1 апреля, среда 08:08
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • И еще вдогонку вопрос. Вы свою часть инфраструктуры работы с ЕБС выделяете в отдельную ИСПДн?

    Комментарий


    • Сообщение от Данко Посмотреть сообщение
      И еще вдогонку вопрос. Вы свою часть инфраструктуры работы с ЕБС выделяете в отдельную ИСПДн?
      Да

      Комментарий


      • Сообщение от Cpx Посмотреть сообщение
        Клиенты операторов связи не дают такое согласие, в банках тем более.
        Выше там было сообщение про текст согласия. Т.е. клиент даёт согласие МТС, получает такое согласие банк в процессе оценки заёмщика.

        Сообщение от Данко Посмотреть сообщение
        Коллеги, подскажите, а на каждую ИСПДн нужно свою модель угроз?
        Это по желанию. Нужно что-то упростить делаете отдельную иначе используете какую-то типовую.

        Сообщение от Данко Посмотреть сообщение
        Вы свою часть инфраструктуры работы с ЕБС выделяете в отдельную ИСПДн?
        Да.

        Комментарий


        • Спасибо за ответы! Нашел тут еще один ресурс, про который Лукацкий как-то писал, позволяющий онлайн сделать модель угроз - www.threat-model.com. А у кого-то есть может быть эксель файлик с формулами, который позволяет эти же вычисления делать локально?

          Комментарий


          • Коллеги, объясните почему не применяется сертифицированное СКЗИ, когда к примеру на сайтах банков клиент заполняет анкеты содержащие его ПДн. 1. Во-первых смотрю в методические рекомендации утв. ФСБ России 31 марта 2015 г. N 149/7/2/6-432: К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся: - передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования); Вывод: Т.е. мы должны применять СКЗИ, когда Клиент через браузер заполняет анкету на нашем сайте. Можно сказать, что данные передаются по шифрованному каналу https/tls, т.е это не сеть общего пользования и требование применять СКЗИ отпадает? 2. Далее смотрим в требования п.58 382-П Банк обеспечивает защиту ПДн в соответствии с приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378. Чтобы применять приказ нужно определить уровень защищенности ИСПДн. Ок, у нас появляется ИСПДн- Сайт Банка, актуальны угрозы 3 типа, уровень защищенности 3. Смотрю в 378 приказе: 3.Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 3 уровня защищенности 18. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо меры, предусмотренной подпунктом "в" пункта 9 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе: СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа; СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа. Собственно сам: пункт 5 и подпункт г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Т.е. для нейтрализации угроз я при обработке в этой ИСПДн использую сертифицированное СКЗИ класса КС1?

            Комментарий


            • df1
              1. А вы готовы всех клиентов банков заставить установить на их ПК/планшеты/телефоны российские СКЗИ и настроить браузеры, что бы они нормально работали с ГОСТовым https? Вот и регуляторы не готовы...
              2. Похоже, что нормативка вам дается с трудом...

              Комментарий


              • saches 1.Забить на требования? 2. Похоже, что так.

                Комментарий


                • Сообщение от df1 Посмотреть сообщение
                  ...Забить на требования? ....
                  Вот вы сами и ответили...

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    Вот и регуляторы не готовы...
                    Ммм, почему они не готовы? Или вы про то, что сами регуляторы, тоже не используют на своих сайтах сертифицированное СКЗИ?
                    Вообще 100% ЮЛ сдают отчётность, там уже есть TLS c алгоритмами по ГОСТ, так что всё это будет очень скоро, хотя распоряжение Правительства не говоря уже об указе Президента уже есть по этой теме очень давно.

                    Комментарий


                    • Сообщение от df1 Посмотреть сообщение
                      Т.е. мы должны применять СКЗИ, когда Клиент через браузер заполняет анкету на нашем сайте.
                      Вы должны начинать с 3889-У, там нет ничего про актуальность угрозы про каналы связи из методички ФСБ (хотя есть очень близкая формулировка, но при наличии TLS она не актуальна, хотя как читать). Или вы не банк?
                      Сообщение от df1 Посмотреть сообщение
                      . Можно сказать, что данные передаются по шифрованному каналу https/tls, т.е это не сеть общего пользования и требование применять СКЗИ отпадает?
                      Можно сказать, что они обезличены (весьма условно). Но как только вы скажите, что они зашифрованы вам нужно будет выполнять 378 приказ ФСБ.

