5 июля, воскресенье 08:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Вопросы по ПДн

    Здравствуйте коллеги!
    С недавних пор работаю в банке. Возникли следующие вопросы по разработке ОРД по ПДн:
    1. Необходимо ли разрабатывать отдельно модель угроз по ПДн. Если ДА, можно ли пользоваться методикой определения актуальных угроз фстэк?
    2. АБС банка содержит большое колличество отдельных модулей(программ), преследующих конкретные цели: кредитование, вклады, переводы, анкеты клиентов и т.д. Делать отдельные ИСПДн для каждой из программ или объединить их в одну ИСПДн, например "Клиенты"? Ведь общая цель у них одна - обслуживание клиентов банка.
    3. Какие ИСПДн выделены в вашем банке?

    Спасибо!

  • #2
    Сообщение от Rinat1991 Посмотреть сообщение
    2. АБС банка содержит большое колличество отдельных модулей(программ), преследующих конкретные цели: кредитование, вклады, переводы, анкеты клиентов и т.д. Делать отдельные ИСПДн для каждой из программ или объединить их в одну ИСПДн, например "Клиенты"? Ведь общая цель у них одна - обслуживание клиентов банка.
    А если у клиента есть и кредит, и вклад - его паспортные данные хранятся в каждом модуле отдельно? Или всё ж это единая база данных? Танцевать надо не от реализации вида окошек у операциониста, а от того, где и в каком виде вся информация хранится.

    Комментарий


    • #3
      Сообщение от Rinat1991 Посмотреть сообщение
      Здравствуйте коллеги!
      С недавних пор работаю в банке. Возникли следующие вопросы по разработке ОРД по ПДн:
      1. Необходимо ли разрабатывать отдельно модель угроз по ПДн. Если ДА, можно ли пользоваться методикой определения актуальных угроз фстэк?
      2. АБС банка содержит большое колличество отдельных модулей(программ), преследующих конкретные цели: кредитование, вклады, переводы, анкеты клиентов и т.д. Делать отдельные ИСПДн для каждой из программ или объединить их в одну ИСПДн, например "Клиенты"? Ведь общая цель у них одна - обслуживание клиентов банка.
      3. Какие ИСПДн выделены в вашем банке?

      Спасибо!
      1. Можно воспользоваться методикой ФСТЭК, но нужно принять это внутренним документом.
      2. Вопрос в том, как вы определите цели обработки ПДн. Рекомендую формулировать общим - например "предоставление банковских услуг клиентам банка". Если будете регистрировать отдельно, то могут возникнуть сложности с предоставлением доступа и т.п.
      3. АБС, ДБО, HR, СКУД, внутренний бухучет это почти в любом банке, зачастую они разделены.
      А дальше нужна инвентаризация и анализ процессов и систем.
      Офицер ИБ должен хорошо понимать процессы в банке, особенно, если они плохо документированы.
      Задавайте вопросы - как работает конкретный процесс, используется ли система, какие ПДн хранятся.
      По инвентаризации систем обратитесь в отдел ИТ.

      Комментарий


      • #4
        Сообщение от Rinat1991 Посмотреть сообщение
        Здравствуйте коллеги!
        С недавних пор работаю в банке. Возникли следующие вопросы по разработке ОРД по ПДн:
        1. Необходимо ли разрабатывать отдельно модель угроз по ПДн. Если ДА, можно ли пользоваться методикой определения актуальных угроз фстэк?
        Рекомендую дождаться отраслевую модель угроз Банка России (Указание Банка России от 10.12.2015 N 3889-У), после завершения её регистрации в Минюсте.

        Комментарий


        • #5
          Сообщение от mda74 Посмотреть сообщение
          1. Можно воспользоваться методикой ФСТЭК, но нужно принять это внутренним документом.
          2. Вопрос в том, как вы определите цели обработки ПДн. Рекомендую формулировать общим - например "предоставление банковских услуг клиентам банка". Если будете регистрировать отдельно, то могут возникнуть сложности с предоставлением доступа и т.п.
          3. АБС, ДБО, HR, СКУД, внутренний бухучет это почти в любом банке, зачастую они разделены.
          А дальше нужна инвентаризация и анализ процессов и систем.
          Офицер ИБ должен хорошо понимать процессы в банке, особенно, если они плохо документированы.
          Задавайте вопросы - как работает конкретный процесс, используется ли система, какие ПДн хранятся.
          По инвентаризации систем обратитесь в отдел ИТ.
          Какие сложности могут возникнуть с предоставлением доступа?
          Есть ли какие-нибудь письма от ЦБ по поводу того, какой необходим минимальный комплект документов по ПДн?
          Возможно ли не делать 30 актов защищенности к 30 ИСПДн, а сделать один акт? Насколько я знаю это не запрещено.

