5 июля, воскресенье 20:19
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Предлагаю следующий подход:
    - сотрудники компании (пользователи) внедрившие биометрию - "махровая некомпетентность";
    - поставщики(продавцы) решений с биометрией - "наглое вранье".

    Нормативки нормальной нет, вот они дураками и прикидываются.
    Хотя ГОСТов по биометрии понавыпускали, включая даже такой - ГОСТ Р 52633.0-2006. Защита информации. ТЕХНИКА ЗАЩИТЫ ИНФОРМАЦИИ. Требования к средствам высоконадежной биометрической аутентификации."

    По хорошему, могли бы сделать и обязательную сертификацию для биометрии, и 63-ФЗ подправить под это дело (может регуляторы поляну не поделили?).

    ЗЫ: А вот к кому отнести тех, кто считает, что ксерокопия фотографии с паспорта, сделанная на убитом копире, это тоже биометрия, затрудняюсь сказать...
    Последний раз редактировалось saches; 29.09.2016, 15:41.

    Комментарий


    • Сообщение от UserNick Посмотреть сообщение
      К тому же вряд ли каждый мерчант самостоятельно разрабатывает оферту.
      У мёрчанта на кассе висит лейбак Visa + Mastercard и это всё.
      Сильно любопытствующие могут обратиться к соответствующим документам МПС. Мне лень. :-)

      Комментарий


      • Сообщение от saches Посмотреть сообщение
        может регуляторы поляну не поделили?
        регулятор, пришедший в сбер, вылетит из него в обратном направлении со скоростью близкой к скорости звука.
        вот и всё объяснение.
        Quod licet Jovi, non licet bovi.

        Комментарий


        • Сообщение от ost Посмотреть сообщение
          регулятор, пришедший в сбер, вылетит из него в обратном направлении со скоростью близкой к скорости звука....
          Это конечно, но "про поляну" имелось в виду в контексте. электронной, цифровой, биометрической подписей и 63-ФЗ. Т.е. безотносительно сбера.
          Последний раз редактировалось saches; 29.09.2016, 16:39.

          Комментарий


          • Сообщение от saches Посмотреть сообщение
            электронной, цифровой, биометрической подписей и 63-ФЗ
            Нет такого понятия "биометрическая подпись", у нас в законодательстве четко не определено, что такое "собственноручная подпись".
            Вон юристы считают, что собственноручная это обязательно синей ручкой на бумаге, а вот пером на планшете или пальцем на телефоне это уже не собственноручная, а электронная. Потом долго курили 63-ФЗ и пытались понять, какая же это из трех типов электронных. Так и не поняли.

            Кстати, в американском законодательстве есть определение.

            http://definitions.uslegal.com/h/handwritten-signature/

            Pursuant to 21 CFR 11.3 [Title 21 -- Food and Drugs; Chapter I -- Food and Drug Administration, Department of Health and Human Services], handwritten signature means “the scripted name or legal mark of an individual handwritten by that individual and executed or adopted with the present intention to authenticate a writing in a permanent form. The act of signing with a writing or marking instrument such as a pen or stylus is preserved. The scripted name or legal mark, while conventionally applied to paper, may also be applied to other devices that capture the name or mark.”

            Комментарий


            • Сообщение от ost Посмотреть сообщение
              Кстати, в американском законодательстве есть определение.

              http://definitions.uslegal.com/h/handwritten-signature/

              Pursuant to 21 CFR 11.3 [Title 21 -- Food and Drugs; Chapter I -- Food and Drug Administration, Department of Health and Human Services], handwritten signature means “the scripted name or legal mark of an individual handwritten by that individual and executed or adopted with the present intention to authenticate a writing in a permanent form. The act of signing with a writing or marking instrument such as a pen or stylus is preserved. The scripted name or legal mark, while conventionally applied to paper, may also be applied to other devices that capture the name or mark.”
              Дык, у них и печатей нет. Что с них взять, дикие люди

              Комментарий


              • Сообщение от ost Посмотреть сообщение
                Нет такого понятия "биометрическая подпись".....
                "Ты видишь суслика? И я нет, а он есть."

