16 июля, четверг 03:11
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ndebyshe
    Участник ответил
    Будем доказывать в суде. Есть несколько статей, где глава РКН Жаров объясняет, что фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных

    Поскольку в законе сказано - ПДн это любая информация ОТНОСЯЩАЯСЯ к субъекту физику, будем доказывать что ОТНОШЕНИЕ это связь, а какая связь у выдранного из контекста адреса или любого другого атрибута если она не определяет это субъект.

    Вот имя "Саша" это же не ПДн, а САША ИВАНОВ ИВАНОВИЧ - это ПДн.
    Адрес zhopa@mail.ru это же не ПДн - а есди эта ОПА в связке с Сашей Ивановым это ПДд.

    Ключевое слово ОТНОШЕНИЕ.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    т.е. это не архивное хранение.
    а что это? Когда обработка закончилась? Вы как себе представляете договора ипр документы сразу удалять? 5 лет хранить для бухгалтерии, 3 года для суда, 65 лет для трудовой - это называется "архивное хранение". Это по бумаге, а что делать с электронными версиями - удалить или обезличить, цели все теже.
    да. под архивном имел немного другое, тут вы правы.
    Сообщение от saches Посмотреть сообщение
    обезличивание никем и никак не запрещается, а даже рекомендуется, как одна из "мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ"
    Удачи, Вы это РКН скажите, у Вас нет оснований на это. Основания есть только о гос органов.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Нельзя - нарветесь на штраф. У банка нет законных целей обезличивать ПДн, только в рамках архивного хранения.....
    Ну это вы загнули...)) :
    1. В соответствии с 152-ФЗ - п.7, ст.5 -
    Хранение персональных данных должно осуществляться ........., не дольше, чем этого требуют цели обработки персональных данных,..........
    Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки........


    т.е. это не архивное хранение.

    1. В соответствии с п.9), ст.6, того же документа -
    обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных

    Т.е. обезличивание никем и никак не запрещается, а даже рекомендуется, как одна из "мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ"
    Это, в соответствии с ПП-211 (хотя, и для гос структур).
    Архивное хранение, это вообще передача вполне определенных документов 3-му лицу в соответствии с действующими нормами архивного хранения.
    А временная разгрузка помещений от бумажных документов, с целью освобождения места, это никакое не архивное хранение...
    Последний раз редактировалось saches; 27.12.2019, 14:45.

    Прокомментировать:


  • dredd
    Участник ответил
    На сайте РКН еще обнаружил вот это (вполне можно использовать в борьбе):

    Вопрос: Является ли обработкой персональных данных, осуществление телефонных звонков с целью проведения телефонных опросов граждан?

    Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных ит.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого-либо конкретного субъекта персональных данных.

    Прокомментировать:


  • dredd
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Старнная логика у Вас не привязана к ФЗ
    Нормальная логика - не могут существовать ПДн в отрыве от субъекта. Нет субъекта - нет ПДн. И это даже не логика, а строго по 152-ФЗ.
    Другой вопрос что, сколь это не очевидно, РКН'у хрен это докажешь
    А тема эта, кстати, не раз уже поднималась: https://habr.com/ru/company/it-lex/blog/337354/

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Навскидку, кроме как, попытаться продвигать идею, что это обезличенные ПДн, ничего предложить не могу.
    Нельзя - нарветесь на штраф. У банка нет законных целей обезличивать ПДн, только в рамках архивного хранения.
    Сообщение от ndebyshe Посмотреть сообщение
    Я о том же. Сам по себе email ничего не определяет. Он только в совокупности с другими данными может быть ПДн, а может и не быть.
    С чего Вы берете это "ничего не определяет", как оно соотноситься с определением Пдн? емейл может относиться к определяемому лицу и точка, значит Пдн.
    Сообщение от dredd Посмотреть сообщение
    Безусловно, ПДн. Вопрос только чей. По 152-ФЗ: персональные данные - информация, относящаяся к определенному или определяемому физическому лицу. И как они это лицо по e-mail'у определят?
    Старнная логика у Вас не привязана к ФЗ.
    Вы согласны с тем, что это ПДн, но потом зачем-то придумали не понятную легенду: чьи, кто, как , зачем. Это все для каких целей?


