Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 11 След.
Банки и Роскомнадзор, Вопросы, которые вы бы хотели задать Роскомнадзору
Цитата
Miksin пишет:
Если поручение не по форме, значит оно не действительно, то есть оно не поручение, то есть его нет и не было)) когда в форму приведут, тогда и будет поручением
Попробуйте нарушить форму Т-2, не отправить данные по военнообязанным в военкомат или не выполнить обязанности налогового агента/агента социальных платежей. :D
И это касается любого работодателя, а не только банка...

Тогда Вы сразу поймете свои возможности не обрабатывать определенные для работодателя цели обработки и состав обрабатываемых ПДн.

Естетственно никто не запрещает Вам взять на себя обязанности оператора, только и ответственность Вы тоже должны будете взять :D
Цитата
Miksin пишет:
Кто прав, кто виноват, покажет практика
Судебная практика уже показывает:
- http://personal-data.livejournal.com/115505.html
- http://www.fz-152.org/forum/viewtopic.php?f=79&t=162
- http://www.fz-152.org/forum/viewtopic.php?f=79&t=150
Цитата
Miksin пишет:
если когда нибудь проверяющие дойдут до организаций, организующих обработку Пдн по вашей схеме
По "третьим лицам" vs "третьим сторонам" уже пройдена проверка Роскомнадзора - 1 замечание (там действительно задержали ответ субъекту), предписаний не выдавалось, санкции не предъявлялись. К сожалению на сайте РКН данные о проверке не публиковались

В остальном я всегда говорю, что все зависит от грамотности обеих сторон проверки. Т.ч. если Вы применяете предлагаемые схемы, то Вы должны быть готовы защищать свою позицию в суде (до ВС/ВАС включительно).
Регяторы тоже люди (а людям свойственно ошибаться), хотя и успешно учатся на кроликах
Изменено: toparenko - 02.11.2011 17:59:59
Банки и Роскомнадзор, Вопросы, которые вы бы хотели задать Роскомнадзору
Цитата
Miksin пишет:
Там не выполнение поручений по сдаче отчетности, а выполнение обязанностей возложенных на оператора. Это огромная разница. И уж как минимум все приведенные вами ссылки на нормативные акты-типа это поручения-таковыми считать просто невозможно, так как они не по форме, которую к поручениям сейчас предъявляет статья 6.
Начнем с того, что по указанным целям банк не определяет цель обработки, состав обрабатываемых ПДн и действия совершемые с ПДн (см определение оператора ПДн в п.2 ст.3 ЗоПД). Соответственно банк уже не является оператором по данным целям, но обязан обрабатывать (осуществлять обработку) ПДн - не обрабатывать он просто не имеет право.

Далее читаем внимательно часть 3 ст.6 ЗоПД в редакции от 27.07.2011:
Цитата
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
Согласие не требуется т.к. цели определены законом (п.2 ч.1. ст.6 ЗоПД)
Цитата
либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора)
Закон является нормативно-правовым актом - т.ч. поручение оператора оформлено путем принятием государственным органом нормативно-правового акта.

То,что не соблюдена форма - это уже проблема оператора (а не ЛООПДППО) и его обязанность привести форму в соответствие. Ответственность перед субъектами за организацию обработки (в том числе организацию защиты) на соответствующем операторе/соответствующих операторах. Банк (согласно ч.5 ст.6 ЗоПД) отвечает перад оператором/операторами за выполнение указанных ими требований - не указали требования, значит отвечать не за что :D

Цитата
Miksin пишет:
В силу неизвестности третьим лицам!!!!!!!!!!!!! Банк сразу передает данные клиента в БКИ и в гос органы!!!!!!
Не путайте третьих лиц и третьи стороны.
Третьи лица не несут обязанностей по обязательствам сторон (ч.3 ст.308 ГК РФ), а, как минимум, защита персональных данных уже будет обязанностью.
Третьи стороны несут обязательства по обеспечению конфиденциальности т.ч. ни защита ПДн, ни режим КТ не нарушаются если всеми сторонами выполняются обязанности по обеспечению конфиденциальности.
Цитата
Miksin пишет:
И чтобы сведения о важных клиентах сохранились и не разглашать сотрудниками специально для банков и существует отдельный вид профессиональной тайны-БТ!! Кроме закона, коммерческую тайну даже больше регулирует 4 часть гк.
Банковскую тайну (кроме закона о банках и банковской деятельности) регулирует все тот же ГК РФ (кстати ГК РФ тоже Закон ;) ) - см. ст.857 ГК РФ
Банки и Роскомнадзор, Вопросы, которые вы бы хотели задать Роскомнадзору
Цитата
Miksin пишет:
Он не обязателен!
Официально - пока не обязателен.
Однако см. закон о НПС и Вы поймете, что ЦБ выдумывать нового не будет и транслирует уже согласованный с ФСБ и ФСТЭК Комплекс БР ИББС. И "необязательный" станет обязательным ;)
Цитата
Сергей С. пишет:
Помимо ПДн клиентов в банке есть еще и ПДн работников, их к БТ отнести невозможно
Легко. :D