                Если сравнить наш 63-ФЗ и аналогичные законы других стран, определение электронной подписи, практически совпадает, Ну кроме США конечно
                Что не удивительно, т.к. еще в 2002 году EN выпустил свой Model Law on Electronic Signatures with Guide to Enactment (United nations, 2002), где сказано -
                “Electronic signature” means data in electronic form in, affixed to or logically associated with, a data message, which may be used to identify the signatory in relation to the data message and to indicate the signatory’s approval of the information contained in the data message. (понятно откуда драли определения для 63-ФЗ )

                См. ниже -
                Nothing in this Law, except article 5, shall be applied so as to exclude, restrict or deprive of legal effect any method of creating an electronic signature that satisfies the requirements referred to in article 6, paragraph 1, or otherwise meets the requirements of applicable law. Т.е. метод создания электронной подписи не должен ограничиваться.
                А касательно биометрии, см. раздел Electronic signatures relying on techniques other than public-key cryptography.

                Т.е. в 63-ФЗ как-то все обрезали, заодно не включив туда и определение "Advanced electronic signatures" из RFC 5126 от 2008 года. Вот КРИПТО-ПРО и приходится заниматься самодеятельностью со своим Стандартом применения усовершенствованной электронной цифровой подписи на основе этого RFC.

                Вот и получается, что по нашему законодательству биометрическую подпись можно прировнять только к простой подписи несмотря на то, что уже несколько лет выпускники кафедр ИБ пишут дипломы, в которых человек представлен в виде ходячего набора ключей ЭП разной длины, и безо всяких вшитых чипов под кожей. (Т.е. скоро можно будет померится с кем-нибудь длиной ключа )

                ЗЫ: Ну и по сертификации биометрических систем абсолютный вакуум. В РФ всего одна система сертифицирована ФСТЭКом, да и то по НДВ.
                Последний раз редактировалось saches; 30.09.2016, 13:13.

                Комментарий


                • Сообщение от saches Посмотреть сообщение
                  Вот и получается, что по нашему законодательству биометрическую подпись можно прировнять только к простой подписи
                  Не только по нашему. В европейском законодательстве я не нашел такого вида электронной подписи, как "биометрическая". Принципиально их законы не отличаются от нашего (да и не могут, ибо первоисточник у них один), простая (electronic signature), усиленная (advanced electronic signature), усиленная квалифицированная (advanced electronic signature which is based on a qualified certificate). Не надо сюда путать RFC 5126, European Directive n.93/1999 писалась, когда этого RFC ещё не было.

                  Собственноручная подпись стоит особняком, и на неё все ссылаются как на собственноручную (иногда бывает wet inc signature). И там другие методы проверки подписи. И, насколько я понял, нет необходимости предварительно договариваться об использовании собственноручной подписи даже если её ставишь стилусом на планшете.


                  Сообщение от saches Посмотреть сообщение
                  уже несколько лет выпускники кафедр ИБ пишут дипломы, в которых человек представлен в виде ходячего набора ключей ЭП разной длины
                  Дипломы писать можно... Пока только нет ответа на вопрос, что делать в случае компрометации этого ключа (набора ключей).

                  Комментарий


                  • Сообщение от ost Посмотреть сообщение
                    Не только по нашему. В европейском законодательстве я не нашел такого вида электронной подписи, как "биометрическая".....
                    Это потому, что цифровая подпись(она же критпографическая), как и биометрическая, это частный случай реализации электронной подписи. И это принципиальное отличие их законов об электронной подписи от нашего 63-ФЗ. До вопросов конкретной реализации они в законе не опускаются. См. педевикия - "electronic signature" в разделе underlying technologies, если не ошибаюсь.