                      КМК, использовать СКЗИ для обеспечения конфиденциальности просто необходимо, другое дело, что именно сертифицированное СКЗИ это вопрос открытый, много тут условий.

                      Комментарий


                      • Сообщение от Zuz Посмотреть сообщение
                        ....Вообще 100% ЮЛ сдают отчётность, там уже есть TLS c алгоритмами по ГОСТ, ..........., хотя распоряжение Правительства не говоря уже об указе Президента уже есть по этой теме очень давно.
                        А вы считаете, что этого достаточно, что бы у всех владельцев ПК/планшетов и телефонов заработал ГОСТовый https на их устройствах?

                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          А вы считаете, что этого достаточно, что бы у всех владельцев ПК/планшетов и телефонов заработал ГОСТовый https на их устройствах?
                          Я ведь не сказал, что так считаю? ))) Но почему-то при сдаче отёчности особых проблем с СКЗИ проблем не возникает, а вот в других сценариях сразу беда, беда.
                          КМК, не сложно сделать отдельную часть web-сайта, где ведётся обработка ПДн, и защитить её с помощью TLS с ГОСТ на борту.
                          Да, это значительно затруднит работу клиента (снизит конверсию переходов при заполнении анкет, если говорить про конкретный кейс выше), но скачать Яндекс.Браузер + Крпито-Про CSP (бесплатен для работы с TLS с алгоритмами ГОСТ) проблем нет, всё работает из коробки, ничего настраивать не нужно (т.е. для ПК эта проблема весьма надуманная).
                          Для планшета / смартфона СКЗИ появились решения, есть сложности, но это вопрос времени. Люди уже привыкли устанавливать приложение для всего, если это всё будет просто и понятно, я не вижу особых проблем,тем более, если это будет внутри банковского приложения по типу как это работает с ЕБС.

                          Вопрос в том, что требования требованиями, а бизнес может требовать иных условий и тут не вижу проблем сделать как все делают сейчас. Но требование в итоге выполнять придётся. (

                          Комментарий


                          • Сообщение от Zuz Посмотреть сообщение
                            ...... Но почему-то при сдаче отёчности особых проблем с СКЗИ проблем не возникает, а вот в других сценариях сразу беда, беда... (
                            У меня например, с установленным на ПК КриптоПРО, с ЦБшным финцертом нормально работает только Спутник. Эдж периодически падает, Хром, вообще страницу не открывает. IEне проверял. Я с настройками и не заморачивался, но т.к со Спутником проблем не возникает, и "хрен с ним", что называется..
                            А теперь представьте, например, что все туристические агентства, продавцы билетов и прочие подобные конторы начнут работать по ГОСТовому https-у. Много обычных пользователей смогут смогут нормально законектиться и что-то заказать?

                            Комментарий


                            • Сообщение от saches Посмотреть сообщение
                              У меня например, с установленным на ПК КриптоПРО, с ЦБшным финцертом нормально работает только Спутник.
                              У ЦБ там какая-то защита установлена или чиперсьюты хитрые какие-то: nmap --script ssl-enum-ciphers -p 443 lk.fincert.cbr.ru в ответ даёт пустоту (сейчас в моменте нет времени разбираться).
                              Кстати, после установки КрпитоПро этот сайт сразу работает в IE и даже Edge.
                              Chrome (и прочие на движке Chromium) не работают, есть Яндекс.Браузер, Спутник и Chromium-gost, FF тоже мимо.
                              Сообщение от saches Посмотреть сообщение
                              А теперь представьте, например, что все туристические агентства, продавцы билетов и прочие подобные конторы начнут работать по ГОСТовому https-у. Много обычных пользователей смогут смогут нормально законектиться и что-то заказать?
                              Я не погружался в тему, но штуки типа КриптоПро NGate, думаю, могут сразу TLS по ГОСТ и если его нет, то откат на обычный режим. Т.е. можно реализовать смешанный, переходный сценарий (вы тем самым регуляторный риск несколько снизите, покажите, что технологию реализовали, но вот есть сложности у клиентов, приходится поддерживать и альтернативный вариант).
                              И выше был вариант, когда вы обосабливаите на отдельном домене TLS с ГОСТ и переадресуете туда, когда есть поддержка на клиентской стороне, нет поддержки предупреждаете о рисках, даёте инструкции по настройке и установке, но разрешаете и без всего этого работу.
                              Тут вопрос рисков же, считаете регуляторный риск высоким начинаете движение, не считаете, живёте с TLS без поддержки ГОСТ.