Работники в большинстве банков получают ЗП на карточные счета в том же банке => работники стновятся одновременно клиентами
Цитата
Miksin пишет:
Так я тоже согласен что помимо клиентов в банке еще куча Пдн и банк еще много куда передает
По поводу когда банк является ЛООПДППО я писал еще год назад
Банки и Роскомнадзор, Вопросы, которые вы бы хотели задать Роскомнадзору
Цитата
Юзверь пишет:
Получается две схемы имеют право на жизнь? Как ПДн->БТ->КТ, так и ПДн->КТ.
У Россельхоза именно ПДн->БТ->КТ.
Мож. в докладе и прозвучала вторая схема, но это лишь из-за того, что уже об этом много раз говорилось и не стали углубляться в детали.
Цитата
Юзверь пишет:
Положение о ПДн они не делали вообще
Я тоже не сторонник отдельного положения о ПДн (разве-что обычно не трогаю Положение о ПДн работников, которое идет в рамках ТК для Роструднадзора).
Я считаю достаточным Положения о защищаемой информации, где ПДн идут разделом, а режим защиты распространяется на всю ИОР не составляющую ГТ.
Банки и Роскомнадзор, Вопросы, которые вы бы хотели задать Роскомнадзору
Цитата
Сергей С. пишет:
стОит или стоИт
СтОит, ибо дорого стоИт ;)
Банки и Роскомнадзор, Вопросы, которые вы бы хотели задать Роскомнадзору
Цитата
Miksin пишет:
Объясните, пожалуйста, а как это персоналльные данные в режиме банковской тайной перестали быть персональными данными и РКН их не проверяет? И куда данные родственников подогнали? Это же не БТ.То есть я могу клиентские базы вогнать в режим КТ и могу не обращать внимание на требования 152?
Цитата
Юзверь пишет:
Я случайно обманул. В Россельхозбанке защиту ПДн обеспечивали в рамках защиты КТ.
Вообще-то там (и не только там) ПДн отнесены к БТ по ГК РФ. А т.к. неизвестность БТ позволяет предотвратить материальные потери (как минимум на штрафах и ответственностью за разглашение БТ), то ее можно относить к КТ.
Вот и сделали: ПДн->БТ->КТ

Принцип я давал на какой-то из банковских конференций в конце лета - начале осени 2009, а дальше уже использовали кому пришелся "по душе". Тогда же пошел тот слайд, что под № 13 в этой (более поздней) презентации ftp://195.91.195.79/pub/seminars/152-FZ_October/Tokarenko.ppt
Банки и Роскомнадзор, Вопросы, которые вы бы хотели задать Роскомнадзору
Цитата
knyaz пишет:
а если все ПДн подогнать под категорию банковской тайны?
Цитата
Юзверь пишет:
Так сделали в Россельхозбанке
Не только в Россельхозбанке. Этот принцип заложен в Комплекс БР ИББС-2010 - именно по нему из ИСПДн были исключены платежные системы и можно было исключать неплатежные системы основной целью которых не являлась обработка ПДн.
И этот принцип легко обосновывается понятием банковской тайны из ГК РФ т.к. там в банковскую тайну входят сведения о клиенте (в том числе его ПДн)
Цитата
Сергей С. пишет:
Попытка была в прежней редакции поправок в 152: защита ПДн в рамках защиты иных видов тайн, но увы ...
В том числе потому сейчас и стОит вопрос перевыпуска "письма шести" ;)
Банки и Роскомнадзор, Вопросы, которые вы бы хотели задать Роскомнадзору
На некоторые вопросы можно и без РКН ответить:
Цитата
Сергей С. пишет:
Если принят СТО БР ИББС:
Готовится новая редакция "Письма шести", легитимизирующая Комплекс БР ИББС-2010 после выхода новой редакции ЗоПД
Цитата
Сергей С. пишет:
115ФЗ это противодействие терроризму?
Да
Цитата
Сергей С. пишет:
3. ПДн членов семьи заемщика - выгодоприобретатель или нет?
Выгодоприобретатели
[ Закрыто] Согласие в образовательных учреждениях
Цитата
Николай пишет:
статья 9 пункт 2
Так на эти пункты согласие не требуется - потому они и обрабатиываются при отзыве согласия
[ Закрыто] Согласие в образовательных учреждениях
Цитата
ВадимКа пишет:
Это где вы такое согласие видели?
Видел. ;)
Цитата
ВадимКа пишет:
Требования к согласию прописаны в законе, не надо требовать лишнего...
А я и не указал ничего сверх ЗоПД ;-)
Цитата
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
Цитата
ВадимКа пишет:
1) какая может быть цель кроме обеспечения уставной деятельности организации?
Напомню, что согласие дается субъектом свободно, своей волей и в своем интересе. Ну и какой мне (как субъекта) интерес в уставной деятельности организации?!?
Пошлю на три буквы (в суд ;) ) и буду прав - ибо эта цель мне абсолютно параллельна.
Цитата
ВадимКа пишет:
Иначе получится:
Поручаем фирме “РОГА и КОПЫТА” адрес “такой-то” с целью 1,
Поручаем фирме “РОГА и КОПЫТА” адрес “такой-то” с целью 2,
Поручаем фирме “РОГА и КОПЫТА” адрес “такой-то” с целью 3
Нифига.
Должно быть так: Обработка ПДн по целям 1, 3, 5, N поручена фирме “РОГА и КОПЫТА”, обработка по целям 2, N-1 поручена фирме "ромашка",.. обработка по цели 4 осуществляется оператором...
Цитата
ВадимКа пишет:
Приведу пример про ГИБДД (соседняя ветка) про ознакомление субъекта с материалами его дела, в результате чего ему раскрываются ПДн заявителя.
См. КоАП РФ (вот те самые данные подлежащие обязательному раскрытию по закону):
Цитата
Статья 25.1. КоАП РФ. Лицо, в отношении которого ведется производство по делу об административном правонарушении

