Тема: Являются ли платежные системы (например SWIFT) - ИСПДн?
Являются ли платежные системы (например SWIFT) - ИСПДн?
По-моему это ИСПДн, поскольку содержат ПДн в части идентификации и материального положения.
Клуб специалистов информационной безопасности
Клуб неформального общения специалистов в области информационной безопасности
Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Клуб специалистов информационной безопасности → Комплексные вопросы защиты ПДн → Являются ли платежные системы (например SWIFT) - ИСПДн?
Являются ли платежные системы (например SWIFT) - ИСПДн?
По-моему это ИСПДн, поскольку содержат ПДн в части идентификации и материального положения.
Александр Ефимов пишет:Являются ли платежные системы (например SWIFT) - ИСПДн?
По-моему это ИСПДн, поскольку содержат ПДн в части идентификации и материального положения.
По мнению ЦБ - это не ИСПДн, т.к. обработка ПДн не является предназначением системы, а ПДн лишь являются сопутствующей основным целям информацией и выделить обработку ПДн в отдельную обработку не представляется возможным.
1. а закон не знает такой разницы-)
2. система SWIFT является международной и там работает конвенция + 152-ФЗ. Фактически это ЭДО.
3. Я уважаю ЦБ, но он не является регулятором по защите информации и защите интересов физических лиц. РКН считает что любая обработка, где есть Пдн подпадает под закон.
РКН считает что любая обработка, где есть Пдн подпадает под закон.
Информационная система персональных данных и информационная система в которой есть персональные данные - это не совсем одно и то же (см. определения ИСПДн и базы данных, а еще лучше оригинал Евроконвенции и часть 4 ст.4 152-ФЗ).
А то договоримся до того, что признаем ИСПДн компьютер, где все ПДн составят txt-шный файл заявления сотрудника на отпуск или сохраненную историю переписки сотрудника по аське
Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств
Это определение закона.
База данных - файловая система или СУБД - по определению и подходит и то, и то.
Дмитрий я хоть и не эксперт по Swift-ам, но при разговоре с людьми которые эту систему обслуживают понял что ПДн в таких системах (конкретный продукт) не хранятся...из-за этого в силу определения и сделал такой вывод ... что это не ИСПДн
..а раз нет базы то и говорить не о чем...а только лишь обработки маловато будет ...хотя тут такая же философия как и с тем считать ли ФИО-ПДн...даже на самом высоком уровне мнения расходятся:)...а по поводу AD и Exchange соглашусь что ИСПДн это все-таки...
Есть обработка в виде сообщения? Оно присутсвует в виде файла, который подписываем? Значит есть обработка и соответственно есть ИСПДн. Я понимаю, что это создает некоторые проблемы в трансграничной передачи, особенно учитывая риски применения законодательства США.
База данных - файловая система
Можно поподробней: определение - источник определения (закон/подзаконный акт/стандарт и пункты/статьи) - логическая цепочка
а представитель банковского сектора господин топаренко я так понимаю придерживается позиции ЦБ? касательно данного вопроса
а представитель банковского сектора господин топаренко я так понимаю придерживается позиции ЦБ? касательно данного вопроса
Посмотрим, как СТО БР пройдет регуляторов - из этого и будем исходить
Кстати: я нигде не говорю, что SWIFT - это не обработка ПДн. Вопрос стоит это ИСПДн или нет. Вопрос о распространении 152-ФЗ на обработку не стоИт.
Напомню трехглавый закон:
Статья 9. Ограничение доступа к информации
5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
И никто с банков не снимает ответственности за защиту банковской (профессиональной) тайны.
"toparenko" - это ник, а не ПДн. Т.ч. латинскими буквами пож.
врядли это произойдет ну как говорится время покажет) ...по крайней мере позиция ЦБ касательно того что для БС РФ требование получения лицензии на деятельность по ТЗКИ при проведении мероприятий по обеспечению безопасности в ИСПДн и требование проведения аттестации не являются обязательным выглядит крайне сомнительными )
...по крайней мере позиция ЦБ касательно того что для БС РФ требование получения лицензии на деятельность по ТЗКИ при проведении мероприятий по обеспечению безопасности в ИСПДн и требование проведения аттестации не являются обязательным выглядит крайне сомнительными )
Почему же сомнительно - см. проект приказа ФСТЭК.
