5 июня, пятница 12:15
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от saches Посмотреть сообщение
    Лично меня, сейчас, больше напрягает, что бы ИБ не сделали крайним по КИИ.
    В смысле "не сделали крайним"? Вариантов нет, в нормативке прописано, что безопасность КИИ должно обеспечивать подразделение ИБ.

    Или речь об ответственности за возможные нарушения?

    Комментарий


    • Сообщение от malotavr Посмотреть сообщение
      в нормативке прописано
      касается значимых объектов КИИ?

      Комментарий


      • Сообщение от Павлоний Посмотреть сообщение
        ...... А кроме того, все еще есть ощущение, что необходимо доказывать свои права на пайку ...
        Детекторных приемников в шарашке......

        Комментарий


        • Сообщение от malotavr Посмотреть сообщение
          .......Вариантов нет, в нормативке прописано, что безопасность КИИ должно обеспечивать подразделение ИБ. Или речь об ответственности за возможные нарушения?
          В целом, речь именно об этом. Понятно, что пока не будет реальных прецедентов, что-то определенное сказать сложно.
          Но, например, за не обеспечение непрерывности критичного процесса в ситуации, когда ИБ не имеет доступа к железкам/тарелочкам и т.д., кто попадет под раздачу?

          Комментарий


          • Сообщение от saches Посмотреть сообщение
            В целом, речь именно об этом. Понятно, что пока не будет реальных прецедентов, что-то определенное сказать сложно.
            Но, например, за не обеспечение непрерывности критичного процесса в ситуации, когда ИБ не имеет доступа к железкам/тарелочкам и т.д., кто попадет под раздачу?
            Тот, кто нарушит правила, прописанные в локальных нормативных документах организации. Или руководитель организации, если такие правила не будут установлены. А дальше от ситуации зависит

            Комментарий


            • Сообщение от Павлоний Посмотреть сообщение
              касается значимых объектов КИИ?
              Конечно. Для незначимых нормативных требований нет - только обязанность уведомлять об инцидентах.

              Комментарий


              • Сообщение от saches Посмотреть сообщение
                Berckut
                Знаю прецедент, когда ИБ-ешники перевели стрелки на ИТ по принципу, мы ПДн не обрабатываем, поэтому и ответственными за [организацию] обработки быть не можем. Мы типа, почти как юристы, в нормативке только разбираемся и в разных СЗИ. ...Т.е. подход был несколько другой, что ИБ занимается и юридической стороной (вместе с ЮД) и технической, а самой обработкой, кто-то ещё, вот их и нужно назначить ответственными.
                Но, только, это нужно было либо сразу делать, при назначении ответственного в первый раз, либо, как вариант, при достаточно большой смене команды. Стереотипы. всё таки, накладывают определенный отпечаток.
                А в чем именно напряг с назначением? Лично меня, сейчас, больше напрягает, что бы ИБ не сделали крайним по КИИ.
                Делать крайними ИТ не менее идиотское решение, чем вешать это на ИБ. А задачи спихнуть у меня не стоит. Нет, я бы не стал так делать.
                С чем связан напряг? Пока занимаюсь тем, что к ИБ никакого отношения не имеет, меня имеют за то, что не сделано в области ИБ.
                Последний раз редактировалось Berckut; 25.02.2019, 08:06.

                Комментарий


                • Сообщение от Berckut Посмотреть сообщение
                  Кому-то удавалось сбросить со службы ИБ роль ответственного за организацию обработки ПДн? Есть положительный опыт?
                  Вот вижу, что вся работа должна быть разделена на две части: обработка ПДн и защита ПДн. Первая касается юридических и организационных вопросов, вторая техническая. А доказать не получается, что служба ИБ должна отвечать вторую часть и не имеет никакого отношения к первой.
                  Ломать надо как-то эту дебильную систему, когда всех ИБэшников сделали крайними за первую часть и избавиться от этого теперь невозможно. И статистику в пример не приведёшь, потому что у всех такая ситуация с когда-то назначенными крайними.
                  СТО БР:
                  7.10.13. В организации БС РФ должно быть назначено лицо, ответственное за организацию обработки ПДн.
                  7.11.9. Для каждой ИСПДн должен быть назначен работник организации БС РФ, ответственный за обеспечение безопасности персональных данных в ИСПДн.

