Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 След.
Ответить
RSS
Существуют ли ПД категории 3?
Уважаемые специалисты в области защиты ПД.
Помогите разобраться со следующим вопросом. В реальной ИСПД ПД хранятся не сами по себе, а для решения каких-то прикладных задач. Даже в той же пресловутой пропускной системе хранится информация не про Иван Ивановича Иванова, а про то, что этот Иванов имеет доступ в такие-то помещения. То есть, выходит, по жизни ПД категории 3 не встречается - а есть либо категория 1 либо категория 2. Аналогично - в бухгалтерской системе хранится финансовая информация про Иванова. В кадровой системе хранится служебная информация о нем (трудовая дисциплина, болезни и т.д.)



P.S.
Либо наоборот везде ПД категории 3, а категория 2 не существует ;-)
Почему же не существует? Пропускная система - этот как раз ПД 3 категории. То, что человек имеет доступ в помещения или на территорию некоторой организации, не относится к персональным данным. Иначе практически всю информацию можно было бы отнести к ПД (например, потому, что она обрабатывается конкретным оператором).
Молодой человек, тогда объясните - каков критерий отнесения данных к ПД?
Я вот считаю, что информация о том, что человек имеет доступ на территорию такой-то организации, является ПД, так как позволяет получить о нем дополнительную информацию. Пусть эта территория будет - охраняемая территория банка, а человек - уборщица. И интересны эти ПД будут каким-нибудь бандитам, готовящим нападение на банк, и собирающим информацию о том, как проникнуть в нужное им помещение на его территории под видом уборщицы. Так что давайте обосновывать свои мнения чем-то явно сформулированным, а не асбстрактным здравым смыслом
Цитата
Владимир Каменский пишет:
по жизни ПД категории 3 не встречается
Учитывая, что общегражданский паспорт у нас является основныи идентифицирующим документом (и больше нигде не определено, что именно относится к категории 3), можно считать все паспортные данные ПД 3 категории.
Цитата
Владимир Каменский пишет:
Аналогично - в бухгалтерской системе хранится финансовая информация про Иванова.
Бухгалтерская система, в масштабах одной организации, все равно будет относиться к ИСПДн К3 (если, при этом, Вы не сможете уйти на ПП687).
Цитата
Владимир Каменский пишет:
В кадровой системе хранится служебная информация о нем (трудовая дисциплина, болезни и т.д.)
А вот по болезням стоит сразу уходить на ПП687 т.к. иначе от К1 Вам уйти не получится.
Цитата
Гость пишет:
Я вот считаю, что информация о том, что человек имеет доступ на территорию такой-то организации, является ПД, так как позволяет получить о нем дополнительную информацию. Пусть эта территория будет - охраняемая территория банка, а человек - уборщица. И интересны эти ПД будут каким-нибудь бандитам, готовящим нападение на банк, и собирающим информацию о том, как проникнуть в нужное им помещение на его территории под видом уборщицы.
Система организации охраны может защищаться как КТ. И здесь стОит организовывать защиту данной информации в рамках режима КТ.
Цитата
toparenko пишет:
Учитывая, что общегражданский паспорт у нас является основныи идентифицирующим документом (и больше нигде не определено, что именно относится к категории 3), можно считать все паспортные данные ПД 3 категории.
Согласен. Но тогда уж и ИНН (аналог американского SSN).
Я тоже другого не могу придумать.

Цитата

Система организации охраны может защищаться как КТ. И здесь стОит организовывать защиту данной информации в рамках режима КТ.

Это-то понятно (и с ПП687 тоже понятно).
Вопрос о другом - прав ли я, утверждая, что в реальности во всех ИСПДн хранятся ПД либо категории 1 либо категории 2 (с категорией 4 понятно).
Пока что уважаемые специалисты по защите персональных данных я внятного и логичного ответа не получил...
Цитата
Владимир Каменский пишет:
Вопрос о другом - прав ли я, утверждая, что в реальности во всех ИСПДн хранятся ПД либо категории 1 либо категории 2
Не правы, утверждая, что во всех.