Там для всех нет обязательности лицензирования по ТЗКИ и аттестации
Не забываем про прошлогодине изменения в закон о техрегулировании и Британском стандарте по ПДн, который собираются сделать ISO. IMO это наихудший сценарий для ФСТЭК, а "дамоклов меч" "повиснет" со второго полугодия сг.
вы про приказ об утверждении положения о способах и методах защиты ПДн в ИСПДн во исполнение 781 постановления...я про него уже забывать стал после прочтения:) хотя прошло всего пару дней с момента его появления
интересно кстати что это положение разработал Воронежский НИИ по непроверенной информации по заказу ФСТЭка...интересно когда Григоров его подпишет ...может быть вы знаете?
вы про приказ об утверждении положения о способах и методах защиты ПДн в ИСПДн во исполнение 781 постановления...
О нем самом
вы когда Григоров его подпишет ...может быть вы знаете?
Когда подпишет (и вообще подпишет ли) - это только самому Григорову известно
Уж очень много здесь субъективных факторов...
напомню, что 4-х книжье на согласовании в Минюсте сейчас.
интересно
Дмитрий, а сколько времени отведено на согласование?
интересно
Дмитрий, а сколько времени отведено на согласование?
Хмм. сложный вопрос, обычно 1 месяц, но иногда... может долго лежать.
то есть законами сроки не определены....это плохо
напомню, что 4-х книжье на согласовании в Минюсте сейчас.
3-й заход
Минэкономразвития визу свою на этом варианте поставило или как в прошлые разы?
Если не поставило - то не пройдет.
Добрый день!
Может быть опытом своим со мной поделитесь и расскажите какие системы в рамках вашей практики, ну к примеру в рамках тех же БС РФ не относятся к ИСПДн...и в силу каких причин
Может быть опытом своим со мной поделитесь и расскажите какие системы в рамках вашей практики, ну к примеру в рамках тех же БС РФ не относятся к ИСПДн...и в силу каких причин
Вначале должен быть согласован с регуляторами и принят вариант СТО БР (с изменениями по 152-ФЗ), а уж потом будет практика
Есть практика - где есть информация о клиенте - там ИСПДН в первом приближении.
Есть практика - где есть информация о клиенте - там ИСПДН в первом приближении.
Практика или "мнение регуляторов/интеграторов"?
Вы не пробовали:
1. Отделить обрабатываемые ПДн от остальной обработки
2. Определить цели обработки ПДн и их объем в обрабатываемой информации конфиденциального характера
3. Определить категорию ПДн и какой объем составляют ПДн подлежащие обязательному раскрытию (лица имеющие право действовать от имени юрлица без доверенности)
4. Сравнить урон наносимый субъектам ПДн и урон наносимый юрлицу, при нарушении оперативности/достоверности/безопасности передаваемой информации
5. Определить границы ИСПДн (при отнесении к ИСПДн) и лицо определяющее цели и содержание обработки ПДн
Пробовали и разносили обработку. Вот только есть маленькая проблема - бизнес не готов делать раздельную обработку.
Потери юрлица при защите конституционных прав гражданина не являются определяющими, т.к. такие потери связаны с попыткой нарушения закона государства.
Пробовали и разносили обработку. Вот только есть маленькая проблема - бизнес не готов делать раздельную обработку.
Потери юрлица при защите конституционных прав гражданина не являются определяющими, т.к. такие потери связаны с попыткой нарушения закона государства.
См. часть 4 ст.4 152-ФЗ - где баланс интересов, предусмотренный Евроконвенцией?
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Клуб специалистов информационной безопасности → Комплексные вопросы защиты ПДн → Являются ли платежные системы (например SWIFT) - ИСПДн?
Currently installed 2 official extensions. Copyright © 2003–2009 PunBB.