                  Приказ:
                  1. Назначить ответственным за обработку персональных данных начальника отдела кадров Управления по работе с персоналом ...
                  2. Назначить ответственным за обеспечение безопасности персональных данных начальника Службы информационной безопасности ...

                  Комментарий


                  • Сообщение от tim100 Посмотреть сообщение

                    СТО БР:
                    7.10.13. В организации БС РФ должно быть назначено лицо, ответственное за организацию обработки ПДн.
                    7.11.9. Для каждой ИСПДн должен быть назначен работник организации БС РФ, ответственный за обеспечение безопасности персональных данных в ИСПДн.

                    Приказ:
                    1. Назначить ответственным за обработку персональных данных начальника отдела кадров Управления по работе с персоналом ...
                    2. Назначить ответственным за обеспечение безопасности персональных данных начальника Службы информационной безопасности ...

                    Ответвенный за организацию обработки ПДн назначается один на всю организацию.
                    Это требование 152-ФЗ, а не СТО БР.

                    Комментарий


                    • Сообщение от Berckut Посмотреть сообщение

                      Ответвенный за организацию обработки ПДн назначается один на всю организацию.
                      Это требование 152-ФЗ, а не СТО БР.
                      Вот одного и назначили. А поскольку нужно назначить еще и ответственного за обеспечение безопасности, то не сотрудника ИБ.

                      Комментарий


                      • Сообщение от tim100 Посмотреть сообщение
                        СТО БР:
                        ......
                        7.11.9. Для каждой ИСПДн должен быть назначен работник организации БС РФ, ответственный за обеспечение безопасности персональных данных в ИСПДн.
                        .....
                        Ноги растут из 378 Приказа ФСБ, про который так же имеет смысл не забывать.
                        III Состав и содержание ... для 3 УЗ.
                        ...
                        17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.


                        Комментарий


                        • коллеги, извиняюсь, если вопрос уже поднимался
                          с самозанятых надо брать согласия на обработку ПДн?
                          также не нашел в законе, они обязаны данные о себе в налоговую сообщать, а та, в свою очередь, публиковать на сайте nalog.ru?

                          Комментарий


                          • Сообщение от junglets Посмотреть сообщение
                            .....с самозанятых надо брать согласия на обработку ПДн?.....
                            Универсальная рекомендация - лучше брать, но нужно ли оно реально, зависит от фактического основания/цели обработки ПДн.

                            Комментарий


                            • Сообщение от junglets Посмотреть сообщение
                              с самозанятых надо брать согласия на обработку ПДн?
                              Сообщение от saches Посмотреть сообщение
                              Универсальная рекомендация - лучше брать
                              Согласие - самое плохое основание обработки и ненадежное. Его используют только тогда, когда иных законных оснований совсем нет. Если банк по закону обязан в налоговые органы что-то передавать - это без согласия можно. Если банк по закону обязан идентифицировать представителей/бенефициаров.. клиента и при этом осуществляет обработку данных в рамках 115-ФЗ - никакие согласия тут тоже не требуются.

                              Комментарий


                              • Сообщение от Александр Четвертый Посмотреть сообщение
                                Согласие - самое плохое основание ......
                                Если подходить формально, согласие, это вообще не основание для обработки ПДн.

