • Коллеги, помоги те с определение ИСПДн. Что же все таки считать ими? Выделил АБС, СКУД, Архивные ИТ системы. А почту кто-то выделяет как ИСПДн? Или например файловые ресурсы. Да даже на ПК сотрудников могут быть файлы с ПДн. Всю сеть выделять как одну большую?

        Комментарий


        • Данко
          КМК, тут всё может быть очень по-разному. Видел проекты (для небольших банков), когда все системы объединяли в одну ИСПДн. Причем, в акте классификации, так её и называли - ИСПДн1. Видел варианты, когда нарезали по целевому функционалу, типа - все бизнес системы - ИСПДн1, зарплата/кадры - ИСПДн2, СКУД/проходные - ИСПДн3. И, ес-но, есть подходы, когда каждую отдельную ИС считают за ИСПДн.
          В любом случае, рекомендую не забыть про другие системы типа ДБО, зарплату/кадры, карточный бэк и прочие.
          Хранение информации на ПК рекомендую вообще запретить, т.к. это много чего упрощает, ну а включать ли AD (и почту) в ИСПДн, скорее всего, придется решать самостоятельно.
          Последний раз редактировалось saches; 26.10.2018, 11:13.

          Комментарий


          • Сообщение от Александр Четвертый Посмотреть сообщение
            Хочется понять формальный замысел этих двух документов - как по ним должны работать банки.
            Наверное, самое оптимальное, что я видел на это тему, это - https://ser-storchak.blogspot.com/20...g-post_18.html
            Хотя итоговая таблица там уже к сожалению "рассасалась", но подход изложен достаточно внятно.
            Если бы я озаботился разработкой модели сейчас, наверное, имело бы смысл, еще учесть Приложения А (и возможно Б) из ГОСТ Р 57580.1-2017.

            Комментарий


            • Народ, подключаем оплату через apple pay \ google pay и возник вопрос один. У многих банков в условиях написано
              Клиент уполномочивает Банк передавать, в т.ч. на территорию иностранных государств (трансграничная передача), информацию о сумме операции, дате и времени ее совершения, типе операции, коде валюты, статусе Авторизации для ее обработки Apple Inc, Google Inc., в целях:
              - предоставления держателям карт в мобильном приложении о совершенных ими сделках
              - повышения безопасности оказания услуг


              Но у меня большие сомнения, разве Банк передает эти сведения? В уведомлении о конфиденциальности Google Payments есть такая фраза.
              Информация, которую мы собираем
              В дополнение к информации, указанной в Политике конфиденциальности Google, мы также можем собрать следующее:

              Информация о транзакции. Когда вы используете Google Payments для совершения транзакции, мы можем собирать информацию о транзакции, в том числе: дату, время и сумму транзакции, местоположение и описание продавца, описание, предоставленное продавцом приобретенных товаров или услуг , любую фотографию, которую вы решили связать с транзакцией, имена и адреса электронной почты продавца и покупателя (или отправителя и получателя), тип используемого способа оплаты, описание причины транзакции и предложение, связанное с транзакция, если таковая имеется.

              По идее клиент устанавливая приложение соглашается с передачей указанных данных, а Банк ничего не передает по сути. Задача Банка вообще просто провести авторизацию при оплате. И эта фраза про трансграничку лишняя.

              Комментарий


              • Сообщение от Sat_Kelman Посмотреть сообщение
                По идее клиент устанавливая приложение соглашается с передачей указанных данных, а Банк ничего не передает по сути. Задача Банка вообще просто провести авторизацию при оплате. И эта фраза про трансграничку лишняя.
                Я не считаю её лишней. Я пока до конца я не разобрался с Гуглом, но знаю что какую-то информацию банк туда передаёт. Пусть лучше будет согласие.