3 категория может быть:
- справочники персонала
- интернет-магазин и служба доставки
- при разделении обработки данных ИСПДн более высоких классов
- перечень лиц, имеющих право совершать операции с клиентским счетом юрика
и т.д. и т.п.
Цитата
toparenko пишет:

3 категория может быть:

- справочники персонала

- интернет-магазин и служба доставки

- при разделении обработки данных ИСПДн более высоких классов

- перечень лиц, имеющих право совершать операции с клиентским счетом юрика

и т.д. и т.п.

Спасибо за хорошие примеры!

То есть хранение 3 класса ПД возникает
1) при искусственном выделении ПД из ИСПДн и разделении ее на две части
2) если ИСПДн является частично автоматизированной и собственно обработка ПД производится вручную (ПП687).

Или еще какие-нибудь типовые ситуации есть?
Цитата
Владимир Каменский пишет:
Или еще какие-нибудь типовые ситуации есть?
Сюда же можно отнести еще (если не используется биометрия, иначе +ПП512) СКУД, AD и другие системы, где не требуется иная информация, кроме идентификации.
Один из вариантов категории 3 определен в Статье 7 в пресловутом 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
Цитата
Дмитрий Левиев пишет:
Один из вариантов категории 3 определен в Статье 7 в пресловутом 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".

Спасибо! Кажется, мозаика начинает складываться. Нашлись недостающие слова в описании класса 3 - "идентифицировать лицо, находящееся на обслуживании в организации, осуществляющей операции с денежными средствами или иным имуществом (клиента)"

То есть не просто "идентифицировать лицо", а идентифицировать как клиента некой организации, осуществляющей операции с денежными средствами или иным его имуществом.

Тогда разумным предположение про категорию 2 будет то, что это некое "досье" (скорее всего часть CRM-системы, в которой ведется профилирование клиентов организации). Что думаете по этому поводу?
Нет имеется в виду только порядок идентификации, а вот то, что клиент является клиентом банка или НКО - это уже банковская тайна согласно статьи 26 ФЗ О Банках и банковской деятельности.
В данном случае имеется ввиду следующий перечень информации 3 категории:
в отношении физических лиц:
1. фамилию, имя, а также отчество (если иное не вытекает из закона или национального обычая),
2. гражданство,
3. реквизиты документа, удостоверяющего личность, данные миграционной карты, документа, подтверждающего право иностранного гражданина или лица без гражданства на *WOW* (проживание) в Российской Федерации,
4. адрес места жительства (регистрации) или места *WOW* ,
5. идентификационный номер налогоплательщика (при его наличии);
Любая дополнительная информация - категория 2, такой подход имеет право на жизнь.
Цитата
Дмитрий Левиев пишет:
Нет имеется в виду только порядок идентификации, а вот то, что клиент является клиентом банка или НКО - это уже банковская тайна согласно статьи 26 ФЗ О Банках и банковской деятельности.
...
Любая дополнительная информация - категория 2, такой подход имеет право на жизнь.
Тогда все-таки я был прав в первом посте - в реальных ИСПДн в подавляющем большинстве (и в СКУД тоже, так как там хранится дополнительная информация) существует только категория 2 ПД. С одной стороны - это хорошо, так как упрощает жизнь при классификации ИСПДн, а с другой стороны проблем из-за этого возникнет
Цитата
Дмитрий Левиев пишет:
Любая дополнительная информация - категория 2, такой подход имеет право на жизнь.