          Комментарий


          • #6
            Сообщение от UserNick Посмотреть сообщение
            Рекомендую дождаться отраслевую модель угроз Банка России (Указание Банка России от 10.12.2015 N 3889-У), после завершения её регистрации в Минюсте.
            Спасибо за информацию

            Комментарий


            • #7
              И еще вопрос:
              Допустим я выделил испдн АБС, в которую входят АС со своими БД. Например, АС Анкета клиента + БД:Анкета, АС Регистрация счетов + БД: Счета и т.д. Могу ли я в "перечне и категории ПДн обрабатываемых в ИСПДн" написать так
              ФИО, паспортные данные||| ИСПДн "АБС" (модули: анкета клиента, регистрация счетов)||
              ФИО, номера телефона, снилс|| ИСПДн "АБС" (модули: регистрация телефонов)||

              Я хочу так сделать, чтобы хоть как нибудь упорядочить данные и в дальнейшем не запутаться.

              Комментарий


              • #8
                Сообщение от Rinat1991 Посмотреть сообщение
                номера телефона, снилс
                И с каких пор они стали для Вас ПДН?
                [OFF]Красим белим, иногда защищаем[/OFF]

                Комментарий


                • #9
                  Сообщение от akitukitua Посмотреть сообщение
                  И с каких пор они стали для Вас ПДН?
                  С каких пор они перестали быть ПДн?

                  Комментарий


                  • #10
                    Сообщение от akitukitua Посмотреть сообщение
                    И с каких пор они стали для Вас ПДН?
                    054-367-70165 мой снилс
                    89023400795 моя мобила
                    Будьте любезны идентифицируйте меня как субьекта ПДН по этим, по Ваши словам Перс. данным.
                    [OFF]Красим белим, иногда защищаем[/OFF]

                    Комментарий


                    • #11
                      Сообщение от akitukitua Посмотреть сообщение
                      054-367-70165 мой снилс
                      89023400795 моя мобила
                      Будьте любезны идентифицируйте меня как субьекта ПДН по этим, по Ваши словам Перс. данным.
                      "Шо, опять"?

                      Вы, субъект, однозначно идентифицировавший себя СНИЛС и номером мобильного телефона. То, что для получения других ваших ПД типа ФИО и прочей никому не интересной лабуды, к вашей идентификации не имеет никакого отношения. ПД - это любая информация, относящаяся к определенному лицу, а не только та, которая позволяет в это лицо стукнуть или пригласить на рюмку чая

                      Комментарий


                      • #12
                        Сообщение от malotavr Посмотреть сообщение
                        Вы, субъект, однозначно идентифицировавший себя СНИЛС и номером мобильного телефона."
                        А можно всё же пояснить каким образом эти ПДн идентифицируют, по мне это вполне таки обезличенные ПДн. Если дать вам эти ПДн, разве только по ним без какой-либо дополнительной информации вы можете определить какому конкретному субъекту ПДн они относятся (т.е. определить принадлежность)?

                        Комментарий


                        • #13
                          Сообщение от malotavr Посмотреть сообщение
                          Вы, субъект, однозначно идентифицировавший себя СНИЛС и номером мобильного телефона
                          Продолжаем разговор мои вторые
                          Снилс 086-123-33321 и номер телефона 89051023515, по Вашему
                          Сообщение от malotavr Посмотреть сообщение
                          ПД - это любая информация, относящаяся к определенному лицу
                          СНИЛС1=СНИЛС2 и телефон 1= телефон2 и это всё принадлежит некоторому лицу с ником akitukitua на данном форуме.
                          Вы смогли меня однозначно идентифицировать?
                          [OFF]Красим белим, иногда защищаем[/OFF]

                          Комментарий


                          • #14
                            Сообщение от Rinat1991 Посмотреть сообщение
                            ФИО, номера телефона, снилс|| ИСПДн "АБС" (модули: регистрация телефонов)||
                            Я же написал ФИО номер телефона снилс

                            Комментарий


                            • #15
                              Сообщение от Rinat1991 Посмотреть сообщение
                              Я же написал ФИО номер телефона снилс
                              Опять же Вы можете по связке ФИО-телефон-СНИЛС однозначно идентифицировать субьекта? У Вас есть доступ к базе ПТК СПУ, СМЭВ, или базе ОПСОСа?
                              [OFF]Красим белим, иногда защищаем[/OFF]

                              Комментарий


                              • #16
                                Номер и серия паспорта - тоже не ПДн?
                                Ведь у Вас нет доступа к БД, содержащим такие сведения.