                              Комментарий


                              • Сообщение от Zuz Посмотреть сообщение
                                Я не погружался в тему, но штуки типа КриптоПро NGate, думаю, могут сразу TLS по ГОСТ и.....
                                И выше был вариант........
                                А за чьи деньги банкет предлагается реализовать? Не иначе как налогоплательщиков? Или регуляторы за всех раскошелятся?

                                Комментарий


                                • Сообщение от saches Посмотреть сообщение
                                  А за чьи деньги банкет предлагается реализовать?
                                  Дык, реализуют уже давно, браузеры появились, условно бесплатные СКЗИ тоже, не сами же по себе. ))) И понятно, что все затраты всегда ложатся на потребителя услуг. Хотя, вариант выноса на отдельный домен не требует особых затрат (ну, СКЗИ вам придётся купить для реализации TLS).
                                  Меня, честно говоря, удивляет отношение к этому вопросу большинства банков: раньше ДБО шифровало канал связи (толстый клиент) с помощью алгоритмов ГОСТ, сейчас все повально перешли на клиент на основе браузера и там, вдруг, не надо стало выполнять это требование. )))
                                  А вопрос распространения браузеров в составе, которого СКЗИ в нарушение требований законодательства вообще никого похоже не волнует.
                                  Кстати, ФСБ ещё и учёт используемых СКЗИ должно осуществлять: всё по учётным номерам, в т.ч. и физикам. )))

                                  Комментарий


                                  • Сообщение от Zuz Посмотреть сообщение
                                    Меня, честно говоря, удивляет отношение к этому вопросу большинства банков: раньше ДБО шифровало канал связи (толстый клиент) с помощью алгоритмов ГОСТ, сейчас все повально перешли на клиент на основе браузера и там, вдруг, не надо стало выполнять это требование. ))) А вопрос распространения браузеров в составе, которого СКЗИ в нарушение требований законодательства вообще никого похоже не волнует. Кстати, ФСБ ещё и учёт используемых СКЗИ должно осуществлять: всё по учётным номерам, в т.ч. и физикам. )))
                                    Дебильных требований полно, может порежут в рамках "гильотины".
                                    Наблюдаем за Госуслугами, как только там перейдут на православное шифрование и учёт используемых СКЗИ, так мы сразу и подтянемся...

                                    Комментарий


                                    • Раньше видел ответ на вопрос Может ли проверка ЦБ запрашивать видео с клиентами, которые обслуживались в кассе за определенный период?
                                      Прошу дать ответ или ссылку, где обсуждалось.

                                      Комментарий


                                      • Сообщение от b_alex_g Посмотреть сообщение
                                        Раньше видел ответ на вопрос Может ли проверка ЦБ запрашивать видео с клиентами, которые обслуживались в кассе за определенный период?
                                        Прошу дать ответ или ссылку, где обсуждалось.
                                        Мне известен такой случай в одном из банков. Запросили видео и оно было предоставлено. Проверяющие посмотрели видео, выписали пачку нарушений по работе в кассе. Больше ни в этом банке, ни в соседних, видеонаблюдение работы кассиров не ведётся

                                        На самом деле они всё могут и вы обязаны это исполнять. Потом можете писать свои претензии, но во время проверки получите как минимум предпреждение, что противодействуете проверке.

                                        Комментарий


                                        • На счет обязаны вести видеонаблюдение - этого вроде бы нет. Поднимали как-то нормативку - для какого-то контроля можно вести видеонаблюдение, но это не единственный возможный способ. Т.е. запросить то ЦБ может, но если вы не ведете виденаблюдение - то и предоставить ничего не сможете.