                                Комментарий


                                • спасибо за ответы

                                  Комментарий


                                  • Коллеги, кто-нибудь внедрял чат боты для клиентов?
                                    Бизнес вдруг ударило в голову сделать сие чудо. Хотят через Whatsapp, Viber, Telegram, Facebook, Вконтакте, Одноклассники и т.п. общаться с клиентом. Причем не только по консультациям по продуктам, но и сообщать ему банковскую тайну - состояние счета например.
                                    Ссылаются на статью п.2 857 ГК РФ и ч. 4 ст. 26 ФЗ, что банковскую тайну можно передавать самому клиенту, если каким-то образом удостоверимся что это он. Например смс-подтверждение.
                                    Но в этом случае канал же будет не защищен. Да и где эта переписка будет храниться, на каких серверах. Вон же были случаи когда ВК по запросу предоставляли всю информацию по человеку. В моем понимании все эти чат боты в соцсетях не могут обеспечить условие конфиденциальности. Или же если Клиент дает согласие на передачу его данных по открытым каналам, в том числе и с сохранением на серверах сторонних организаций, то мы говорим "ОК, ты сам так решил!" ?

                                    Комментарий


                                    • К вопросу о передаче ПДн по электронной почте:
                                      1. сотрудникам часто приходится направлять сканы доверенностей на руководителей Банка по электронной почте. Контрагенты не в силах (не хотят, не умеют) реализовать защищенный обмен с шифрованием СКЗИ. Если получу согласия с руководства на передачу ПДн по электронной почте без применения СКЗИ, можем ли направлять их ПДн в архивах с паролем?
                                      2. Как во внутренних НРД описываете процесс передачи ПДн по электронной почте? У нас сейчас написано общими словами: "использовать для шифрования СКЗИ, или помещать в архивы с паролем".

                                      Комментарий


                                      • Сообщение от df1 Посмотреть сообщение
                                        1. сотрудникам часто приходится направлять сканы доверенностей на руководителей Банка по электронной почте. Контрагенты не в силах (не хотят, не умеют) реализовать защищенный обмен с шифрованием СКЗИ. Если получу согласия с руководства на передачу ПДн по электронной почте без применения СКЗИ, можем ли направлять их ПДн в архивах с паролем?
                                        ну на мой взгляд тут очевидно нарушение подпункта 3 п. 1 статьи 19 152-ФЗ. Архив с паролем не является "прошедшим в установленном порядке процедуру оценки соответствия средством защиты информации".

                                        Сообщение от df1 Посмотреть сообщение
                                        2. Как во внутренних НРД описываете процесс передачи ПДн по электронной почте? У нас сейчас написано общими словами: "использовать для шифрования СКЗИ, или помещать в архивы с паролем".
                                        во внутрянках это обычно не прописываем, есть правда в политике СКЗИ форма типового соглашения об информационном обмене, но как правило, между сторонами обмена заключается договор или соглашение, в котором есть регламент обмена информации, в котором прописываются требования к СКЗИ (если у нас ПДн, то опять же должны быть упомянуты условия статьи 19 152-ФЗ)

                                        Комментарий


                                        • Если на сайте Банка (есть ssl) размещена форма заявки на кредит с кучей персональных данных, но после заполнения данные этой формы отправляются через ssmtp в почту менеджеру для ручной обработки, то является ли сайт ИСПНД, и нужно ли в отношении сервера, на котором крутится сайт применять меры 21 приказа ФСТЭК?

                                          Комментарий


                                          • Galivut
                                            Ес-но, сайт является частью некой ИСПДн, но какой именно, в настоящий момент, уже никого не интересует, важен сам факт наличия ПДн. Если ПДн передаются по открытым каналам данных (например, через и-нет) или переносятся на съемном магнитном носителе вне контролируемой зоны, они должны быть защищены ГОСТовым шифрованием по 378 Приказу ФСБ, что проверяет только сама контора. Всех остальных (возможно, кроме ЦБ) устроит если данные хоть как-то шифруются.
                                            Последний раз редактировалось saches; 07.05.2019, 18:23.