    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Коллеги, а является ли адрес электронки персональными данными?
    Если я отправлю открытку с поздравлением и в поле получателя укажу несколько адресатов, только email, без ФИО и прочих атрибутов.
    Будет ли это незаконное распространение ПДн?
    Ну типа каждый получатель кроме себя в получателях увидит пару сотню других email адресов и поймет, что эта пара сотня получателей тоже видят его адрес.

    На нас кто-то в РКН телегу накатал и РКН прислали запрос. Мы нашли клиентщика, который отправлял на 2000 адресов банер с рекламой, но никаких ФИО нигде не фигурирует. Мы возразили РКН, что адреса обезличины и не могут косвенной или явно из рассылки определить субъекта. РКН сказали, что у них другая точка зрение, и что email это ПДн. Даже если он написан на стене.
    Фактически, по "духу закона", это реальный залет и рекламщик вас вполне конкретно подставил.
    Кстати, его должность/ФИО присутствует в перечне лиц, обрабатывающих ПДн? Если да, и имеется его роспись под инструктажами (вводным и ежегодными), то возможно имеет смысл что-нибудь ему предъявить (хотя бы, внеочередной инструктаж и взять объяснительную на имя пред права или курирующего зам преда).
    Человек, который написал телегу в РКН сделал это абсолютно правильно, хоть это и не приятно.
    E-mail, это, конечно, ПДн, как и просто ФИО, которые в некоторых случаях можно считать обезличенными.

    Навскидку, кроме как, попытаться продвигать идею, что это обезличенные ПДн, ничего предложить не могу.
    Имеет смысл внимательно посмотреть на запрос и ответы РКН и на текст заявления физика (если есть такая возможность) насколько они грамотно составлены.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от dredd Посмотреть сообщение

    Безусловно, ПДн.
    Вопрос только чей. По 152-ФЗ: персональные данные - информация, относящаяся к определенному или определяемому физическому лицу.
    И как они это лицо по e-mail'у определят?
    Я о том же. Сам по себе email ничего не определяет. Он только в совокупности с другими данными может быть ПДн, а может и не быть.

    Прокомментировать:


  • dredd
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    РКН сказали, что у них другая точка зрение, и что email это ПДн
    Безусловно, ПДн.
    Вопрос только чей. По 152-ФЗ: персональные данные - информация, относящаяся к определенному или определяемому физическому лицу.
    И как они это лицо по e-mail'у определят?

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Коллеги, а является ли адрес электронки персональными данными?
    Если я отправлю открытку с поздравлением и в поле получателя укажу несколько адресатов, только email, без ФИО и прочих атрибутов.
    Будет ли это незаконное распространение ПДн?
    Ну типа каждый получатель кроме себя в получателях увидит пару сотню других email адресов и поймет, что эта пара сотня получателей тоже видят его адрес.

    На нас кто-то в РКН телегу накатал и РКН прислали запрос. Мы нашли клиентщика, который отправлял на 2000 адресов банер с рекламой, но никаких ФИО нигде не фигурирует. Мы возразили РКН, что адреса обезличины и не могут косвенной или явно из рассылки определить субъекта. РКН сказали, что у них другая точка зрение, и что email это ПДн. Даже если он написан на стене.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    На самом деле они всё могут и вы обязаны это исполнять.
    Именно так. В самом суровом варианте заставят записать ещё на диск и передать по описи.
    Из практики у нас запрашивали выборочно видео с бакноматов (проверяли как ведётся регистрация работы при обслуживании), с ЕБС (кабинеты, где осуществляется сбор, проверяли рекомендации писем ЦБ в части заблаговременной подготовки АРМ к работе), с АРМ КБР / СПФС (проверяли кто реально подходил к компам и какие данные регистрировались в это время в журналах, смену паролей, кто проводил), кассы не запрашивали, не было темы такой в проверке.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    На счет обязаны вести видеонаблюдение - этого вроде бы нет. Поднимали как-то нормативку - для какого-то контроля можно вести видеонаблюдение, но это не единственный возможный способ. Т.е. запросить то ЦБ может, но если вы не ведете виденаблюдение - то и предоставить ничего не сможете.