                                          Комментарий


                                          • Сообщение от Berckut Посмотреть сообщение
                                            На самом деле они всё могут и вы обязаны это исполнять.
                                            Именно так. В самом суровом варианте заставят записать ещё на диск и передать по описи.
                                            Из практики у нас запрашивали выборочно видео с бакноматов (проверяли как ведётся регистрация работы при обслуживании), с ЕБС (кабинеты, где осуществляется сбор, проверяли рекомендации писем ЦБ в части заблаговременной подготовки АРМ к работе), с АРМ КБР / СПФС (проверяли кто реально подходил к компам и какие данные регистрировались в это время в журналах, смену паролей, кто проводил), кассы не запрашивали, не было темы такой в проверке.

                                            Комментарий


                                            • Коллеги, а является ли адрес электронки персональными данными?
                                              Если я отправлю открытку с поздравлением и в поле получателя укажу несколько адресатов, только email, без ФИО и прочих атрибутов.
                                              Будет ли это незаконное распространение ПДн?
                                              Ну типа каждый получатель кроме себя в получателях увидит пару сотню других email адресов и поймет, что эта пара сотня получателей тоже видят его адрес.

                                              На нас кто-то в РКН телегу накатал и РКН прислали запрос. Мы нашли клиентщика, который отправлял на 2000 адресов банер с рекламой, но никаких ФИО нигде не фигурирует. Мы возразили РКН, что адреса обезличины и не могут косвенной или явно из рассылки определить субъекта. РКН сказали, что у них другая точка зрение, и что email это ПДн. Даже если он написан на стене.

                                              Комментарий


                                              • Сообщение от ndebyshe Посмотреть сообщение
                                                РКН сказали, что у них другая точка зрение, и что email это ПДн
                                                Безусловно, ПДн.
                                                Вопрос только чей. По 152-ФЗ: персональные данные - информация, относящаяся к определенному или определяемому физическому лицу.
                                                И как они это лицо по e-mail'у определят?

                                                Комментарий


                                                • Сообщение от dredd Посмотреть сообщение

                                                  Безусловно, ПДн.
                                                  Вопрос только чей. По 152-ФЗ: персональные данные - информация, относящаяся к определенному или определяемому физическому лицу.
                                                  И как они это лицо по e-mail'у определят?
                                                  Я о том же. Сам по себе email ничего не определяет. Он только в совокупности с другими данными может быть ПДн, а может и не быть.

                                                  Комментарий


                                                  • Сообщение от ndebyshe Посмотреть сообщение
                                                    Коллеги, а является ли адрес электронки персональными данными?
                                                    Если я отправлю открытку с поздравлением и в поле получателя укажу несколько адресатов, только email, без ФИО и прочих атрибутов.
                                                    Будет ли это незаконное распространение ПДн?
                                                    Ну типа каждый получатель кроме себя в получателях увидит пару сотню других email адресов и поймет, что эта пара сотня получателей тоже видят его адрес.

                                                    На нас кто-то в РКН телегу накатал и РКН прислали запрос. Мы нашли клиентщика, который отправлял на 2000 адресов банер с рекламой, но никаких ФИО нигде не фигурирует. Мы возразили РКН, что адреса обезличины и не могут косвенной или явно из рассылки определить субъекта. РКН сказали, что у них другая точка зрение, и что email это ПДн. Даже если он написан на стене.
                                                    Фактически, по "духу закона", это реальный залет и рекламщик вас вполне конкретно подставил.
                                                    Кстати, его должность/ФИО присутствует в перечне лиц, обрабатывающих ПДн? Если да, и имеется его роспись под инструктажами (вводным и ежегодными), то возможно имеет смысл что-нибудь ему предъявить (хотя бы, внеочередной инструктаж и взять объяснительную на имя пред права или курирующего зам преда).
                                                    Человек, который написал телегу в РКН сделал это абсолютно правильно, хоть это и не приятно.
                                                    E-mail, это, конечно, ПДн, как и просто ФИО, которые в некоторых случаях можно считать обезличенными.

