1

Тема: Являются ли платежные системы (например SWIFT) - ИСПДн?

Александр Ефимов пишет:

Являются ли платежные системы (например SWIFT) - ИСПДн?

По-моему это ИСПДн, поскольку содержат ПДн в части идентификации и материального положения.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

2

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Dmitry Leviev пишет:
Александр Ефимов пишет:

Являются ли платежные системы (например SWIFT) - ИСПДн?

По-моему это ИСПДн, поскольку содержат ПДн в части идентификации и материального положения.

По мнению ЦБ - это не ИСПДн, т.к. обработка ПДн не является предназначением системы, а ПДн лишь являются сопутствующей основным целям информацией и выделить обработку ПДн в отдельную обработку не представляется возможным.

3

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

1. а закон не знает такой разницы-)
2. система SWIFT является международной и там работает конвенция + 152-ФЗ. Фактически это ЭДО.
3. Я уважаю ЦБ, но он не является регулятором по защите информации и защите интересов физических лиц. РКН считает что любая обработка, где есть Пдн подпадает под закон.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

4

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Dmitry Leviev пишет:

РКН считает что любая обработка, где есть Пдн подпадает под закон.

Информационная система персональных данных и информационная система в которой есть персональные данные - это не совсем одно и то же (см. определения ИСПДн и базы данных, а еще лучше оригинал Евроконвенции и часть 4 ст.4 152-ФЗ).

А то договоримся до того, что признаем ИСПДн компьютер, где все ПДн составят txt-шный файл заявления сотрудника на отпуск или сохраненную историю переписки сотрудника по аське wink

5

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств
Это определение закона.
База данных - файловая система или СУБД - по определению и подходит и то, и то.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

6

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Дмитрий я хоть и не эксперт по Swift-ам, но при разговоре с людьми которые эту систему обслуживают понял что  ПДн в таких системах (конкретный продукт) не хранятся...из-за этого в силу определения и сделал такой вывод ... что это не ИСПДн
..а раз нет базы то и говорить не о чем...а только лишь обработки маловато будет smile...хотя тут такая же философия как и с тем считать ли ФИО-ПДн...даже на самом высоком уровне мнения расходятся:)...а по поводу AD и Exchange соглашусь что ИСПДн это все-таки...

7

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Есть обработка в виде сообщения? Оно присутсвует в виде файла, который подписываем? Значит есть обработка и соответственно есть ИСПДн. Я понимаю, что это создает некоторые проблемы в трансграничной передачи, особенно учитывая риски применения законодательства США.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

8

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Dmitry Leviev пишет:

База данных - файловая система

Можно поподробней: определение - источник определения (закон/подзаконный акт/стандарт и пункты/статьи) - логическая цепочка

9

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

а представитель банковского сектора господин топаренко я так понимаю придерживается позиции ЦБ? касательно данного вопроса

10 (2010-02-04 11:31:17 отредактировано toparenko)

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

а представитель банковского сектора господин топаренко я так понимаю придерживается позиции ЦБ? касательно данного вопроса

Посмотрим, как СТО БР пройдет регуляторов - из этого и будем исходить wink
Кстати: я нигде не говорю, что SWIFT - это не обработка ПДн. Вопрос стоит это ИСПДн или нет. Вопрос о распространении 152-ФЗ на обработку не стоИт.

Напомню трехглавый закон:

Статья 9. Ограничение доступа к информации
5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

И никто с банков не снимает ответственности за защиту банковской (профессиональной) тайны.

"toparenko" - это ник, а не ПДн. Т.ч. латинскими буквами пож. big_smile

11

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

врядли это произойдет ну как говорится время покажет) ...по крайней мере позиция ЦБ касательно того что для БС РФ требование получения лицензии на деятельность по ТЗКИ при проведении мероприятий по обеспечению безопасности в ИСПДн и требование проведения аттестации не являются обязательным выглядит крайне сомнительными )

12

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

...по крайней мере позиция ЦБ касательно того что для БС РФ требование получения лицензии на деятельность по ТЗКИ при проведении мероприятий по обеспечению безопасности в ИСПДн и требование проведения аттестации не являются обязательным выглядит крайне сомнительными )

Почему же сомнительно - см. проект приказа ФСТЭК.
Там для всех нет обязательности лицензирования по ТЗКИ и аттестации wink

Не забываем про прошлогодине изменения в закон о техрегулировании и Британском стандарте по ПДн, который собираются сделать ISO. IMO это наихудший сценарий для ФСТЭК, а "дамоклов меч" "повиснет" со второго полугодия сг.