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от b_alex_g Посмотреть сообщение
    Раньше видел ответ на вопрос Может ли проверка ЦБ запрашивать видео с клиентами, которые обслуживались в кассе за определенный период?
    Прошу дать ответ или ссылку, где обсуждалось.
    Мне известен такой случай в одном из банков. Запросили видео и оно было предоставлено. Проверяющие посмотрели видео, выписали пачку нарушений по работе в кассе. Больше ни в этом банке, ни в соседних, видеонаблюдение работы кассиров не ведётся

    На самом деле они всё могут и вы обязаны это исполнять. Потом можете писать свои претензии, но во время проверки получите как минимум предпреждение, что противодействуете проверке.

    Прокомментировать:


  • b_alex_g
    Участник ответил
    Раньше видел ответ на вопрос Может ли проверка ЦБ запрашивать видео с клиентами, которые обслуживались в кассе за определенный период?
    Прошу дать ответ или ссылку, где обсуждалось.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Меня, честно говоря, удивляет отношение к этому вопросу большинства банков: раньше ДБО шифровало канал связи (толстый клиент) с помощью алгоритмов ГОСТ, сейчас все повально перешли на клиент на основе браузера и там, вдруг, не надо стало выполнять это требование. ))) А вопрос распространения браузеров в составе, которого СКЗИ в нарушение требований законодательства вообще никого похоже не волнует. Кстати, ФСБ ещё и учёт используемых СКЗИ должно осуществлять: всё по учётным номерам, в т.ч. и физикам. )))
    Дебильных требований полно, может порежут в рамках "гильотины".
    Наблюдаем за Госуслугами, как только там перейдут на православное шифрование и учёт используемых СКЗИ, так мы сразу и подтянемся...

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    А за чьи деньги банкет предлагается реализовать?
    Дык, реализуют уже давно, браузеры появились, условно бесплатные СКЗИ тоже, не сами же по себе. ))) И понятно, что все затраты всегда ложатся на потребителя услуг. Хотя, вариант выноса на отдельный домен не требует особых затрат (ну, СКЗИ вам придётся купить для реализации TLS).
    Меня, честно говоря, удивляет отношение к этому вопросу большинства банков: раньше ДБО шифровало канал связи (толстый клиент) с помощью алгоритмов ГОСТ, сейчас все повально перешли на клиент на основе браузера и там, вдруг, не надо стало выполнять это требование. )))
    А вопрос распространения браузеров в составе, которого СКЗИ в нарушение требований законодательства вообще никого похоже не волнует.
    Кстати, ФСБ ещё и учёт используемых СКЗИ должно осуществлять: всё по учётным номерам, в т.ч. и физикам. )))

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Я не погружался в тему, но штуки типа КриптоПро NGate, думаю, могут сразу TLS по ГОСТ и.....
    И выше был вариант........
    А за чьи деньги банкет предлагается реализовать? Не иначе как налогоплательщиков? Или регуляторы за всех раскошелятся?

