- новая редакция стандарта Банка России СТО БР ИББС-1.0-2010
- методика оценки соответствия СТО
- отраслевая модель угроз ПДн
- рекомендации по приведению в соответствие.
Эти же документы выложены и на сайте АРБ (три тут и один тут).
Если у вас будут комментарии, предложения, замечания, то присылайте их либо в АРБ, либо в ABISS.
Интересные документы, но противоречий много. По-моему вопрос скорее политический и обсуждать пока нечего. Частная модель угроз не содержит угроз как таковых и не похожа на рекомендации по разработке частных моделей. Стандарт конечно подредактировали - но нужно политическое решение, чтобы банкам разрешили считать выполнение требований стандарта равноценным выполнение требований регулятора. В рекомендациях полезными могут быть только приложения. Ждем новых версий, пока и подсказать нечего. :-)
ReplyDeleteЯ так понимаю вопрос о непонятках "автоматизированная"/"неавтоматизированная" просто обошли стороной?
ReplyDeleteВ чем непонятки?
ReplyDeleteМеня интересует вопрос - можно ли опираясь на пп.1,2,3 ПП РФ №687 подводить под неавтоматизированную обработку например 1С-бухгалтерию.
ReplyDeleteВедь в банках я тоже думаю много систем можно под "неавтоматизированные" так подвести, и соответственно серьёзно затраты снизить. А здесь в рекомендациях этот весьма важный и одновременно весьма мутный вопрос вообще не упоминается.
Я считаю, что можно. Но мы в рекомендациях не включали пункты, по которым у членов рабочей группы были сомнения и разногласия. Да и для регуляторов это была бы красная тряпка.
ReplyDeleteА регуляторы где-нибудь когда-нибудь комментировали этот вопрос? (некорректность термина "неавтоматизированная", непонимание требований ПП 687 большинством операторов)
ReplyDelete>Меня интересует вопрос - можно ли >опираясь на пп.1,2,3 ПП РФ №687 >подводить под неавтоматизированную >обработку например 1С-бухгалтерию.
ReplyDeleteМожно все если вы после докажете эту правомочность регулятору ))))
А реально Евродиректива отвечает на большинство предъявляемых к законодательству о персональных данных вопросов.
Дак а ратифицирована то Конвенция (а не Директива), с официальным переводом, в котором везде стоит "автоматизированная".
ReplyDeleteTo A
ReplyDeleteИМХО
Вопрос в том – хотите вы понять как надо трактовать ФЗ РФ и его подзаконные акты, исходя из того что в них Должно быть по требованиям евродокументов (т.е без подмены их сути) или хотите понять можно ли используя то, что Есть в ФЗ и его подзаконных актах обеспечить главным образом, снижение своих расходов.
Если второе, то ответ – да, можно при некоторых условиях.
Если первое, то ратификация ИМХО не имеет роли, так как проверить свое понимание какого-то понятия (например сферы применения) по ней можно вполне
Пояснение к определению сферы применения закона о персональных данных дано в преамбуле к Евродирективе:
«(…) Обработка данных охватывается настоящей Директивой только в случае, если она является автоматизированной или если обрабатываемые данные помещаются или предназначены для помещения в систему хранения, структурированную в соответствии с особыми критериями, относящимися к частным лицам, для обеспечения легкого доступа к соответствующим персональным данным;»
«(…) Защита частных лиц должна применяться к автоматической обработке данных в той же мере, что и к ручной обработке; (…) рамки данной защиты не должны фактически зависеть от используемой техники, в противном случае это создаст серьезный риск обхода защиты; (…) тем не менее, применительно к ручной обработке, настоящая Директива охватывает только системы хранения, а не неструктурированные досье (файлы);
ИМХО отсюда следует, что ПП 687 должно охватывать только ручную обработку. ПП 781 автоматическую и автоматизированную, хотя, не буду спорить, из текстов этих ПП этого однозначно не следует.
ReplyDeleteНо повторюсь, все зависит от ваших целей. Например, целью может быть такая:
- Используя баги законодательства РФ обеспечить выполнение требований регуляторов с наименьшими потерями для бизнеса
Или такая:
- Попытаться обеспечить у себя некоторый уровень защиты прав субъектов ПДн, ставших вам известными в процессе деятельности.
Могут наверно и другие цели быть.
Меня вот достали бюро пропусков ...
ReplyDeleteТут на днях на встречу опаздывал в одном из бизнес-центров так у них вообще берут паспорт и кладут в сканер ...
У меня уже 2 юр. лица нарисовалось в качестве целей для того чтобы посмотреть какие проблемы от регулятора могут быть по обращению субъекта ... пора попрактиковаться, так сказать провести своеобразный тест на проникновение для исследования вопроса о том, что предъявят к моей конторе ...
А в чем проблема? Ты свое согласие даешь конклюдентными действиями
ReplyDeleteЭто же не отменяет выполнение требований по защите моих ПДн?
ReplyDeleteА они не защищают?
ReplyDeleteThis comment has been removed by the author.
ReplyDeleteВначале лучше напрямую. А уж потом в РКН.
ReplyDeleteА я вот и обращусь в Роскомнадзор для того чтобы они это проверили
ReplyDeleteАлексей согласитесь, что в данном случае любой отписки юр. лица я не должен доверять...
ReplyDeleteТакже досудебный порядок урегулирования отдельных споров предусмотрен законодательством, а я в суд не собираюсь ходить за меня это по идее делает Роскомнадзор в случае чего ...
А презумпция невиновности как же? У вас должны быть веские основания, чтобы не доверять этой отписке. И вы их должны будете изложить РКН, чтобы он начал защищать ваши права.
ReplyDeleteВот тут ваша правда ... но мы живем в очень интересной стране и РКН как мне кажется будет интересно выполнить хотя бы какие то действия
ReplyDeleteНасчет презумпции невиновности попробую пример привести я звоню в милицию называю себя говорю, что слышал крики и выстрелы в соседней квартире ... милиция приедет по вызову?
Так вот я думаю в доступных документах по Пдн я найду "крики и выстрелы" ...
У меня вот другой вопрос, может ли субъект Пдн оперировать, оценивать, а также ссылаться на невыполнение неких технических требований? Для этого требуется некая компетенция типа эксперт и как она присуждается у нас?
Вам не приходилось выступать экспертом по ИБ в судебных процессах? Если да то какие к вам как эксперту предъявлялись требования и на основании чего?