                                Комментарий


                                • #17
                                  С какой целью обрабатывается СНИЛС?
                                  Если скажите, что для идентификации, то сами ответите на свой вопрос.
                                  Ну а если он в базе просто до кучи лежит, то за безцельную обработку и огрести от РКН можно.

                                  Комментарий


                                  • #18
                                    Сообщение от Berckut Посмотреть сообщение
                                    С какой целью обрабатывается СНИЛС?
                                    Если скажите, что для идентификации, то сами ответите на свой вопрос.
                                    Вот и я думаю что собака где то здесь зарыта, другое дело что заявить много что можно, реализовать гораздо сложнее.
                                    [OFF]Красим белим, иногда защищаем[/OFF]

                                    Комментарий


                                    • #19
                                      Сообщение от Rinat1991 Посмотреть сообщение
                                      Ведь у Вас нет доступа к БД, содержащим такие сведения.
                                      То есть интернет Вам прикрыли и зайти на ФМСовский сайт и проверить реквизиты паспорта Вы не можете?
                                      [OFF]Красим белим, иногда защищаем[/OFF]

                                      Комментарий


                                      • #20
                                        Сообщение от Berckut Посмотреть сообщение
                                        Ну а если он в базе просто до кучи лежит, то за безцельную обработку и огрести от РКН можно.
                                        Вот это то и печалит, если раньше в 152 было практически чётко указано, что есть ПДН, а что так только признаки, то теперь при их формулировке можно голову свернуть.
                                        [OFF]Красим белим, иногда защищаем[/OFF]

                                        Комментарий


                                        • #21
                                          Сообщение от akitukitua Посмотреть сообщение
                                          Продолжаем разговор мои вторые
                                          Снилс 086-123-33321 и номер телефона 89051023515, по Вашему

                                          СНИЛС1=СНИЛС2 и телефон 1= телефон2 и это всё принадлежит некоторому лицу с ником akitukitua на данном форуме.
                                          Вы смогли меня однозначно идентифицировать?
                                          Сообщение от Zuz Посмотреть сообщение
                                          А можно всё же пояснить каким образом эти ПДн идентифицируют, по мне это вполне таки обезличенные ПДн. Если дать вам эти ПДн, разве только по ним без какой-либо дополнительной информации вы можете определить какому конкретному субъекту ПДн они относятся (т.е. определить принадлежность)?
                                          "Шо, опять?" означало, что после нескольких лет споров я еще в 2010 зарекся эту жвачку пережевывать

                                          Если вкратце, мы сошлись на том, что участники спора по-разному понимают термин "идентифицировать":
                                          - установить личность ("Это Моисей Иван-оглы, паспорт...");
                                          - опознать ("это вон тот, третий слева");
                                          - определить, что в данном контексте речь идет о конкретном человеке ("пользователь с ником akitukitua").

                                          Я лично придерживаюсь третьей точки зрения, но в целом ни один из участников спора не смог убедить остальных в своей безусловной правоте. А раз мы не можем договориться об определениях, спорить по существу - даром тратить время.
                                          Последний раз редактировалось malotavr; 14.03.2016, 11:12.

                                          Комментарий


                                          • #22
                                            Сообщение от akitukitua Посмотреть сообщение
                                            То есть интернет Вам прикрыли и зайти на ФМСовский сайт и проверить реквизиты паспорта Вы не можете?
                                            Дайте пож-та ссылку, где я могу ввести номер и серию паспорта и определить место регистрации человека, семейное положение и т.д.

                                            Комментарий


                                            • #23
                                              Сообщение от malotavr Посмотреть сообщение
                                              Если вкратце, мы сошлись на том, что участники спора по-разному понимают термин "идентифицировать":
                                              А откуда вообще этот термин появляется? Но согласен с вашей трактовой термина определить.