1. Лицо, в отношении которого ведется производство по делу об административном правонарушении, вправе знакомиться со всеми материалами дела, давать объяснения, представлять доказательства, заявлять ходатайства и отводы, пользоваться юридической помощью защитника, а также иными процессуальными правами в соответствии с настоящим Кодексом
В случае, если данные подлежать обязательному раскрытию неограниченному кругу лиц, они становятся общедоступными без необходимости согласия.
Не всегда на такие сведения есть указание о необходимости их опубликования. Например см. Федеральный закон от 8 августа 2001 г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей"
Цитата
Статья 6. Предоставление содержащихся в государственных реестрах сведений и документов

1. Содержащиеся в государственных реестрах сведения и документы являются открытыми и общедоступными, за исключением сведений, доступ к которым ограничен в соответствии с абзацем вторым настоящего пункта.

Сведения о номере, о дате выдачи и об органе, выдавшем документ, удостоверяющий личность физического лица, содержащиеся в государственных реестрах, могут быть предоставлены исключительно органам государственной власти, иным государственным органам, судам, органам государственных внебюджетных фондов в случаях и в порядке, которые установлены Правительством Российской Федерации. Данное ограничение не применяется при предоставлении содержащих указанные сведения копий учредительных документов юридических лиц, а также сведений о месте жительства индивидуальных предпринимателей, которые предоставляются в порядке, установленном пунктом 5 настоящей статьи.
Таким образом сведения из ЕГРЮЛ/ЕГРИП не подлежат официальному опубликованию, но подлежат обязательному раскрытию. При этом часть сведений общедоступны, а часть ограниченного доступа.
Но и в случае общедоступности и в случае ограниченного доступа согласие субъекта (например ИП или физиков юрика указанных в реестре) не требуется.
[ Закрыто] Согласие в образовательных учреждениях
Цитата
ВадимКа пишет:
Не согласен. Если есть обоснования обработки можно не уничтожать.
Если есть основания, то и согласие не нужно ;)
Цитата
ВадимКа пишет:
Все равно брать согласие в информационных целях на общедоступные данные - ФИО, должность, ученая степень
См. выше.
Согласие не требуется на ПДн подлежащие обязательному раскрытию
Цитата
ВадимКа пишет:
так почему не взять одновременно, одной бумажкой согласие на обработку и передачу.
В согласии должны быть прописаны:
- все цели
- полный перечень ПДн по каждой цели
- все операции по каждой цели
- все ЛООПДППО по каждой цели
- сроки по каждой цели.