                                                    Навскидку, кроме как, попытаться продвигать идею, что это обезличенные ПДн, ничего предложить не могу.
                                                    Имеет смысл внимательно посмотреть на запрос и ответы РКН и на текст заявления физика (если есть такая возможность) насколько они грамотно составлены.

                                                    Комментарий


                                                    • Сообщение от saches Посмотреть сообщение
                                                      Навскидку, кроме как, попытаться продвигать идею, что это обезличенные ПДн, ничего предложить не могу.
                                                      Нельзя - нарветесь на штраф. У банка нет законных целей обезличивать ПДн, только в рамках архивного хранения.
                                                      Сообщение от ndebyshe Посмотреть сообщение
                                                      Я о том же. Сам по себе email ничего не определяет. Он только в совокупности с другими данными может быть ПДн, а может и не быть.
                                                      С чего Вы берете это "ничего не определяет", как оно соотноситься с определением Пдн? емейл может относиться к определяемому лицу и точка, значит Пдн.
                                                      Сообщение от dredd Посмотреть сообщение
                                                      Безусловно, ПДн. Вопрос только чей. По 152-ФЗ: персональные данные - информация, относящаяся к определенному или определяемому физическому лицу. И как они это лицо по e-mail'у определят?
                                                      Старнная логика у Вас не привязана к ФЗ.
                                                      Вы согласны с тем, что это ПДн, но потом зачем-то придумали не понятную легенду: чьи, кто, как , зачем. Это все для каких целей?


                                                      Комментарий


                                                      • Сообщение от Cpx Посмотреть сообщение
                                                        Старнная логика у Вас не привязана к ФЗ
                                                        Нормальная логика - не могут существовать ПДн в отрыве от субъекта. Нет субъекта - нет ПДн. И это даже не логика, а строго по 152-ФЗ.
                                                        Другой вопрос что, сколь это не очевидно, РКН'у хрен это докажешь
                                                        А тема эта, кстати, не раз уже поднималась: https://habr.com/ru/company/it-lex/blog/337354/

                                                        Комментарий


                                                        • На сайте РКН еще обнаружил вот это (вполне можно использовать в борьбе):

                                                          Вопрос: Является ли обработкой персональных данных, осуществление телефонных звонков с целью проведения телефонных опросов граждан?

                                                          Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных ит.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого-либо конкретного субъекта персональных данных.

                                                          Комментарий


                                                          • Сообщение от Cpx Посмотреть сообщение
                                                            Нельзя - нарветесь на штраф. У банка нет законных целей обезличивать ПДн, только в рамках архивного хранения.....
                                                            Ну это вы загнули...)) :
                                                            1. В соответствии с 152-ФЗ - п.7, ст.5 -
                                                            Хранение персональных данных должно осуществляться ........., не дольше, чем этого требуют цели обработки персональных данных,..........
                                                            Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки........


                                                            т.е. это не архивное хранение.

                                                            1. В соответствии с п.9), ст.6, того же документа -
                                                            обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных

                                                            Т.е. обезличивание никем и никак не запрещается, а даже рекомендуется, как одна из "мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ"
                                                            Это, в соответствии с ПП-211 (хотя, и для гос структур).
                                                            Архивное хранение, это вообще передача вполне определенных документов 3-му лицу в соответствии с действующими нормами архивного хранения.
                                                            А временная разгрузка помещений от бумажных документов, с целью освобождения места, это никакое не архивное хранение...
                                                            Последний раз редактировалось saches; 27.12.2019, 14:45.

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              т.е. это не архивное хранение.
                                                              а что это? Когда обработка закончилась? Вы как себе представляете договора ипр документы сразу удалять? 5 лет хранить для бухгалтерии, 3 года для суда, 65 лет для трудовой - это называется "архивное хранение". Это по бумаге, а что делать с электронными версиями - удалить или обезличить, цели все теже.
                                                              да. под архивном имел немного другое, тут вы правы.
                                                              Сообщение от saches Посмотреть сообщение
                                                              обезличивание никем и никак не запрещается, а даже рекомендуется, как одна из "мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ"
                                                              Удачи, Вы это РКН скажите, у Вас нет оснований на это. Основания есть только о гос органов.

                                                              Комментарий

                                                              Обработка...
                                                              X