                                              Комментарий


                                              • #24
                                                Сообщение от Zuz Посмотреть сообщение
                                                А откуда вообще этот термин появляется? Но согласен с вашей трактовой термина определить.
                                                Ну, "определенному или определяемому" в тексте ФЗ соответствует оригинал "identified or identifiable" в конвенции Совета Европы. Так что с тем, что "определить" и "идентифицировать" в контексте ФЗ - синонимы, участники спора, вроде бы, согласились/

                                                Комментарий


                                                • #25
                                                  Сообщение от malotavr Посмотреть сообщение
                                                  Так что с тем, что "определить" и "идентифицировать" в контексте ФЗ - синонимы, участники спора, вроде бы, согласились/
                                                  Спасибо, действительно identifiable не оставляет вариантов. Но всё же как провести грань между ПДн и обезличенными ПДн? Ведь не имея потенциальной возможности по СНИЛС или номеру паспорта определить принадлежность данных к какому-либо лицу я могу такие ПДн считать обезличенными? Но для тех же ПФР / ФНС это уже не так.
                                                  Т.е. отнесение тех или иных сведений к ПДн зависит от множества факторов, даже более того, оценка факторов может меняться на протяжении времени и в какой-то момент времени обезличенные ПДн могут перейти в ПДн и наоборот. Или я заблуждаюсь?

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Zuz Посмотреть сообщение
                                                    Спасибо, действительно identifiable не оставляет вариантов. Но всё же как провести грань между ПДн и обезличенными ПДн? Ведь не имея потенциальной возможности по СНИЛС или номеру паспорта определить принадлежность данных к какому-либо лицу я могу такие ПДн считать обезличенными? Но для тех же ПФР / ФНС это уже не так.
                                                    Т.е. отнесение тех или иных сведений к ПДн зависит от множества факторов, даже более того, оценка факторов может меняться на протяжении времени и в какой-то момент времени обезличенные ПДн могут перейти в ПДн и наоборот. Или я заблуждаюсь?
                                                    Это лучше к Лукацкому Я принципиально не лезу в тему ПД, от нее реально тошнит А вот у него по теме обезличивания было несколько интересных публикаций со ссылками на источники.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от malotavr Посмотреть сообщение
                                                      Я принципиально не лезу в тему ПД, от нее реально тошнит
                                                      Завидно даже. )

                                                      Комментарий


                                                      • #28
                                                        Сообщение от malotavr Посмотреть сообщение
                                                        определить, что в данном контексте речь идет о конкретном человеке ("пользователь с ником akitukitua").
                                                        Вообще не понял о чём Вы
                                                        [OFF]Красим белим, иногда защищаем[/OFF]

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Rinat1991 Посмотреть сообщение
                                                          Дайте пож-та ссылку, где я могу ввести номер и серию паспорта и определить место регистрации человека, семейное положение и т.д.
                                                          А вот передёргивать не надо, Вы ставили совсем другую задачу изначально верно?
                                                          [OFF]Красим белим, иногда защищаем[/OFF]

                                                          Комментарий


                                                          • #30
                                                            Сообщение от malotavr Посмотреть сообщение
                                                            Ну, "определенному или определяемому" в тексте ФЗ соответствует оригинал "identified or identifiable" в конвенции Совета Европы. Так что с тем, что "определить" и "идентифицировать" в контексте ФЗ - синонимы, участники спора, вроде бы, согласились/
                                                            Неа совсем не согласились, очень давно, когда девушки были моложе а вода мокрее, мне безусому курсанту вдолбили два термина идентификация и аутентификация. Определения я выучил хорошо и потом всю службу и всё время в народном хозяйстве их успешно применял. А вот писатели ФЗ как раз в своём контексте попутали (правда совсем чуть чуть), но молодые и горячие лекции наверно слушали не внимательно (или вообще обошлись без профильного образования). Отсюда и идёт путаница в определении что в данной конкретной ситуации ПД (аутентификация), а что просто сведения (идентификация). И если для сотрудника имеющего доступ в СМЭВ, ПТК СПУ СНИЛС это самый что ни наесть ПДН то для всех остальных это просто набор циферок. А всё это безобразин по одной простой причине, нефиг переводить непойми что не пойми как и принимать в качестве ФЗ.
                                                            [OFF]Красим белим, иногда защищаем[/OFF]

                                                            Комментарий

                                                            500 Портал временно недоступен

                                                            Портал временно недоступен

                                                            Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                            Обновите страницу спустя некоторое время.

                                                            Агенство Bankir.Ru приносит извинения пользователям
                                                            за доставленные неудобства
                                                            Обработка...
                                                            X