12.02.2010

Рекомендации по ПДн от Банка России и АРБ

Рекомендации по ПДн имени ЦБ\АРБ, о которых я уже писал, выложены на сайте ABISS. К этим документам относятся:
  • новая редакция стандарта Банка России СТО БР ИББС-1.0-2010
  • методика оценки соответствия СТО
  • отраслевая модель угроз ПДн
  • рекомендации по приведению в соответствие.

Эти же документы выложены и на сайте АРБ (три тут и один тут).

Если у вас будут комментарии, предложения, замечания, то присылайте их либо в АРБ, либо в ABISS.

20 коммент.:

Алексей Т. комментирует...

Интересные документы, но противоречий много. По-моему вопрос скорее политический и обсуждать пока нечего. Частная модель угроз не содержит угроз как таковых и не похожа на рекомендации по разработке частных моделей. Стандарт конечно подредактировали - но нужно политическое решение, чтобы банкам разрешили считать выполнение требований стандарта равноценным выполнение требований регулятора. В рекомендациях полезными могут быть только приложения. Ждем новых версий, пока и подсказать нечего. :-)

A комментирует...

Я так понимаю вопрос о непонятках "автоматизированная"/"неавтоматизированная" просто обошли стороной?

Алексей Лукацкий комментирует...

В чем непонятки?

A комментирует...

Меня интересует вопрос - можно ли опираясь на пп.1,2,3 ПП РФ №687 подводить под неавтоматизированную обработку например 1С-бухгалтерию.

Ведь в банках я тоже думаю много систем можно под "неавтоматизированные" так подвести, и соответственно серьёзно затраты снизить. А здесь в рекомендациях этот весьма важный и одновременно весьма мутный вопрос вообще не упоминается.

Алексей Лукацкий комментирует...

Я считаю, что можно. Но мы в рекомендациях не включали пункты, по которым у членов рабочей группы были сомнения и разногласия. Да и для регуляторов это была бы красная тряпка.

A комментирует...

А регуляторы где-нибудь когда-нибудь комментировали этот вопрос? (некорректность термина "неавтоматизированная", непонимание требований ПП 687 большинством операторов)

tiger_66 комментирует...

>Меня интересует вопрос - можно ли >опираясь на пп.1,2,3 ПП РФ №687 >подводить под неавтоматизированную >обработку например 1С-бухгалтерию.


Можно все если вы после докажете эту правомочность регулятору ))))
А реально Евродиректива отвечает на большинство предъявляемых к законодательству о персональных данных вопросов.

A комментирует...

Дак а ратифицирована то Конвенция (а не Директива), с официальным переводом, в котором везде стоит "автоматизированная".

tiger_66 комментирует...

To A

ИМХО
Вопрос в том – хотите вы понять как надо трактовать ФЗ РФ и его подзаконные акты, исходя из того что в них Должно быть по требованиям евродокументов (т.е без подмены их сути) или хотите понять можно ли используя то, что Есть в ФЗ и его подзаконных актах обеспечить главным образом, снижение своих расходов.
Если второе, то ответ – да, можно при некоторых условиях.
Если первое, то ратификация ИМХО не имеет роли, так как проверить свое понимание какого-то понятия (например сферы применения) по ней можно вполне
Пояснение к определению сферы применения закона о персональных данных дано в преамбуле к Евродирективе:
«(…) Обработка данных охватывается настоящей Директивой только в случае, если она является автоматизированной или если обрабатываемые данные помещаются или предназначены для помещения в систему хранения, структурированную в соответствии с особыми критериями, относящимися к частным лицам, для обеспечения легкого доступа к соответствующим персональным данным;»
«(…) Защита частных лиц должна применяться к автоматической обработке данных в той же мере, что и к ручной обработке; (…) рамки данной защиты не должны фактически зависеть от используемой техники, в противном случае это создаст серьезный риск обхода защиты; (…) тем не менее, применительно к ручной обработке, настоящая Директива охватывает только системы хранения, а не неструктурированные досье (файлы);

tiger_66 комментирует...

ИМХО отсюда следует, что ПП 687 должно охватывать только ручную обработку. ПП 781 автоматическую и автоматизированную, хотя, не буду спорить, из текстов этих ПП этого однозначно не следует.

Но повторюсь, все зависит от ваших целей. Например, целью может быть такая:
- Используя баги законодательства РФ обеспечить выполнение требований регуляторов с наименьшими потерями для бизнеса

Или такая:
- Попытаться обеспечить у себя некоторый уровень защиты прав субъектов ПДн, ставших вам известными в процессе деятельности.

Могут наверно и другие цели быть.

Void Z7 комментирует...

Меня вот достали бюро пропусков ...

Тут на днях на встречу опаздывал в одном из бизнес-центров так у них вообще берут паспорт и кладут в сканер ...

У меня уже 2 юр. лица нарисовалось в качестве целей для того чтобы посмотреть какие проблемы от регулятора могут быть по обращению субъекта ... пора попрактиковаться, так сказать провести своеобразный тест на проникновение для исследования вопроса о том, что предъявят к моей конторе ...

Алексей Лукацкий комментирует...

А в чем проблема? Ты свое согласие даешь конклюдентными действиями

Void Z7 комментирует...

Это же не отменяет выполнение требований по защите моих ПДн?

Алексей Лукацкий комментирует...

А они не защищают?

Void Z7 комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Вначале лучше напрямую. А уж потом в РКН.

Void Z7 комментирует...

А я вот и обращусь в Роскомнадзор для того чтобы они это проверили

Void Z7 комментирует...

Алексей согласитесь, что в данном случае любой отписки юр. лица я не должен доверять...

Также досудебный порядок урегулирования отдельных споров предусмотрен законодательством, а я в суд не собираюсь ходить за меня это по идее делает Роскомнадзор в случае чего ...

Алексей Лукацкий комментирует...

А презумпция невиновности как же? У вас должны быть веские основания, чтобы не доверять этой отписке. И вы их должны будете изложить РКН, чтобы он начал защищать ваши права.

Void Z7 комментирует...

Вот тут ваша правда ... но мы живем в очень интересной стране и РКН как мне кажется будет интересно выполнить хотя бы какие то действия

Насчет презумпции невиновности попробую пример привести я звоню в милицию называю себя говорю, что слышал крики и выстрелы в соседней квартире ... милиция приедет по вызову?

Так вот я думаю в доступных документах по Пдн я найду "крики и выстрелы" ...

У меня вот другой вопрос, может ли субъект Пдн оперировать, оценивать, а также ссылаться на невыполнение неких технических требований? Для этого требуется некая компетенция типа эксперт и как она присуждается у нас?

Вам не приходилось выступать экспертом по ИБ в судебных процессах? Если да то какие к вам как эксперту предъявлялись требования и на основании чего?