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    У меня например, с установленным на ПК КриптоПРО, с ЦБшным финцертом нормально работает только Спутник.
    У ЦБ там какая-то защита установлена или чиперсьюты хитрые какие-то: nmap --script ssl-enum-ciphers -p 443 lk.fincert.cbr.ru в ответ даёт пустоту (сейчас в моменте нет времени разбираться).
    Кстати, после установки КрпитоПро этот сайт сразу работает в IE и даже Edge.
    Chrome (и прочие на движке Chromium) не работают, есть Яндекс.Браузер, Спутник и Chromium-gost, FF тоже мимо.
    Сообщение от saches Посмотреть сообщение
    А теперь представьте, например, что все туристические агентства, продавцы билетов и прочие подобные конторы начнут работать по ГОСТовому https-у. Много обычных пользователей смогут смогут нормально законектиться и что-то заказать?
    Я не погружался в тему, но штуки типа КриптоПро NGate, думаю, могут сразу TLS по ГОСТ и если его нет, то откат на обычный режим. Т.е. можно реализовать смешанный, переходный сценарий (вы тем самым регуляторный риск несколько снизите, покажите, что технологию реализовали, но вот есть сложности у клиентов, приходится поддерживать и альтернативный вариант).
    И выше был вариант, когда вы обосабливаите на отдельном домене TLS с ГОСТ и переадресуете туда, когда есть поддержка на клиентской стороне, нет поддержки предупреждаете о рисках, даёте инструкции по настройке и установке, но разрешаете и без всего этого работу.
    Тут вопрос рисков же, считаете регуляторный риск высоким начинаете движение, не считаете, живёте с TLS без поддержки ГОСТ.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    ...... Но почему-то при сдаче отёчности особых проблем с СКЗИ проблем не возникает, а вот в других сценариях сразу беда, беда... (
    У меня например, с установленным на ПК КриптоПРО, с ЦБшным финцертом нормально работает только Спутник. Эдж периодически падает, Хром, вообще страницу не открывает. IEне проверял. Я с настройками и не заморачивался, но т.к со Спутником проблем не возникает, и "хрен с ним", что называется..
    А теперь представьте, например, что все туристические агентства, продавцы билетов и прочие подобные конторы начнут работать по ГОСТовому https-у. Много обычных пользователей смогут смогут нормально законектиться и что-то заказать?

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    А вы считаете, что этого достаточно, что бы у всех владельцев ПК/планшетов и телефонов заработал ГОСТовый https на их устройствах?
    Я ведь не сказал, что так считаю? ))) Но почему-то при сдаче отёчности особых проблем с СКЗИ проблем не возникает, а вот в других сценариях сразу беда, беда.
    КМК, не сложно сделать отдельную часть web-сайта, где ведётся обработка ПДн, и защитить её с помощью TLS с ГОСТ на борту.
    Да, это значительно затруднит работу клиента (снизит конверсию переходов при заполнении анкет, если говорить про конкретный кейс выше), но скачать Яндекс.Браузер + Крпито-Про CSP (бесплатен для работы с TLS с алгоритмами ГОСТ) проблем нет, всё работает из коробки, ничего настраивать не нужно (т.е. для ПК эта проблема весьма надуманная).
    Для планшета / смартфона СКЗИ появились решения, есть сложности, но это вопрос времени. Люди уже привыкли устанавливать приложение для всего, если это всё будет просто и понятно, я не вижу особых проблем,тем более, если это будет внутри банковского приложения по типу как это работает с ЕБС.

    Вопрос в том, что требования требованиями, а бизнес может требовать иных условий и тут не вижу проблем сделать как все делают сейчас. Но требование в итоге выполнять придётся. (

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    ....Вообще 100% ЮЛ сдают отчётность, там уже есть TLS c алгоритмами по ГОСТ, ..........., хотя распоряжение Правительства не говоря уже об указе Президента уже есть по этой теме очень давно.
    А вы считаете, что этого достаточно, что бы у всех владельцев ПК/планшетов и телефонов заработал ГОСТовый https на их устройствах?

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от df1 Посмотреть сообщение
    Т.е. мы должны применять СКЗИ, когда Клиент через браузер заполняет анкету на нашем сайте.
    Вы должны начинать с 3889-У, там нет ничего про актуальность угрозы про каналы связи из методички ФСБ (хотя есть очень близкая формулировка, но при наличии TLS она не актуальна, хотя как читать). Или вы не банк?
    Сообщение от df1 Посмотреть сообщение
    . Можно сказать, что данные передаются по шифрованному каналу https/tls, т.е это не сеть общего пользования и требование применять СКЗИ отпадает?
    Можно сказать, что они обезличены (весьма условно). Но как только вы скажите, что они зашифрованы вам нужно будет выполнять 378 приказ ФСБ.