                                            Комментарий


                                            • Методические рекомендации Банка России от 26 апреля 2019 г. N 12-МР "По личному и дистанционному обслуживанию людей с инвалидностью и иных маломобильных групп населения в кредитных организациях и некредитных финансовых организациях"

                                              Пункт 1.24 Разработать меры по защите персональных данных и сохранности денежных средств, размещенных в финансовой организации клиентами из числа ЛСИ и МГН, учитывая повышенный риск мошенничества с их счетами.


                                              Кто-нибудь уже занимался этим вопросом? Какие особенности защиты ПДн людей с инвалидностью?

                                              Комментарий


                                              • Сообщение от IBshnik Посмотреть сообщение
                                                Методические рекомендации Банка России от 26 апреля 2019 г. N 12-МР "По личному и дистанционному обслуживанию людей с инвалидностью и иных маломобильных групп населения в кредитных организациях и некредитных финансовых организациях"

                                                Пункт 1.24 Разработать меры по защите персональных данных и сохранности денежных средств, размещенных в финансовой организации клиентами из числа ЛСИ и МГН, учитывая повышенный риск мошенничества с их счетами.


                                                Кто-нибудь уже занимался этим вопросом? Какие особенности защиты ПДн людей с инвалидностью?
                                                Думаю, что сведения о здоровье попадают под специальную категорию ПДн.

                                                Комментарий


                                                • Сообщение от ivanov_nv Посмотреть сообщение
                                                  Думаю, что сведения о здоровье попадают под специальную категорию ПДн.
                                                  Речь не идет о том, что для этих клиентов, банк должен хранить информацию об их состоянии здоровья, вероисповедании, сексуальной ориентации и т.д. Тут прокатывает стандартный подход, что принадлежность к "маломобильной группе населения" без диагноза, является социальным статусом, не являющимся спец категорией ПДн.

                                                  Комментарий


                                                  • Странная рекомендация про эти ПДн.
                                                    Зачем вообще фиксировать где-то в базах, что клиент принадлежит к ЛСИ и МГН. А если он просто клиент то и персональные данные и информацию о счетах защищать будем также как и по остальным клиентам. Не строить же для ЛСИ и МГН отдельную ИСПДн с повышенными мерами защиты.

                                                    Комментарий


                                                    • Коллеги, подскажите пожалуйста.
                                                      Вот Банк. Меньше 300 работников.
                                                      На охрану заключен договор с ЧОП (меньше 10 сотрудников). Работаем с ними с самых истоков Банка, все охранники знают всех сотрудников в лицо.
                                                      На входе в Банк пикаем пропуском и дверь открывается. Далее проходим мимо охранников, берем ключ от кабинета, расписываемся в журнале что взяли, охранник расписывается что выдал. У охранников на всякий случай есть табличка (на компьютере и на бумаге) с ФИО и должностями всех сотрудников. Паспортные данные нигде не фигурируют. Если принимается новый сотрудник, то СБ представляет его охране и он становится известным в лицо.
                                                      Вопросы по ПДн:
                                                      - обрабатывают ли сотрудники ЧОП персональные данные работников Банка?
                                                      - нужно ли взять согласие со всех сотрудников, что обработка их ФИО и должности поручается 3-му лицу (ЧОПу)?
                                                      - нужно ли заключать договор на поручение обработки ПДн между Банком и ЧОПом?
                                                      - из выполнения всех этих пунктов в итоге вытечет что ЧОПу нужно будет подавать уведомление как оператору ПДн в Роскомнадзор, определять ответственное лицо, разрабатывать модель угроз, выполнять меры по обеспечению защиты ПДн, что ЧОПу конечно же совсем неинтересно?
                                                      - если будем придерживаться позиции что ЧОП не обрабатывает ПДн сотрудников Банка, то как обосновать то что они знают кому можно выдавать ключи а кому нет, и что знают что мимо них прошел не посторонний и ему не надо руки скрутить?