                    ...... Принципиально их законы не отличаются от нашего..........., усиленная (advanced electronic signature), ........
                    Advanced появляется там, где присутствует дата(время) подписи, а в 63-ФЗ про это ни слова. Т.е. понятия advanced и усиленная, это о разном

                    ...... Пока только нет ответа на вопрос, что делать в случае компрометации этого ключа (набора ключей).
                    А с этим как раз особых проблем нет, последовательность действий примерно такая же как и при компрометации криптографических ключей.
                    Вот когда биометрический вектор(который уникален) уплывет, вот это уже может быть реальной проблемой (почему и нужно защищать биометрические ПДн).
                    Одно дело ключ сменить, и совсем другое, отпечатки пальцев, термограмму лица или расположение кровеносных сосудов.
                    Последний раз редактировалось saches; 03.10.2016, 18:11.

                    Комментарий


                    • Сообщение от saches Посмотреть сообщение
                      Advanced появляется там, где присутствует дата(время) подписи, а в 63-ФЗ про это ни слова. Т.е. понятия advanced и усиленная, это о разном
                      В понятиях евродирективы и нашего 63-ФЗ advanced = усиленная.
                      Не читайте педивикию.

                      Комментарий


                      • Сообщение от ost Посмотреть сообщение
                        В понятиях евродирективы и нашего 63-ФЗ advanced = усиленная.
                        Не читайте педивикию.
                        Если не устраивает педевикия, могу предложить статейку от ИКСИ по поводу сравнения определений в отмененной ныне евродирективе и 63-ФЗ
                        http://cyberleninka.ru/article/n/o-s...ronnaya-podpis

                        По поводу меток времени в advanced signature, каюсь, немного загнул
                        Но если говорить про технические реализации eIDAS, то в CAdES метки времени (причем разные) используются в 7 профилях из 8, а для XAdES, в 5 из 6.
                        Последний раз редактировалось saches; 05.10.2016, 17:49.

                        Комментарий


                        • Что-то давно мы ПДн не обсуждали!

                          Идёт проверка у нас и вот возник спор. Проверяющие просят показать справки о судимостях на работников отдела внутреннего контроля (легализация), т.к. есть требование Указания №1486-У. Ну или хотя бы внести изменения в анкету, чтобы СБ там расписывалось, что проверка проведена и судимости нет.
                          4. Ответственный сотрудник и сотрудники структурного подразделения считаются не соответствующими квалификационным требованиям при наличии:
                          судимости за совершение преступления из корыстных побуждений или по найму, преступления в сфере экономики и преступлений, предусмотренных частями второй и третьей статьи 146, статьями 205, 205.1, 206, 208 - 210, 221, 222, 226, 227, частью второй статьи 228, статьями 228.1, 228.2, 229, 232, 234, 238, 240 - 242, 282.1, 282.2, 285, 289, 290 - 292, 325 - 327.1, 355, 359 Уголовного кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1996, N 25, ст. 2954);
                          Мы пока пытаемся объяснить им, что не имеем права обрабатывать такую информацию, т.к. это будет нарушением 152-ФЗ:
                          Статья 10. Специальные категории персональных данных
                          3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
                          А с учётом 42-Т от 14.03.2014 такое нарушение 152-ФЗ должно рассматриваться как негативный фактор при оценке качества управления кредитной организацией.


                          Кто-нибудь уже сталкивался с таким?

                          Комментарий


                          • Сообщение от Berckut Посмотреть сообщение
                            а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
                            вроде как вот это и разрешает... а требование в ст.65 ТК

                            Комментарий


                            • Сообщение от Berckut Посмотреть сообщение
                              Идёт проверка
                              А проверка какого толка? Кто и что проверяет? Тематическая или...?

                              Комментарий


                              • Сообщение от Павлоний Посмотреть сообщение
                                А проверка какого толка? Кто и что проверяет? Тематическая или...?
                                Самая обычная, которая каждый год проводится.

