- новая редакция стандарта Банка России СТО БР ИББС-1.0-2010
- методика оценки соответствия СТО
- отраслевая модель угроз ПДн
- рекомендации по приведению в соответствие.
Эти же документы выложены и на сайте АРБ (три тут и один тут).
Если у вас будут комментарии, предложения, замечания, то присылайте их либо в АРБ, либо в ABISS.
20 коммент.:
Интересные документы, но противоречий много. По-моему вопрос скорее политический и обсуждать пока нечего. Частная модель угроз не содержит угроз как таковых и не похожа на рекомендации по разработке частных моделей. Стандарт конечно подредактировали - но нужно политическое решение, чтобы банкам разрешили считать выполнение требований стандарта равноценным выполнение требований регулятора. В рекомендациях полезными могут быть только приложения. Ждем новых версий, пока и подсказать нечего. :-)
Я так понимаю вопрос о непонятках "автоматизированная"/"неавтоматизированная" просто обошли стороной?
В чем непонятки?
Меня интересует вопрос - можно ли опираясь на пп.1,2,3 ПП РФ №687 подводить под неавтоматизированную обработку например 1С-бухгалтерию.
Ведь в банках я тоже думаю много систем можно под "неавтоматизированные" так подвести, и соответственно серьёзно затраты снизить. А здесь в рекомендациях этот весьма важный и одновременно весьма мутный вопрос вообще не упоминается.
Я считаю, что можно. Но мы в рекомендациях не включали пункты, по которым у членов рабочей группы были сомнения и разногласия. Да и для регуляторов это была бы красная тряпка.
А регуляторы где-нибудь когда-нибудь комментировали этот вопрос? (некорректность термина "неавтоматизированная", непонимание требований ПП 687 большинством операторов)
>Меня интересует вопрос - можно ли >опираясь на пп.1,2,3 ПП РФ №687 >подводить под неавтоматизированную >обработку например 1С-бухгалтерию.
Можно все если вы после докажете эту правомочность регулятору ))))
А реально Евродиректива отвечает на большинство предъявляемых к законодательству о персональных данных вопросов.
Дак а ратифицирована то Конвенция (а не Директива), с официальным переводом, в котором везде стоит "автоматизированная".
To A
ИМХО
Вопрос в том – хотите вы понять как надо трактовать ФЗ РФ и его подзаконные акты, исходя из того что в них Должно быть по требованиям евродокументов (т.е без подмены их сути) или хотите понять можно ли используя то, что Есть в ФЗ и его подзаконных актах обеспечить главным образом, снижение своих расходов.
Если второе, то ответ – да, можно при некоторых условиях.
Если первое, то ратификация ИМХО не имеет роли, так как проверить свое понимание какого-то понятия (например сферы применения) по ней можно вполне
Пояснение к определению сферы применения закона о персональных данных дано в преамбуле к Евродирективе:
«(…) Обработка данных охватывается настоящей Директивой только в случае, если она является автоматизированной или если обрабатываемые данные помещаются или предназначены для помещения в систему хранения, структурированную в соответствии с особыми критериями, относящимися к частным лицам, для обеспечения легкого доступа к соответствующим персональным данным;»
«(…) Защита частных лиц должна применяться к автоматической обработке данных в той же мере, что и к ручной обработке; (…) рамки данной защиты не должны фактически зависеть от используемой техники, в противном случае это создаст серьезный риск обхода защиты; (…) тем не менее, применительно к ручной обработке, настоящая Директива охватывает только системы хранения, а не неструктурированные досье (файлы);
ИМХО отсюда следует, что ПП 687 должно охватывать только ручную обработку. ПП 781 автоматическую и автоматизированную, хотя, не буду спорить, из текстов этих ПП этого однозначно не следует.
Но повторюсь, все зависит от ваших целей. Например, целью может быть такая:
- Используя баги законодательства РФ обеспечить выполнение требований регуляторов с наименьшими потерями для бизнеса
Или такая:
- Попытаться обеспечить у себя некоторый уровень защиты прав субъектов ПДн, ставших вам известными в процессе деятельности.
Могут наверно и другие цели быть.
Меня вот достали бюро пропусков ...
Тут на днях на встречу опаздывал в одном из бизнес-центров так у них вообще берут паспорт и кладут в сканер ...
У меня уже 2 юр. лица нарисовалось в качестве целей для того чтобы посмотреть какие проблемы от регулятора могут быть по обращению субъекта ... пора попрактиковаться, так сказать провести своеобразный тест на проникновение для исследования вопроса о том, что предъявят к моей конторе ...
А в чем проблема? Ты свое согласие даешь конклюдентными действиями
Это же не отменяет выполнение требований по защите моих ПДн?
А они не защищают?
Вначале лучше напрямую. А уж потом в РКН.
А я вот и обращусь в Роскомнадзор для того чтобы они это проверили
Алексей согласитесь, что в данном случае любой отписки юр. лица я не должен доверять...
Также досудебный порядок урегулирования отдельных споров предусмотрен законодательством, а я в суд не собираюсь ходить за меня это по идее делает Роскомнадзор в случае чего ...
А презумпция невиновности как же? У вас должны быть веские основания, чтобы не доверять этой отписке. И вы их должны будете изложить РКН, чтобы он начал защищать ваши права.
Вот тут ваша правда ... но мы живем в очень интересной стране и РКН как мне кажется будет интересно выполнить хотя бы какие то действия
Насчет презумпции невиновности попробую пример привести я звоню в милицию называю себя говорю, что слышал крики и выстрелы в соседней квартире ... милиция приедет по вызову?
Так вот я думаю в доступных документах по Пдн я найду "крики и выстрелы" ...
У меня вот другой вопрос, может ли субъект Пдн оперировать, оценивать, а также ссылаться на невыполнение неких технических требований? Для этого требуется некая компетенция типа эксперт и как она присуждается у нас?
Вам не приходилось выступать экспертом по ИБ в судебных процессах? Если да то какие к вам как эксперту предъявлялись требования и на основании чего?
Отправить комментарий