                                                      Комментарий


                                                      • Сообщение от Galivut Посмотреть сообщение
                                                        - нужно ли взять согласие со всех сотрудников, что обработка их ФИО и должности поручается 3-му лицу (ЧОПу)?
                                                        - нужно ли заключать договор на поручение обработки ПДн между Банком и ЧОПом?
                                                        Я бы не ходил по пути "поручения обработки". Сделайте так, что работникам ЧОП предоставляется доступ к ПДн работников, обработку при этом осуществляет сам банк и никому ничего не поручает.
                                                        Согласие работников на обработку банком их ПДн, в т.ч. на передачу и предоставление доступа к их ПДн лучше брать при приеме на работу.

                                                        Комментарий


                                                        • Коллеги, а у вас есть на сайтах формы заявки на кредит? Вы как-то запрашиваете согласие субъекта на запрос его кредитной истории через БКИ. После изменений в 218-ФЗ согласие должно быть или на бумаге, или подписано УКЭП или ПЭП (но при предъявлении паспорта, то есть идентификации клиента). п. 9. ст. 6 ФЗ-218 "О кредитных историях"
                                                          На данный момент получается затык с новыми клиентами. Мы их не знаем, договоров с ними нет, они не идентифицированы.
                                                          И тут схлестнулись кредитчики и юристы. Понятное дело, что кредитчикам надо планы выполнять, они ссылаются на то, что другие же Банки до сих пор работают через получение согласия на сайте. Юристы ссылаются на новую редакцию закона и говорят, что так делать нельзя. А мы тут получается сейчас между ними и все стрелки к нам.

                                                          Комментарий


                                                          • Сообщение от Sat_Kelman Посмотреть сообщение
                                                            Коллеги, а у вас есть на сайтах формы заявки на кредит? Вы как-то запрашиваете согласие субъекта на запрос его кредитной истории через БКИ. После изменений в 218-ФЗ согласие должно быть или на бумаге, или подписано УКЭП или ПЭП (но при предъявлении паспорта, то есть идентификации клиента). п. 9. ст. 6 ФЗ-218 "О кредитных историях"
                                                            На данный момент получается затык с новыми клиентами. Мы их не знаем, договоров с ними нет, они не идентифицированы.
                                                            И тут схлестнулись кредитчики и юристы. Понятное дело, что кредитчикам надо планы выполнять, они ссылаются на то, что другие же Банки до сих пор работают через получение согласия на сайте. Юристы ссылаются на новую редакцию закона и говорят, что так делать нельзя. А мы тут получается сейчас между ними и все стрелки к нам.
                                                            У нас было тоже самое. Бизнес с юристами и ИБ спорил по поводу (другие же банки берут, а мы что?) И одно из БКИ запросило у нас пол сотни согласий, по новому закону, Естественно мы их не предоставили и нас они отключили от БКИ.
                                                            Сразу бизнес умерил пыл и согласился с доводами юристов и ИБ.

                                                            Комментарий


                                                            • Сообщение от Sat_Kelman Посмотреть сообщение
                                                              Коллеги, а у вас есть на сайтах формы заявки на кредит? Вы как-то запрашиваете согласие субъекта на запрос его кредитной истории через БКИ. После изменений в 218-ФЗ согласие должно быть или на бумаге, или подписано УКЭП или ПЭП (но при предъявлении паспорта, то есть идентификации клиента). п. 9. ст. 6 ФЗ-218 "О кредитных историях"
                                                              На данный момент получается затык с новыми клиентами. Мы их не знаем, договоров с ними нет, они не идентифицированы.
                                                              И тут схлестнулись кредитчики и юристы. Понятное дело, что кредитчикам надо планы выполнять, они ссылаются на то, что другие же Банки до сих пор работают через получение согласия на сайте. Юристы ссылаются на новую редакцию закона и говорят, что так делать нельзя. А мы тут получается сейчас между ними и все стрелки к нам.
                                                              У нас по-другому процесс организован. По заявке на сайте осуществляется только звонок. Непосредственно проверка БКИ проходит после визита клиента в банк и его письменного согласия.

                                                              Комментарий

                                                              Обработка...
                                                              X