И не скопом, а именно по каждой цели все это перечислить в согласии :D
[ Закрыто] Согласие в образовательных учреждениях
Цитата
Андрей С. пишет:
Есть образовательное учреждение. Оно передает ПДн в составе ФИО+№группы третьей стороне, для выпуска бэйджиков
Цитата
Роман пишет:
Во-вторых, В договоре с третьей стороной, согласно Ст.6 п.3. необходимо указать "...обязано соблюдать принципы и правила обработки...В поручении указан перечень действий с перс данными...указано на обязанность соблюдать..."
Это как раз будет обработка персональных данных по поручению оператора. Соответственно см. ч.ч.3-5 ст.6 ЗоПД. Ну, а по ч.5 ст.6 ЗоПД далее должны быть указаны меры из ст.19 ЗоПД ;)
[ Закрыто] Согласие в образовательных учреждениях
Цитата
Роман пишет:
Родилось наверно важное замечание: То что мы имеем право обрабатывать ПДн согласно ФЗ "Об образовании" и ст.6 ФЗ-152. НО...Согласно ст.8 п.1 "...В общедоступные источники персональных данных с письменного согласия субъекта персональных данных...". Таким образом, даже если обработка осуществляется согласно ФЗ, это не дает право делать ПДн общедоступными
Это не те общедоступные источники, что регулируются ст.8 ЗоПД.
Это п.11 ч.1 ст.6 ЗоПД - т.е. ПДн подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом ;)
И отдельного согласия на раскрытие этих ПДн не требуется
[ Закрыто] Согласие в образовательных учреждениях
Цитата
Сергей С. пишет:
если есть законная возможность этого не делать то зачем городить огород?
Здесь еще следует помнить, что согласие может быть отозвано в любой момент времени. И все, что обрабатывалось на основе этого согласия должно быть уничтожено. ;)
[ Закрыто] Как правильно юридически оформить передачу ПД другому Юр. лицу?
Цитата
Сергей С. пишет:
Поэтому ст.9 и обязывает конкретно указывать кому поручена обработка,
Вообще-то согласие (согласно главы 9 ГК РФ) является договором (двух- и более сторонняя сделка). А согласие в письменной форме - соответственно договором в простой письменной форме ;-)
Цитата
Сергей С. пишет:
ЛООПДППО сторона договора с оператором
Вообще-то не факт, что сторона договора с оператором. Сторона договора сейчас лишь как частный случай.
Поручением оператора может быть (по ч.3 ст.6 ЗоПД) соответствующий акт гос/муниципального органа. Соотвественно все НПА гос/муниципалов подпадают под указанные акты и поручением оператора может быть как закон, так и подзаконные акты ведомств и ниже (в объеме имеющихся у них полномочий)
[ Закрыто] Как правильно юридически оформить передачу ПД другому Юр. лицу?
Цитата
Сергей С. пишет:
а это требования из ст. 19
Не-а.
Ранше по этому поводу слега упоминалось в ч.4 ст.6 ЗоПД. А в редакции от 27 июля 2011 это раскрыто частями 3-5 той же ст.6 ЗоПД ;)
[ Закрыто] Как правильно юридически оформить передачу ПД другому Юр. лицу?
Цитата
Антон пишет:
Ну понятно в договоре с клиентом мы пропишем, что клиент разрешает передачу данных третьим лицам
ЛООПДППО не может быть третьим лицом. См. ГК РФ:
Цитата
Статья 308. Стороны обязательства
3. Обязательство не создает обязанностей для лиц, не участвующих в нем в качестве сторон (для третьих лиц).
Обеспечение конфиденциальности ПДн - это уже обязанность.
[ Закрыто] Сертификация СЗИ, как разобраться подходит ли сертификат
Цитата
Андрей пишет:
ПОДСКАЖИТЕ ПОЖАЛУЙСТА, СРОЧНО!!! как посмотреть ТУ, SSG-5-SB - по 3 классу (с ограничениями и на соответствие ТУ)?
Спрашивайте у вендора. Они обязаны представить это ТУ.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
Trotsky пишет:
Цитата
Анатолий пишет: Получается, что практически все требования по ИСПДн к2 можно закрыть с помощью Windows. Хотелось бы узнать мнение сообщества.
Для типовых систем - да. Для специальных систем - вопрос *WOW* .
Применить как СЗИ в типовой К2 (учитывая, что классов ИСПДн уже нет, а уровней защиты ПДн еще нет) возможно. Но не факт, что закроете все требования
Права Администратора
Цитата
Илья пишет:
Где написано, что администратор безопасности АРМ должен иметь мах доступ(сов. секретно) из присутствующих на АРМ?

Это - нигде. Тем более если Вам все-таки удасться обеспечить, чтоб сисадмин и админ. безопаности не имел доступ к пользовательской информации.

Цитата
Илья пишет:
Т.е.чтобы юридические права совпадали с фактическими(если кому так понятней).
Это другой вопрос, а нет вышезаданный.

На сколько мне склероз не изменяет режимные требования по ГТ:
- должен вестись персональный учет доступа
- доступ должен быть определен руководителем в форме допуска
- запрещен доступ к сведениям выше определенной предыдущим пунктом

Т.ч. в случае несооответствия юридических и фактических прав имеете варианты от нарушения режима ЗГТ до разглашения ГТ

Offtop: Дело Бакатина живет и побеждает...
Похоже школу ЗГТ похоронили окончательно и бесповоротно...
Страницы: 1 2 3 4 5 6 7 8 9 10 11 След.