- новая редакция стандарта Банка России СТО БР ИББС-1.0-2010
- методика оценки соответствия СТО
- отраслевая модель угроз ПДн
- рекомендации по приведению в соответствие.
Эти же документы выложены и на сайте АРБ (три тут и один тут).
Если у вас будут комментарии, предложения, замечания, то присылайте их либо в АРБ, либо в ABISS.
Интересные документы, но противоречий много. По-моему вопрос скорее политический и обсуждать пока нечего. Частная модель угроз не содержит угроз как таковых и не похожа на рекомендации по разработке частных моделей. Стандарт конечно подредактировали - но нужно политическое решение, чтобы банкам разрешили считать выполнение требований стандарта равноценным выполнение требований регулятора. В рекомендациях полезными могут быть только приложения. Ждем новых версий, пока и подсказать нечего. :-)
ОтветитьУдалитьЯ так понимаю вопрос о непонятках "автоматизированная"/"неавтоматизированная" просто обошли стороной?
ОтветитьУдалитьВ чем непонятки?
ОтветитьУдалитьМеня интересует вопрос - можно ли опираясь на пп.1,2,3 ПП РФ №687 подводить под неавтоматизированную обработку например 1С-бухгалтерию.
ОтветитьУдалитьВедь в банках я тоже думаю много систем можно под "неавтоматизированные" так подвести, и соответственно серьёзно затраты снизить. А здесь в рекомендациях этот весьма важный и одновременно весьма мутный вопрос вообще не упоминается.
Я считаю, что можно. Но мы в рекомендациях не включали пункты, по которым у членов рабочей группы были сомнения и разногласия. Да и для регуляторов это была бы красная тряпка.
ОтветитьУдалитьА регуляторы где-нибудь когда-нибудь комментировали этот вопрос? (некорректность термина "неавтоматизированная", непонимание требований ПП 687 большинством операторов)
ОтветитьУдалить>Меня интересует вопрос - можно ли >опираясь на пп.1,2,3 ПП РФ №687 >подводить под неавтоматизированную >обработку например 1С-бухгалтерию.
ОтветитьУдалитьМожно все если вы после докажете эту правомочность регулятору ))))
А реально Евродиректива отвечает на большинство предъявляемых к законодательству о персональных данных вопросов.
Дак а ратифицирована то Конвенция (а не Директива), с официальным переводом, в котором везде стоит "автоматизированная".
ОтветитьУдалитьTo A
ОтветитьУдалитьИМХО
Вопрос в том – хотите вы понять как надо трактовать ФЗ РФ и его подзаконные акты, исходя из того что в них Должно быть по требованиям евродокументов (т.е без подмены их сути) или хотите понять можно ли используя то, что Есть в ФЗ и его подзаконных актах обеспечить главным образом, снижение своих расходов.
Если второе, то ответ – да, можно при некоторых условиях.
Если первое, то ратификация ИМХО не имеет роли, так как проверить свое понимание какого-то понятия (например сферы применения) по ней можно вполне
Пояснение к определению сферы применения закона о персональных данных дано в преамбуле к Евродирективе:
«(…) Обработка данных охватывается настоящей Директивой только в случае, если она является автоматизированной или если обрабатываемые данные помещаются или предназначены для помещения в систему хранения, структурированную в соответствии с особыми критериями, относящимися к частным лицам, для обеспечения легкого доступа к соответствующим персональным данным;»
«(…) Защита частных лиц должна применяться к автоматической обработке данных в той же мере, что и к ручной обработке; (…) рамки данной защиты не должны фактически зависеть от используемой техники, в противном случае это создаст серьезный риск обхода защиты; (…) тем не менее, применительно к ручной обработке, настоящая Директива охватывает только системы хранения, а не неструктурированные досье (файлы);
ИМХО отсюда следует, что ПП 687 должно охватывать только ручную обработку. ПП 781 автоматическую и автоматизированную, хотя, не буду спорить, из текстов этих ПП этого однозначно не следует.
ОтветитьУдалитьНо повторюсь, все зависит от ваших целей. Например, целью может быть такая:
- Используя баги законодательства РФ обеспечить выполнение требований регуляторов с наименьшими потерями для бизнеса
Или такая:
- Попытаться обеспечить у себя некоторый уровень защиты прав субъектов ПДн, ставших вам известными в процессе деятельности.
Могут наверно и другие цели быть.
Меня вот достали бюро пропусков ...
ОтветитьУдалитьТут на днях на встречу опаздывал в одном из бизнес-центров так у них вообще берут паспорт и кладут в сканер ...
У меня уже 2 юр. лица нарисовалось в качестве целей для того чтобы посмотреть какие проблемы от регулятора могут быть по обращению субъекта ... пора попрактиковаться, так сказать провести своеобразный тест на проникновение для исследования вопроса о том, что предъявят к моей конторе ...
А в чем проблема? Ты свое согласие даешь конклюдентными действиями
ОтветитьУдалитьЭто же не отменяет выполнение требований по защите моих ПДн?
ОтветитьУдалитьА они не защищают?
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьВначале лучше напрямую. А уж потом в РКН.
ОтветитьУдалитьА я вот и обращусь в Роскомнадзор для того чтобы они это проверили
ОтветитьУдалитьАлексей согласитесь, что в данном случае любой отписки юр. лица я не должен доверять...
ОтветитьУдалитьТакже досудебный порядок урегулирования отдельных споров предусмотрен законодательством, а я в суд не собираюсь ходить за меня это по идее делает Роскомнадзор в случае чего ...
А презумпция невиновности как же? У вас должны быть веские основания, чтобы не доверять этой отписке. И вы их должны будете изложить РКН, чтобы он начал защищать ваши права.
ОтветитьУдалитьВот тут ваша правда ... но мы живем в очень интересной стране и РКН как мне кажется будет интересно выполнить хотя бы какие то действия
ОтветитьУдалитьНасчет презумпции невиновности попробую пример привести я звоню в милицию называю себя говорю, что слышал крики и выстрелы в соседней квартире ... милиция приедет по вызову?
Так вот я думаю в доступных документах по Пдн я найду "крики и выстрелы" ...
У меня вот другой вопрос, может ли субъект Пдн оперировать, оценивать, а также ссылаться на невыполнение неких технических требований? Для этого требуется некая компетенция типа эксперт и как она присуждается у нас?
Вам не приходилось выступать экспертом по ИБ в судебных процессах? Если да то какие к вам как эксперту предъявлялись требования и на основании чего?