                Комментарий


                • Сообщение от saches Посмотреть сообщение
                  КМК, тут всё может быть очень по-разному. Видел проекты (для небольших банков), когда все системы объединяли в одну ИСПДн. Причем, в акте классификации, так её и называли - ИСПДн1. Видел варианты, когда нарезали по целевому функционалу, типа - все бизнес системы - ИСПДн1, зарплата/кадры - ИСПДн2, СКУД/проходные - ИСПДн3. И, ес-но, есть подходы, когда каждую отдельную ИС считают за ИСПДн. В любом случае, рекомендую не забыть про другие системы типа ДБО, зарплату/кадры, карточный бэк и прочие. Хранение информации на ПК рекомендую вообще запретить, т.к. это много чего упрощает, ну а включать ли AD (и почту) в ИСПДн, скорее всего, придется решать самостоятельно.
                  То есть получается, что у нас есть системы где идет обработка ПДн (почта, файловые ресурсы....), но их можно не выделать как ИСПДн?
                  Или же если есть обработка ПДн, то значит ресурс по любому должен быть в составе какой-то ИСПДн?

                  Комментарий


                  • Данко
                    1. Если присутствуют ПДн, "по чесноку" это нужно рассматривать как [часть] ИСПДн (но, как правило, всегда о чем-то "забывают");
                    2. Вопрос объединения нескольких ИС в одну ИСПДн - процесс неоднозначный и "творческий" (и на практике имеет место);
                    3. Конкретные комментарии, скорее всего, получите по результатам соответствующей проверки.

                    Комментарий


                    • Подскажите, в согласии на обработку ПДн если речь идет о передаче ПДн третьим лицам, то нужно указывать конкретно кому передаются (названия организаций)? Или это условие относится только к письменному согласию специальных, биометрических ПДн и трансграничной передаче?

                      Комментарий


                      • Данко, нужно указывать. Если не указать, то надзор или суд могут не признать согласие должным и вменят вам передачу ПДн без согласия со всеми вытекающими.

                        Комментарий


                        • Данко
                          В идеале, нужно указывать кому конкретно, с какой целью и какие ПДн.

                          Комментарий


                          • Коллеги, имеется такой кейс:
                            Юр. лицо нерезидент в целях исполнения 152-ФЗ передал базу ПДн для обработки резиденту (банку), по договору. Затем, в банк пришла проверка ЦБ и запросила сведения из этой базы.
                            Правомочны ли требования проверяющих на доступ к таким данным?

                            Комментарий


                            • Сообщение от junglets Посмотреть сообщение
                              в целях исполнения 152-ФЗ передал базу ПДн для обработки
                              Передача БД в целях исполнения 152-ФЗ это как? Кто оператор персональных данных в этой схеме?

                              Сообщение от junglets Посмотреть сообщение
                              Правомочны ли требования
                              В отношении ЦБ это бесполезный вопрос.

                              Комментарий


                              • Сообщение от Александр Четвертый Посмотреть сообщение
                                Передача БД в целях исполнения 152-ФЗ это как? Кто оператор персональных данных в этой схеме?
                                компания, кому принадлежит база - нерезидент, согласно 152-ФЗ обработка ПДн должна осуществляться на территории РФ.
                                Оператор они, но поручили обработку третьему лицу - банку, у которого есть необходимые серверные мощности для хранения данных на территории РФ

                                Комментарий


                                • Коллеги, такой вопрос возник - кто-нибудь сталкивался, в последнее время, чтобы проверяющие писали замечания, что в журнал учета носителей ПДн отсутствуют неотчуждаемые МНИ (т.е. жесткие диски серверов, СХД, ПК и т.д. т.е. чего-либо помимо флешек и CD/DVD т.п.)?
                                  А то у меня складывается впечатление, что проверяющие стали забивать и на это требование 152-ФЗ.

                                  Комментарий


                                  • Сообщение от junglets Посмотреть сообщение
                                    .....Правомочны ли требования проверяющих на доступ к таким данным?
                                    В общем случае, нет.
                                    Но прежде чем посылать ЦБ, имеет смысл подумать насколько это целесообразно и готовы ли ответить на ряд таких вопросов, как : основание для обработки банком, как это вписывается в перечень его услуг, наличие договора-поручения, как он связан с необходимостью исполнения договора нереза с физиками и т.д.


                                    Комментарий


                                    • Сообщение от saches Посмотреть сообщение
                                      отсутствуют неотчуждаемые МНИ
                                      А где такое требование и как его можно выполнить, если у вас данные на СХД или в облаке (например, у CFT)?