                                Сообщение от nightrus Посмотреть сообщение
                                вроде как вот это и разрешает... а требование в ст.65 ТК
                                Вот в том-то и дело, что не разрешает.
                                Статья 65. Документы, предъявляемые при заключении трудового договора
                                Если иное не установлено настоящим Кодексом, другими федеральными законами, при заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:
                                ...
                                - справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, - при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с настоящим Кодексом, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию;
                                Во-первых, требование установлено нормативным актом ЦБ, а не федеральным законом.
                                Во-вторых, в типовом случае проблем бы не было - можно было бы сослаться на то, что Указание ЦБ выпущено во исполнение федерального О банках и банковской деятельности и О Центральном банке, но в 152-ФЗ в отношении сведений о судимости прописали прямо: "а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами". Т.е. порядок и необходимость обработки сведений о судимости должны быть прописаны именно в ФЗ.
                                В отношений руководящего состава банка именно так и сделано в ФЗ о банках и банковской деятельности. А вот в отношении работников внутреннего контроля на лицо коллизия между требованиями ЦБ и ФЗ. Естественно, требования ФЗ имеют больший приоритет.

                                Комментарий


                                • Сообщение от Berckut Посмотреть сообщение
                                  В отношений руководящего состава банка именно так и сделано в ФЗ о банках и банковской деятельности. А вот в отношении работников внутреннего контроля на лицо коллизия между требованиями ЦБ и ФЗ. Естественно, требования ФЗ имеют больший приоритет.
                                  Согласен.
                                  ЕМНИП, справку только от руководителя СВК требуют, остальные работники не попадают.

                                  Комментарий


                                  • Нашли таки.
                                    115-ФЗ:
                                    Статья 7. Права и обязанности организаций, осуществляющих операции с денежными средствами или иным имуществом
                                    2. Организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны в целях предотвращения легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма разрабатывать правила внутреннего контроля, назначать специальных должностных лиц, ответственных за реализацию правил внутреннего контроля, а также принимать иные внутренние организационные меры в указанных целях.
                                    ...
                                    Специальным должностным лицом, ответственным за реализацию правил внутреннего контроля, не может быть лицо, имеющее неснятую или непогашенную судимость за преступления в сфере экономики или преступления против государственной власти.

                                    Комментарий


                                    • В 152-ФЗ "О Пдн" есть термин "систематизация ПДн". Явного определения этого термина в законе не нашел.
                                      В Интернете нашел единственный пример документа в котором дано такое определение это "Комплексные методические рекомендации органам исполнительной власти города Москвы, государственным учреждениям города Москвы и иным организациям, подведомственным органам исполнительной власти города Москвы, в области организации обработки и обеспечения безопасности персональных данных." от 2013 г.: "Систематизация персональных данных – действия, направленные на объединение и расположение персональных данных в определенной последовательности".
                                      С моей точки зрения, это всего лишь частная точка зрения как следует понимать значение этого термина.
                                      Есть 2 мнения, как следует воспринимать обсуждаемый термин:
                                      1. Систематизация имеет отношение только к обработке ПДн на материальных носителях. В результате такой систематизации появляется возможность "осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным" (п. Ст 1. 152-ФЗ).
                                      2. Систематизация возможна в отношении любых ПДн в т.ч. обрабатываемых в электронном виде. Т.е. индексирование записей в базе данных, запрос в базе данных по определенным критериям выборки все это разновидности систематизации.
                                      Прошу натолкнуть на мысль, где следует искать юридически обоснованный ответ на вопрос, что такое "систематизация" ПДн?

                                      Комментарий


                                      • Сообщение от UserNick Посмотреть сообщение
                                        что такое "систематизация" ПДн?
                                        КМК, в контексте закона это тоже самое, что "анализ, структуризация, агрегирование и т.п.", просто такое слово под руку попалось. Т.е. это 2, а не 1.
                                        А для 1 обычно используют другой термин "каталогизация".