13

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

вы про приказ об утверждении положения о способах и методах защиты ПДн в ИСПДн во исполнение 781 постановления...я про него уже забывать стал после прочтения:) хотя прошло всего пару дней с момента его появления
интересно кстати что это положение разработал Воронежский НИИ по непроверенной информации по заказу ФСТЭка...интересно когда Григоров его подпишет ...может быть вы знаете?

14

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

вы про приказ об утверждении положения о способах и методах защиты ПДн в ИСПДн во исполнение 781 постановления...

О нем самом wink

a.efimov пишет:

вы когда Григоров его подпишет ...может быть вы знаете?

Когда подпишет (и вообще подпишет ли) - это только самому Григорову известно big_smile
Уж очень много здесь субъективных факторов...

15

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

напомню, что 4-х книжье на согласовании в Минюсте сейчас.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

16

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

smile интересно
Дмитрий, а сколько времени отведено на согласование?

17

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

smile интересно
Дмитрий, а сколько времени отведено на согласование?

Хмм. сложный вопрос, обычно 1 месяц, но иногда... может долго лежать.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

18

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

то есть законами сроки не определены....это плохо

19

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Dmitry Leviev пишет:

напомню, что 4-х книжье на согласовании в Минюсте сейчас.

3-й заход wink

Минэкономразвития визу свою на этом варианте поставило или как в прошлые разы?
Если не поставило - то не пройдет.

20

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Добрый день!
Может быть опытом своим со мной поделитесь и расскажите какие системы в рамках вашей практики, ну к примеру в рамках тех же БС РФ не относятся к ИСПДн...и в силу каких причин

21

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

a.efimov пишет:

Может быть опытом своим со мной поделитесь и расскажите какие системы в рамках вашей практики, ну к примеру в рамках тех же БС РФ не относятся к ИСПДн...и в силу каких причин

Вначале должен быть согласован с регуляторами и принят вариант СТО БР (с изменениями по 152-ФЗ), а уж потом будет практика wink

22

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Есть практика - где есть информация о клиенте - там ИСПДН в первом приближении.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

23

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Dmitry Leviev пишет:

Есть практика - где есть информация о клиенте - там ИСПДН в первом приближении.

Практика или "мнение регуляторов/интеграторов"?

Вы не пробовали:
1. Отделить обрабатываемые ПДн от остальной обработки
2. Определить цели обработки ПДн и их объем в обрабатываемой информации конфиденциального характера
3. Определить категорию ПДн и какой объем составляют ПДн подлежащие обязательному раскрытию (лица имеющие право действовать от имени юрлица без доверенности)
4. Сравнить урон наносимый субъектам ПДн и урон наносимый юрлицу, при нарушении оперативности/достоверности/безопасности передаваемой информации
5. Определить границы ИСПДн (при отнесении к ИСПДн) и лицо определяющее цели и содержание обработки ПДн

24

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Пробовали и разносили обработку. Вот только есть маленькая проблема - бизнес не готов делать раздельную обработку.
Потери юрлица при защите конституционных прав гражданина не являются определяющими, т.к. такие потери связаны с попыткой нарушения закона государства.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

25

Re: Являются ли платежные системы (например SWIFT) - ИСПДн?

Dmitry Leviev пишет:

Пробовали и разносили обработку. Вот только есть маленькая проблема - бизнес не готов делать раздельную обработку.
Потери юрлица при защите конституционных прав гражданина не являются определяющими, т.к. такие потери связаны с попыткой нарушения закона государства.

См. часть 4 ст.4 152-ФЗ - где баланс интересов, предусмотренный Евроконвенцией?

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.