                                      Комментарий


                                      • Сообщение от saches Посмотреть сообщение
                                        неотчуждаемые МНИ (т.е. жесткие диски серверов, СХД, ПК и т.д. т.е. чего-либо помимо флешек и CD/DVD т.п.)
                                        С чего вдруг жесткие диски стали неотчуждаемые? У нас проверка по 382-П написала предписание промаркировать

                                        Комментарий


                                        • Сообщение от w3d Посмотреть сообщение
                                          С чего вдруг жесткие диски стали неотчуждаемые? У нас проверка по 382-П написала предписание промаркировать
                                          Большая просьба уточнить, насколько давно была проверка, требование в предписании промаркировать диски было обусловлено требованиями 152-ФЗ или другой конкретной нормативкой?

                                          КМК, использовал достаточно стандартное определение -
                                          Отчуждаемые - съемные носители информации, которые не входят в комплектность системного блока, но могут подключаться и отключаться. Например, дискеты, оптические и магнито-оптические диски, флэшки, съемные (USB/FireWire/e-SATA...) HDD и т.д.
                                          Последний раз редактировалось saches; 13.02.2019, 12:42.

                                          Комментарий


                                          • Сообщение от ost Посмотреть сообщение
                                            А где такое требование.........
                                            152-ФЗ, Ст.19 Меры по обеспечению безопасности персональных данных при их обработке.
                                            2. Обеспечение безопасности персональных данных достигается, в частности:
                                            .....
                                            5) учетом машинных носителей персональных данных;

                                            .......
                                            ЦБ-шную нормативку и 21 приказ ФСТЭК, пока оставлю "за скобками".
                                            В приказе ФСБ № 378, для всех УЗ-
                                            б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.

                                            В целом, достаточно стандартное, во всяком случае, ранее, требование. Наберите в яндексе что-то типа "журнал учета носителей персональных данных" и смотрите там, где речь не про съемные.
                                            Собственно и вопрос задал - насколько сейчас проверяющие по 152-ФЗ обращают на это внимание.

                                            Сообщение от ost Посмотреть сообщение
                                            ........и как его можно выполнить, если у вас данные на СХД или в облаке (например, у CFT)?
                                            Элементарно, обычно маркируют все диски СХД или только те, по которым "размазывается" том с ПДн. Про архивные ленты, кстати, раньше тоже могли спросить, как и про диски в ПК.

                                            А причем здесь облако? Это ж 3-е лицо. Или "облачный" оператор пользуется дисками клиента (банка)?
                                            Последний раз редактировалось saches; 13.02.2019, 12:41.

                                            Комментарий


                                            • Сообщение от saches Посмотреть сообщение
                                              5) учетом машинных носителей персональных данных;
                                              Всегда считал, что это относится только с съёмным МН.

                                              Сообщение от saches Посмотреть сообщение
                                              А причем здесь облако? Это ж 3-е лицо.
                                              Какое 3-е лицо, обычный облачный сервис-провайдер, ничто не мешает размещать ПДн в облаке.

                                              Комментарий


                                              • Сообщение от ost Посмотреть сообщение
                                                Всегда считал, что это относится только с съёмным МН.
                                                К сожалению, нет.

                                                Сообщение от ost Посмотреть сообщение
                                                Какое 3-е лицо, обычный облачный сервис-провайдер, ничто не мешает размещать ПДн в облаке.
                                                Если говорить об "облаке" как услуге, то обычно имеют в виду один из вариантов :IaaS, PaaS, SaaS, в зависимости от того, что арендуется.
                                                Например, IaaS может соответствовать 152-ФЗ,, в случае шифрования томов, иначе доступ к ПДн имеет 3-е лицо - поставщик услуги.
                                                Варианты PaaS и SaaS, при любом подходе, КМК, делают вашу информацию доступной поставщику услуги. Т.е. о каком-то соответствии 152-ФЗ речи, вообще, идти не может, т.к. у вас нет никаких основания для передачи ПДн клиента 3-му лицу.

                                                Комментарий


                                                • Добрый день, коллеги!

                                                  Хотелось бы услышать Ваше мнение.