                                        Комментарий


                                        • Сообщение от ost Посмотреть сообщение
                                          КМК, в контексте закона это тоже самое, что "анализ, структуризация, агрегирование и т.п.", просто такое слово под руку попалось. Т.е. это 2, а не 1.
                                          А для 1 обычно используют другой термин "каталогизация".
                                          Контраргумент. Цитата из 152-ФЗ, которую я привел выше:

                                          "осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным" (п. Ст 1. 152-ФЗ).
                                          уравнивает "персональные данные, зафиксированные на материальном носителе и содержащихся в картотеках" и "иные систематизированные собрания персональных данных".

                                          Комментарий


                                          • Добрый день!
                                            Подскажите, есть где-то точка зрения РКН по вопросу трансграничной передачи ПДн в таких системах как SWIFT, Золотая корона и т.п.
                                            По сути мы конечно передаем ПДн на за границу напрямую, а в офисы их представительств в РФ.

                                            Нашел в Условиях осуществления переводов ЗК.

                                            5. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
                                            5.3. Каждый Банк Плательщика является оператором персональных данных Плательщика. Каждый Банк Получателя является оператором персональных данных Получателя. Организатор не является оператором персональных данных Клиентов. Банк Плательщика не является оператором персональных данных Получателей. Банк Получателя не является оператором персональных данных Плательщиков. 5.4. Банк, являющийся оператором персональных данных своего Клиента, обязан получать согласие на обработку персональных данных и иные необходимые разрешения (согласия), в том числе на передачу информации о Переводе в рамках Платежной системы/Оферты, а также соблюдать национальное законодательство о персональных данных.

                                            Короче, все на банке, а ЗК не при делах.
                                            Последний раз редактировалось Sat_Kelman; 28.07.2017, 10:26.

                                            Комментарий


                                            • Сообщение от Sat_Kelman Посмотреть сообщение
                                              .....Короче, все на банке, а ЗК не при делах.
                                              Как РКН относится, не подскажу. У нас, традиционно, ОПСы, вообще на защиту ПДн забивают....
                                              У Swift-а есть Personal data Protection Policy, там по подробней расписано, и в VISA Rules, кстати тоже, т.к. в EU (после 2006) за этим внимательнее следят.
                                              Мне представляется, что что-то можно накопать исходя из определения ОПДн в 152-ФЗ, исходя из "ОПДн - ...лицо...совместно с другими....организующие ..... определяющие.."

                                              оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

                                              У нас же банки, как правило, ничего в ПС не определяют и не организуют, а просто подписывают договор присоединения и по тому же 152-ФЗ никакой отсебятины добавить не могут. И все равно на них навешивают ярлык ОПДн, что, КМК, явное нарушение ФЗ.
                                              Последний раз редактировалось saches; 28.07.2017, 11:31.

                                              Комментарий


                                              • Сообщение от saches Посмотреть сообщение
                                                Как РКН относится, не подскажу. У нас, традиционно, ОПСы, вообще на защиту ПДн забивают....
                                                Да как обычно. Вообще интересует вопрос, так как будем вносить изменения в уведомление РКН и там есть пункт про трансграничную. Вообще мы согласие берем если что, но посмотрел, что при заполнении на сайте РКН если указывать трансграничную, то надо еще и названия стран вписывать.

                                                Комментарий


                                                • Если делать по чесноку, то получается, что нужно все страны перечислять в которых у ОПС присутствуют операционные центры.
                                                  А в случае swift-а еще и договор-поручение с US Department of the Treasury заключать, или куда они сейчас инфу о платежах сливают....
                                                  Но так никто не делает. ФЗ ж, он что дышло....
                                                  Так что, выбирайте вариант уведомления на сайте РКН, который вам больше нравится, и заполняйте по образцу и подобию.
                                                  Или не заполняйте, а то придут еще, "для уточнения предоставленной информации". Ранее, навернож, уже направляли уведомление?
                                                  Так что тут сплошные альтернативы и оценка рисков....куда ж в ИБ без них.

