Вопрос: Мне нужно определить в документах подход к отнесению АБС к ИСПДн, куда его засунуть, Можно ли в ПОЛОЖЕНИЕ по защите ПДн? как то не канает... опять же нужно описать порядок проведения классификации и критерии классификации, ну это можно в классификации описать в принципе!
Форум
[ Закрыто ] СТО БР ИББС, Вопросы для тех кто руководствуется отраслевыми стандартами в защите
18.08.2011 14:13:03
|
|
|
18.08.2011 14:23:14
Николай, у меня в политике ИБ
|
|
|
18.08.2011 14:26:20
Спасибо!Если засовывать в политику то ее придется всю менять!( это конечно будет, но надеюсь что не сейчас
|
|
|
18.08.2011 14:49:38
Можете в Порядке классификации, тоже к месту.
|
|
|
19.08.2011 06:09:07
Спасибо, пишу Порядок классификации, вопрос такой, категории в банке немного другие:
•персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к специальным категориям персональных данных; •персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к биометрическим персональным данным; •персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным; •персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к общедоступным или обезличенным персональным данным. в документе я могу указать эти категории, то что все ИСПДн относятся к специальным, и сами классы испдн. 1. Классификация в кредитной организации не проводится с объемом обрабатываемых персональных данных? (ну или может не проводиться) 2. Нужно ли рассматривать пункты 9,10,11,12,13 В Приказе 3-х при проведении классификации и составления порядка проведения классификации у себя? 3. Таким образом, в сто не определенного порядка и я классифицировать могу сам как хочу, и должен выполнить только требования сто, или же я должен просто переделать порядок классификации ФСБ ФСТЭК... просто поменяв категории в нем и определенно сказав что ИСПДн специальная, а все остальные требования выполнить? |
|
|
19.08.2011 06:17:32
Таким образом по сути вопрос то получился такой - я должен определить критерии классификации ИСПДн,это обязательное требование, какие они должны быть?
|
|
|
19.08.2011 08:41:02
РС БР СТО-2.3
5.2. В соответствии с действующим стандартом СТО БР ИББС-1.0 все ИСПДн организаций БС РФ относятся к специальным. ИСПДн организации БС РФ классифицируются на основе категорий обрабатываемых в ИСПДн персональных данных. Выделяются следующие основные классы ИСПДн: ИСПДн обработки специальных категорий персональных данных (далее – ИСПДн-С); ИСПДн обработки биометрических персональных данных (далее – ИСПДн-Б); ИСПДн обработки персональных данных, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным (далее – ИСПДн-И); ИСПДн обработки общедоступных и (или) обезличенных персональных данных (далее – ИСПДн-Д). Критерий - категория ПДн. Стандарты с регуляторами согласованы. Хотя в свете изменений 152 все поплывет.
Изменено:
Сергей С. - 19.08.2011 08:42:35
|
|
|
19.08.2011 10:04:16
Но ИСПДн так же ведь присваиваются классы ?
• класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; • класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; • класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; • класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. Этого ведь не сказано в СТО |
|
|
19.08.2011 10:12:24
Если вы приняли решение о введении СТО, то и классифицируйте по СТО, если нет - по документам регуляторов.
|
|
|
19.08.2011 10:16:06
|
|||
|
19.08.2011 10:16:46
А разве СТО требует защиту только ПДн?
|
|
|
|
19.08.2011 10:21:03
СТО требует защиту всех информационных активов, в том числе и ПДн.
|
|
|
19.08.2011 10:29:21
Вы уже пробовали заполнить (отправить) уведомление в РКН с классами ИСПДн-х? и куда Вас послали? |
|||
|
19.08.2011 10:32:44
Пробовал и отправил, не только уведомление но и Подтверждение соответствия. И классификация: Специальная ИСПДн-И. Вопросов не возникло.
Изменено:
Сергей С. - 19.08.2011 10:34:27
|
|
|
19.08.2011 10:41:04
номер в реестре операторов не подскажете? можно в личную почту. |
|||
|
19.08.2011 11:10:40
Подтверждение соответствия отправляется в ЦБ.
А как отправить уведомление если мы там уже имеемся но к стандартам то только недавно присоеденились. |
|
|
19.08.2011 11:24:04
А ЦБ направляет копии подтвеждения в РКН, ФСТЭК и ФСБ. Хотя наша местная ФСБ запросила подтверждение напрямую.
Николай, на сайте РКН есть рыба: Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных. Заполняйте и укажите, что классификация проведена по СТО, присвоен класс такой-то. |
|
|
19.08.2011 11:30:32
Нашел, точно, думаете стоит вносить изменения сейчас или все же подождать подзаконников ведь СТО тоже изменится?, может и там уровни защищенности появятся!)
|
|
|
19.08.2011 11:37:22
Я бы подождал. Сейчас будет формироваться план проверок на 12 год, лучше не свтиться лишний раз.
|
|
|
26.08.2011 10:39:15
Вопрос такой, составляю документ - Положение по обработке и защите персональных данных, в нем я должен указать - Для каждой ИСПДн цель обработки, Испдн у меня одна и я пишу что перечень персональных данных ИСПДн "такой то", целью которых является ... в приложении N. У меня одна ИСПДн, но есть еще персональные данные которые обрабатываются в АБС реализующие банковские платежные технологические процессы.
я должен в этом же положении для каждой цели обработки перональных данных указать объем и содержание персональных данных. Соответственно пишу второй подпункт, перечисляю цель оставшуюся и говорю что перечень такой - то, таким образом положение охватит все цели обработки персональных данных, а так же весь объем обрабатываемых персональных данных, где пользователи смогут ознакомиться с таким положением, которые имеют доступ к ним! |
||||
|
||||
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)