                                                  Существует технология в Windows 10 Windows Hello для бизнеса. Она позволяет заменить пароли строгой двухфакторной проверкой подлинности на компьютерах и мобильных устройствах. Для проверки подлинности в этом случае используется новый тип учетных данных пользователей, привязанных к устройству и основанных на биометрических данных или PIN-коде.
                                                  В случае реализации аутентификации по биометрии, Microsoft говорит, что биометрические данные, используемые функцией Windows Hello,хранятся только на локальном устройстве. Они не перемещаются и никогда не передаются на внешние устройства или серверы.

                                                  С учетом действующего законодательства:

                                                  Информационная система является информационной системой, обрабатывающей биометрические персональные данные,
                                                  если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека,
                                                  на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных,
                                                  и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

                                                  В случае использования технологии Windows Hello - мы обрабатываем биометрические персональные данные? Необходимо проводить соответствующие мероприятия по ПП 1119?

                                                  Комментарий


                                                  • Сообщение от saches Посмотреть сообщение
                                                    Например, IaaS может соответствовать 152-ФЗ,, в случае шифрования томов
                                                    И как в этом случае делать учёт МНИ? А как проверять?

                                                    Сообщение от saches Посмотреть сообщение
                                                    К сожалению, нет.
                                                    КМК, это будет зависеть от мнения проверяющих. Опять же "достигается в частности...", т.е. может быть, может не быть...

                                                    Комментарий


                                                    • Сообщение от ost Посмотреть сообщение
                                                      И как в этом случае делать учёт МНИ? А как проверять?
                                                      Я так думаю, что в этом никак.

                                                      Сообщение от ost Посмотреть сообщение
                                                      КМК, это будет зависеть от мнения проверяющих. Опять же "достигается в частности...", т.е. может быть, может не быть...
                                                      Так яж про это и спрашивал - как нынче проверяющие относятся к тому, что диски не учтены?

                                                      Комментарий


                                                      • Сообщение от saches Посмотреть сообщение
                                                        как нынче проверяющие относятся к тому, что диски не учтены?
                                                        Непредсказуемо, зависит обычно от поставленных перед проверкой задач и изворотливости проверяемых.

                                                        Комментарий


                                                        • Кому-то удавалось сбросить со службы ИБ роль ответственного за организацию обработки ПДн? Есть положительный опыт?
                                                          Вот вижу, что вся работа должна быть разделена на две части: обработка ПДн и защита ПДн. Первая касается юридических и организационных вопросов, вторая техническая. А доказать не получается, что служба ИБ должна отвечать вторую часть и не имеет никакого отношения к первой.
                                                          Ломать надо как-то эту дебильную систему, когда всех ИБэшников сделали крайними за первую часть и избавиться от этого теперь невозможно. И статистику в пример не приведёшь, потому что у всех такая ситуация с когда-то назначенными крайними.

                                                          Комментарий


                                                          • Berckut
                                                            Знаю прецедент, когда ИБ-ешники перевели стрелки на ИТ по принципу, мы ПДн не обрабатываем, поэтому и ответственными за [организацию] обработки быть не можем. Мы типа, почти как юристы, в нормативке только разбираемся и в разных СЗИ. ...Т.е. подход был несколько другой, что ИБ занимается и юридической стороной (вместе с ЮД) и технической, а самой обработкой, кто-то ещё, вот их и нужно назначить ответственными.
                                                            Но, только, это нужно было либо сразу делать, при назначении ответственного в первый раз, либо, как вариант, при достаточно большой смене команды. Стереотипы. всё таки, накладывают определенный отпечаток.
                                                            А в чем именно напряг с назначением? Лично меня, сейчас, больше напрягает, что бы ИБ не сделали крайним по КИИ.

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              ИБ не сделали крайним по
                                                              к сожалению, ИБ становится дырозатыкателем во всех вопросах, где в контексте законодательства, указаний, требований и прочей инициативы встречаются слова "информация, данные, защита, инфраструктура" в различных сочетаниях. И если ПДн были началом большого пути, то потом прицепили(лось) ДБО, ЕБС, КИИ и прочее. ИТ подразделения, в большинстве, не могут охватить объем проблематики без применения СВТ, а руководители не могут правильно делегировать вопросы в нужные структурные подразделения (ЮД, Кадры, операционные структуры и пр.). А кроме того, все еще есть ощущение, что необходимо доказывать свои права на пайку ...

                                                              Комментарий

                                                              Обработка...
                                                              X