                                                  Комментарий


                                                  • Сообщение от Sat_Kelman Посмотреть сообщение
                                                    Короче, все на банке, а ЗК не при делах.
                                                    В части получения согласия можно сослаться на п. 5, ч. 1, ст. 6 152-ФЗ. ПДн физлиц, которые являются стороной договора и выгодоприобретателем по договору, т.е. согласие не нужно.
                                                    А в части трансграничной передачи тут, ИМХО, все вопросы должны быть к ЗК. Я абсолютно не в курсе, как работает их расчетная сеть, куда и как они передают данные. По идее они должны уведомить РКН о странах, в которые осуществляют передачу, но они скрывают (см. тут https://pd.rkn.gov.ru/operators-regi...d=54-13-000607). Я бы сказал, нагло врут, у них на сайте висит форма для перевода денег забугор, значит есть коротношения с забугорными банками, значит знают точно кому передают и как передают.

                                                    Хотя, я лично видел, что РКН в одной из проверок вменил одному проверяемому банку в качестве нарушения отсутствие уведомления о передаче данных в Казахстан по ЗК. Те в свою очередь просто разорвали договор с ЗК.

                                                    Со свифтом проще, надо смотреть где открыты корр.счета в валюте, соответственно и указывать страны прямых корреспондентов.
                                                    Последний раз редактировалось ost; 28.07.2017, 13:55.

                                                    Комментарий


                                                    • Сообщение от ost Посмотреть сообщение
                                                      А в части трансграничной передачи тут, ИМХО, все вопросы должны быть к ЗК.
                                                      +1
                                                      Если банк взвалил на свои плечи обязанности ОПДн присоединившись к правилам ЗК, то для формального выполнения 152-ФЗ, думаю, нужно у ЗК на регулярной основе перечень стран уточнять и по мере выявления изменений вносить изменения в уведомление.
                                                      После того как ЗК задолбается на подобные запросы отвечать, выложат где нибудь перечень стран и всем станет легче.))

                                                      Комментарий


                                                      • Сообщение от UserNick Посмотреть сообщение
                                                        и по мере выявления изменений вносить изменения в уведомление.
                                                        Я думаю, что стоит в РКН ябеду написать. Типа на сайте предлагают переводы трансграничные, а в уведомлении написали, что трансграничной передачи ПДн нет.
                                                        Пусть их проверят.

                                                        P.S. Done
                                                        Последний раз редактировалось ost; 28.07.2017, 16:01. Причина: Ябеда отправлена

                                                        Комментарий


                                                        • Прошу прощение за занудство, но ИМХО, было бы горазда проще прийти к простому пониманию/соглашению, что ОПС автоматически является ОПДн. Ну а как еще?
                                                          Читаем Правила ПС VISA - "Операционный центр (может находиться на территории и за пределами Российской Федерации".

                                                          И что писать по поводу трансграничной передачи? И банк после этого является ОПДн?
                                                          Последний раз редактировалось saches; 28.07.2017, 17:53.

                                                          Комментарий


                                                          • Сообщение от saches Посмотреть сообщение
                                                            было бы горазда проще прийти к простому пониманию/соглашению
                                                            Кому прийти?
                                                            У Золотой Короны в уведомлении РКН написано, что они и ПДн по Интернету не передают! Как с ними можно о чем-то договориться?

                                                            Комментарий


                                                            • ost
                                                              Да, просто, ОПС не заинтересованы признаваться в том, что они являются ОПДн. Зачем им лишний гимор.
                                                              Точно также, как Swifе не хочет признавать себя ни ОПС, ни ОПДн в части платежей. А просто не хочет. Хотя именно он сливает (ну или во всяком случае сливал) информацию о платежах в мин фин США. И что-то мне кажется, что по России до сих пор сливает.
                                                              Т.е. просто произвол ОПС и, КМК, это тоже камень в огороды АРБ и ЦБ.

                                                              Комментарий

                                                              Обработка...
                                                              X