    КМК, использовать СКЗИ для обеспечения конфиденциальности просто необходимо, другое дело, что именно сертифицированное СКЗИ это вопрос открытый, много тут условий.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Вот и регуляторы не готовы...
    Ммм, почему они не готовы? Или вы про то, что сами регуляторы, тоже не используют на своих сайтах сертифицированное СКЗИ?
    Вообще 100% ЮЛ сдают отчётность, там уже есть TLS c алгоритмами по ГОСТ, так что всё это будет очень скоро, хотя распоряжение Правительства не говоря уже об указе Президента уже есть по этой теме очень давно.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от df1 Посмотреть сообщение
    ...Забить на требования? ....
    Вот вы сами и ответили...

    Прокомментировать:


  • df1
    Участник ответил
    saches 1.Забить на требования? 2. Похоже, что так.

    Прокомментировать:


  • saches
    Участник ответил
    df1
    1. А вы готовы всех клиентов банков заставить установить на их ПК/планшеты/телефоны российские СКЗИ и настроить браузеры, что бы они нормально работали с ГОСТовым https? Вот и регуляторы не готовы...
    2. Похоже, что нормативка вам дается с трудом...

    Прокомментировать:


  • df1
    Участник ответил
    Коллеги, объясните почему не применяется сертифицированное СКЗИ, когда к примеру на сайтах банков клиент заполняет анкеты содержащие его ПДн. 1. Во-первых смотрю в методические рекомендации утв. ФСБ России 31 марта 2015 г. N 149/7/2/6-432: К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся: - передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования); Вывод: Т.е. мы должны применять СКЗИ, когда Клиент через браузер заполняет анкету на нашем сайте. Можно сказать, что данные передаются по шифрованному каналу https/tls, т.е это не сеть общего пользования и требование применять СКЗИ отпадает? 2. Далее смотрим в требования п.58 382-П Банк обеспечивает защиту ПДн в соответствии с приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378. Чтобы применять приказ нужно определить уровень защищенности ИСПДн. Ок, у нас появляется ИСПДн- Сайт Банка, актуальны угрозы 3 типа, уровень защищенности 3. Смотрю в 378 приказе: 3.Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 3 уровня защищенности 18. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо меры, предусмотренной подпунктом "в" пункта 9 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе: СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа; СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа. Собственно сам: пункт 5 и подпункт г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Т.е. для нейтрализации угроз я при обработке в этой ИСПДн использую сертифицированное СКЗИ класса КС1?

    Прокомментировать:


  • Данко
    Участник ответил
    Спасибо за ответы! Нашел тут еще один ресурс, про который Лукацкий как-то писал, позволяющий онлайн сделать модель угроз - www.threat-model.com. А у кого-то есть может быть эксель файлик с формулами, который позволяет эти же вычисления делать локально?

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Клиенты операторов связи не дают такое согласие, в банках тем более.
    Выше там было сообщение про текст согласия. Т.е. клиент даёт согласие МТС, получает такое согласие банк в процессе оценки заёмщика.

    Сообщение от Данко Посмотреть сообщение
    Коллеги, подскажите, а на каждую ИСПДн нужно свою модель угроз?
    Это по желанию. Нужно что-то упростить делаете отдельную иначе используете какую-то типовую.

    Сообщение от Данко Посмотреть сообщение
    Вы свою часть инфраструктуры работы с ЕБС выделяете в отдельную ИСПДн?
    Да.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Данко Посмотреть сообщение
    И еще вдогонку вопрос. Вы свою часть инфраструктуры работы с ЕБС выделяете в отдельную ИСПДн?
    Да

    Прокомментировать:

500 Портал временно недоступен

Портал временно недоступен

Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
Обновите страницу спустя некоторое время.

Агенство Bankir.Ru приносит извинения пользователям
за доставленные неудобства
Обработка...
X