Тогда действительно ЛЮБАЯ информационная система содержит вторую категорию, так как сам факт того, что человек является клиентом какой-то коммерческой организации, позволяет получить о нем дополнительные данные ;-(
Цитата
Гость пишет:
и в СКУД тоже, так как там хранится дополнительная информация
Цитата
Гость пишет:
сам факт того, что человек является клиентом какой-то коммерческой организации, позволяет получить о нем дополнительные данные
1. Это могут быть общедоступные данные
2. Это может быть не ПД, а другой вид тайны (например КТ для режима организации охраны и доступа в помещения или ролевого [по должности, а не по ПД субъекта] доступа).
Зачем так заморачиваться? Согласно законодательству оператор устанавливает "Цель" обработки персональных данных. Если целью является идентификация, значит - категория 3. Только при этом надо "честно" следовать каждой букве законов (определено, что для идентификации нужен только паспорт, значит только паспорт и надо хранить). Система контроля доступа - это как раз тот случай: персональные данные хранятся с целью идентификации субъектов получивших доступ в помещение.
А в отношении автоматизированных банковских систем всёравно будет присутствовать дополнительная информация и будет категория 2. Представителей юридических лиц ещё можно привязать к цели "идентификация", но банков, у которых нет клиентов-физиков я ещё не видел, а состояние его счёта, кредитов и т.д. - это уже дополнительная информация.
Цитата
Дмитрий пишет:
Представителей юридических лиц ещё можно привязать к цели "идентификация", но банков, у которых нет клиентов-физиков я ещё не видел, а состояние его счёта, кредитов и т.д. - это уже дополнительная информация.
В РФ много банков, которые не имеют право работать с физическими лицами (кто не вошел в систему АСВ).
Что касается классификации категории 3 приведу примеры из практики:
1. Для прохода на территорию необходима идентификация физического субъекта. Храним только ФИО и при очень большой необходимости тип и номер документа удостоверяющий личность. Как правило делается в журнале бумажном, согласно ПП687. Карточки на проход заранее прописаны в СКД (СКУД) как гостевые. Соответствие карточки и физического субъекта ставится в журнале бумажном.
2. Проведение семинаров, выставок и круглых столов. На входе необходима регистрация участников. Храним ФИО, должность, контактный телефон.
Цитата
Дмитрий Левиев пишет:
1. Для прохода на территорию необходима идентификация физического субъекта. Храним только ФИО и при очень большой необходимости тип и номер документа удостоверяющий личность.

Сами по себе ФИО ничего не говорят. Идентифицируйте Ивана Ивановича Иванова (ничего другого о нем не знаем).
;-) Так что это категория 4 без паспортных данных ;-)

А цель обработки "идентификация для обработки услуг" не исключает использования этой информации в других целях. Например, информация о том, какие лекарства заказал человек, позволяет получить информацию о состоянии его здоровья. Или совсем классический пример от Айры Винклера - информация о заказе столика в ресторане вроде бы совсем незначительная, но если столик заказал человек, являющийся объектом покушения, то для тех, кто за ним охотится, эта информация будет использована совсем в других целях ;-(
Если учесть всё вышесказанное, то фамилия, имя, отчество; дата рождения; адрес; телефон, e-mail - это 2 категория? Я правильно понял?
Цитата
Гость пишет:
телефон, e-mail - это 2 категория
Телефон, если не домашний, вообще можно к ПД не относить.
Мыло - не факт, что получится притянуть к ПД.

Т.ч. 3-я категория.
Изменено: toparenko - 07.07.2009 21:36:16
Цитата
toparenko пишет:
Цитата
Гость пишет:

телефон, e-mail - это 2 категория

Телефон, если не домашний, вообще можно к ПД не относить.

Мыло - не факт, что получится притянуть к ПД.


Т.ч. 3-я категория.

Исходя из определения «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных). Телефон, если он не корпоративный, относится к определённому человеку и регистрируется на определённого человека. Мыло тоже привязывается к конкретному человеку (при регистрации мыла требуются персональные данные) опять же, если оно не корпоративное типа support@....ru Так что не совсем понятно.
Страницы: 1 2 3 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку