1

Тема: ГИС ЕБС не является ГИС

Официальный ответ от ФСТЭК России 19.09.2018
По вопросу обязательности проведения аттестационных мероприятий автоматизированных рабочих мест для размещения в единой биометрической системе сообщаем следующее.
ФСТЭК России устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Защита персональных данных при их обработке в информационных системах персональных данных осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, и с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждёнными приказом ФСТЭК России от 18 февраля 2013 г. № 21.
         Необходимость проведения аттестационных мероприятий в указанных нормативных правовых актах не установлена.
         В соответствии со статьёй 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ФСТЭК России осуществляет контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», при обработке персональных данных в единой биометрической системе, за исключением контроля и надзора за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании единой биометрической системы.

         Одновременно сообщаем, что в соответствии с постановлением Правительства Российской Федерации от 28 марта 2018 г. № 335 Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации является федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации граждан Российской Федерации на основе биометрических персональных данных.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

2

Re: ГИС ЕБС не является ГИС

Всем доброго утра!
Вот если бы это письмо было на бумажном носителе, да с визой представителя ФСТЭК....

3

Re: ГИС ЕБС не является ГИС

Безопасник пишет:

Всем доброго утра!
Вот если бы это письмо было на бумажном носителе, да с визой представителя ФСТЭК....

Для чего письмо на бумаге? Каким нормативно правовым актом установлена необходимость аттестации?

С уважением,
Евгений Богомолов

4

Re: ГИС ЕБС не является ГИС

вопрос об аттестации был озвучен коллегам из РТК и ЦБ на рабочих совещаниях по ЕБС. ЦБ (ГУБЗИ) однозначно отвечал, что да, аттестация нужна, но думажных подтверждений от них не было.

e.bogomolov пишет:
Безопасник пишет:

Всем доброго утра!
Вот если бы это письмо было на бумажном носителе, да с визой представителя ФСТЭК....

Для чего письмо на бумаге? Каким нормативно правовым актом установлена необходимость аттестации?

5 (2018-09-24 15:00:27 отредактировано Безопасник)

Re: ГИС ЕБС не является ГИС

Знаете выражение:  Без бумажки ты букашка...
Тогда или ЦБ должен обосновать необходимость аттестации, или ФСТЭК ее необязательность.

rustam khusainov пишет:

вопрос об аттестации был озвучен коллегам из РТК и ЦБ на рабочих совещаниях по ЕБС. ЦБ (ГУБЗИ) однозначно отвечал, что да, аттестация нужна, но думажных подтверждений от них не было.

e.bogomolov пишет:
Безопасник пишет:

Всем доброго утра!
Вот если бы это письмо было на бумажном носителе, да с визой представителя ФСТЭК....

Для чего письмо на бумаге? Каким нормативно правовым актом установлена необходимость аттестации?

6

Re: ГИС ЕБС не является ГИС

Согласен с Вами и этим вырожением.
Я думаю, каждый имеет возможность написать запрос в ЦБ и ФСТЭК с уточнением вопроса о необходимости аттестации)

Безопасник пишет:

Знаете выражение:  Без бумажки ты букашка...
Тогда или ЦБ должен обосновать необходимость аттестации, или ФСТЭК ее необязательность.

rustam khusainov пишет:

вопрос об аттестации был озвучен коллегам из РТК и ЦБ на рабочих совещаниях по ЕБС. ЦБ (ГУБЗИ) однозначно отвечал, что да, аттестация нужна, но думажных подтверждений от них не было.

e.bogomolov пишет:

Для чего письмо на бумаге? Каким нормативно правовым актом установлена необходимость аттестации?

7

Re: ГИС ЕБС не является ГИС

ЦБ отвечает в банках за ЕБС - будем запрашивать

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

8 (2018-09-26 18:38:01 отредактировано e.bogomolov)

Re: ГИС ЕБС не является ГИС

rustam khusainov пишет:

Согласен с Вами и этим вырожением.
Я думаю, каждый имеет возможность написать запрос в ЦБ и ФСТЭК с уточнением вопроса о необходимости аттестации)

Безопасник пишет:

Знаете выражение:  Без бумажки ты букашка...
Тогда или ЦБ должен обосновать необходимость аттестации, или ФСТЭК ее необязательность.

rustam khusainov пишет:

вопрос об аттестации был озвучен коллегам из РТК и ЦБ на рабочих совещаниях по ЕБС. ЦБ (ГУБЗИ) однозначно отвечал, что да, аттестация нужна, но думажных подтверждений от них не было.

Был у нас сегодня человек и рассказал следующее:

Необходимость аттестации рабочего места определена в каком-то письме ЦБ и со слов Сычева.
ФСТЭК и ФСБ от аттестации отказываются и отмахиваются как могут. Более того, при подключении к ЕБС об аттестации ни кто не вспоминает.
Ни кто не может ответить: Каким нормативным документом определена необходимость аттестации?

Про кабинки: позиция ЦБ - должны быть, поскольку биометрию защищать надо... Сейчас ни у кого кабинок нет. Единичные банки выделили помещения, у остальных съем биометрии в опер залах на обычных местах.

С уважением,
Евгений Богомолов

9

Re: ГИС ЕБС не является ГИС

Обязательная аттестация есть только в 17 приказе ФСТЭК России.
Прописать это в документах ЦБ (особенно в письме) не получится, т.к. должны быть явно указаны нормативные документы для проведения работ. Отчеты по аттестации направляются лицензиатом во 2 Управление ФСТЭК России.
Защиту в виде кабинок надо делать по документам ФСТЭК России на основании модели угроз по ИСПДн (2008 года), т.к. акустика - это канал ТКУИ и признать его неактуальным не получится по формулам и требования документов ЕБС.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

10 (2018-10-08 11:06:44 отредактировано e.bogomolov)

Re: ГИС ЕБС не является ГИС

Письмо из ЦБ.
Аттестация рабочих мест по желанию.

Post's attachments

181001 - Прил 2 (Ответ ДИБ ЦБ_о исключит надзоре ЦБ по 482-ФЗ).pdf 203.28 kb, 12 downloads since 2018-10-08 

You don't have the permssions to download the attachments of this post.
С уважением,
Евгений Богомолов

11

Re: ГИС ЕБС не является ГИС

e.bogomolov пишет:

Письмо из ЦБ.
Аттестация рабочих мест по желанию.

Ну так а желание как раз и возникает, потому что одни говорят надо кабинки городить, другие помещения отдельные, третьи что ничего не надо, кто во что горазд. До каких либо четких разъяснений от регулятора самим брать на себя ответственность за решение не хочется. Как и переплачивать лишние деньги за ненужные и неудобные нагромождения. Поэтому цена за аттестацию не выглядит большой сравнительно со стоимостью всего проекта. Пусть делают с аттестатом а мы будем на ценники смотреть и на удобство эксплуатации.

12

Re: ГИС ЕБС не является ГИС

В 321 приказе Минкомсвязи явно сказано об оценке соответствия ежегодно, а поскольку требования приведены по ГОСТ Р 57580.1-2017, то оценку соответствия надо проводить ежегодно по ГОСТ Р 57580.2-2018

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

13

Re: ГИС ЕБС не является ГИС

Коллеги, добрый день!
Мне кажется тут вилы... Либо аттестация, так как оператор обязан провести оценку эффективности принимаемых мер(п4.ч.2.ст 19 152-ФЗ, также написано об этом в письме ЦБ), либо внешний аудит по ГОСТ Р 57580.2 (Приказ 321) - делать до ввода в эскплуатацию аудит и потом ежегодно...
Кто что думает?

e.bogomolov пишет:

Письмо из ЦБ.
Аттестация рабочих мест по желанию.

14 (2018-10-09 10:12:54 отредактировано e.bogomolov)

Re: ГИС ЕБС не является ГИС

Безопасник пишет:

Коллеги, добрый день!
Мне кажется тут вилы... Либо аттестация, так как оператор обязан провести оценку эффективности принимаемых мер(п4.ч.2.ст 19 152-ФЗ, также написано об этом в письме ЦБ), либо внешний аудит по ГОСТ Р 57580.2 (Приказ 321) - делать до ввода в эскплуатацию аудит и потом ежегодно...
Кто что думает?

e.bogomolov пишет:

Письмо из ЦБ.
Аттестация рабочих мест по желанию.

Внешний аудит по ГОСТ Р 57580.2 обязательно. Аттестация может снизить затраты на аудит, но не заменить его.

С уважением,
Евгений Богомолов

15

Re: ГИС ЕБС не является ГИС

Доброго дня Коллеги!
Нужно ли провести вебинар по ЕБС в части выполнения ГОСТ 57580?

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

16

Re: ГИС ЕБС не является ГИС

Лишним не будет.
С удовольствием послушаю!

С уважением,
Евгений Богомолов

17

Re: ГИС ЕБС не является ГИС

Да. Будет интересно.

С уважением,
Алексей Свириденко.

18

Re: ГИС ЕБС не является ГИС

Присоединяюсь к коллегам.

19

Re: ГИС ЕБС не является ГИС

Заинтересован, будет полезно.

С уважением,
Илья Острожной