Re: Являются ли платежные системы (например SWIFT) - ИСПДн?
Пробовали и разносили обработку.
Кстати: пробовали на Свифте или другой системе
Здесь говорим конкретно о Свифте
Клуб специалистов информационной безопасности
Клуб неформального общения специалистов в области информационной безопасности
Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Клуб специалистов информационной безопасности → Комплексные вопросы защиты ПДн → Являются ли платежные системы (например SWIFT) - ИСПДн?
Пробовали и разносили обработку.
Кстати: пробовали на Свифте или другой системе
Здесь говорим конкретно о Свифте
http://www.abiss.ru/doc/
банковскому сектору для ознакомления
Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации
Рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ
Стандарт Банка России СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасноcти организаций банковской системы Российской Федерации. Общие положения" для тех кто еще не видел )
http://www.abiss.ru/doc/
банковскому сектору для ознакомленияОтраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации
Рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ
Стандарт Банка России СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасноcти организаций банковской системы Российской Федерации. Общие положения" для тех кто еще не видел )
Забыли четвертый документ - Методика оценки оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС–1.0–2008
А евроконвенция не должна приводить к нарушению конституционных прав граждан РФ
А евроконвенция не должна приводить к нарушению конституционных прав граждан РФ
А я разве говорю о нарушении прав? Я говорю о балансе интересов вместо абсолютизации какого-либо права какого-либо субъекта - что так же предусмотрено Конституцией.
Т.ч. именно в этом вопросе 152-ФЗ пока атиконституционен...
Конституция РФ Статья 17
3. Осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц.
коллеге toparenko замечание по поводу бага в приложении "ЖУРНАЛ ПОЭКЗЕМПЛЯРНОГО УЧЕТА КРИПТОСРЕДСТВ" там дублируются две колонки
1) Отметка о выдаче
2) Отметка о подключении (установке) СКЗИ
и еще прикольнуло и даже улыбнуло АКТ о комиссионном уничтожении криптографических ключей....
зачем тут тут это слово ...комиссионное...
и еще прикольнуло и даже улыбнуло АКТ о комиссионном уничтожении криптографических ключей....
зачем тут тут это слово ...комиссионное...
Это уже поправили (опубликована верисия от 19.01.10), а за журнал спасибо (его не вычитывал).
Еще уже даны предложенияя по исправлению акта уничтожения носителей - после таблицы предложен следующий текст:
Всего подлежит уничтожению _____________________________________________ носителей.
(цифрами и прописью)
Записи акта с учетными данными сверены
Председатель комиссии: _________________ / /
Члены комиссии: _________________ / /
_________________ / /
_________________ / /
_________________ / /
После утверждения акта перечисленные носители сверили с запиями в акте и уничтожили путем _____________________________________________________________________________
(стирания на устройстве гарантированного уничтожения информации, разрезания, сжигания, механического уничтожения, сдачи
__________________________________________________________ «___» _______ 20___ года.
предприятию по утилизации вторичного сырья и т.п.)
Председатель комиссии: _________________ / /
Члены комиссии: _________________ / /
_________________ / /
_________________ / /
_________________ / /
Уничтоженные носители с книг и журналов учета списаны
_________________ / /
«____» ______________ 20___ года
Примечание:
1. Акт составляется раздельно на каждый способ уничтожения носителей.
2. Все листы акта, а так же все произведенные исправления и дополнения в акте, заверяются подписями всех членов комиссии.
а вот смотрите есть система АРМ КБР в банке для сдачи отчетности в центробанк...сама База данных находится в ЦБ (как я понимаю) ..но в рамках клиентской части есть справочник где определяются пользователи а админы с должностями...знатоки внимание вопрос...кому принадлежит сия система и как ее защищать?
Так сначала - кто админ системы?
Как записано в договоре об обмене информацией - ЦБ обычно хорошо прописывает данные моменты, за исключением некоторых региональных РКЦ, которым просто нет желания менять документы.
Со стороны банка свой ...со стороны ЦБ свой, как я понимаю....прописывает где? в руководствах на систему что ли?
просто ответственный за систему в рамках клиентской части зовется админом...видимо как то так
по поводу кстати журнала пропуска субъектов на территорию банка хотел спросить почему там цели обработки нет без использования средств автоматизации?
кстати не пойму почему многие считают что биометрия исключительно к 512 постановлению цепляется
и как следствие идет рассмотрение биометрии на машиночитаемом носителе...все остальное фотографии (на бумаге) и прочая ерунда не называется биометрическими данными ...в чем тут дело...А
кстати не пойму почему многие считают что биометрия исключительно к 512 постановлению цепляется
и как следствие идет рассмотрение биометрии на машиночитаемом носителе...все остальное фотографии (на бумаге) и прочая ерунда не называется биометрическими данными ...в чем тут дело...А
Для начала хотелось бы разобраться что относится к биометрии
Имеется ряд ГОСТов...
Имеется изображение гражданина по ст.152.1 ГК РФ
Вопрос по определимости субъекта и изображению гражданина.
по поводу кстати журнала пропуска субъектов на территорию банка хотел спросить почему там цели обработки нет без использования средств автоматизации?
Это про п.22 Таблицы 2 Рекомендаций ЦБ/АРБ?
я с вами согласен коллега, но многие так не считают а спорить с ними даже и не хочется....считают что видео и фото физиологические особенности человека не отражают что ли ...
может они считают что в ИСПДн этих данных нет при автоматизированной обработке...но когда лицезреешь конечный перечень то и там их нету все игнорируется
да я по поводу ЦБ&APБ....поясните пожалуйста
Приложение 9
Журнал учета разовых пропусков
да я по поводу ЦБ&APБ....поясните пожалуйста
См. таблицу 2 (Перечень документов) Рекомендаций
22 | Журналы (реестры, книги), содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию организации БС РФ, или в иных аналогичных целях. | Пункт 77.3.2 регламента Роскомнадзора| Требования к ведению установлены Постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
Шаблон журнала разовых пропусков – в Приложении 9.
Журнал может вестись как в бумажном, так и в электронном виде.
В случае ведения журнала в электронном виде в конце установленного периода времени журнал должен быть распечатан, пронумерован, сброшюрован, скреплен печатью и подписан работником, на которого возложены соответствующие обязанности
Т.ч. это прописано, но не в самом приложении, а чуть ранее
и что является целью обработки в случае прохода субъекта на территорию?
я так понял что авторы в целях хотели подчеркнуть границу между работниками и всеми остальными...те получается что в рамках цели выполнение функций возложенных на банк осуществляется проход субъекта на территорию..правильно ли я понял? или как
я так понял что авторы в целях хотели подчеркнуть границу между работниками и всеми остальными...
Работники (если не забыли пропуск) не попадают в данный журнал.
Для работников это не однократный пропуск, а многократный (и без записи, а по пропуску) - но необходимый в целях обеспечения выполнения ТД (пропуск на место выполнения трудовых обязанностей - п.2 ч.2 ст.6 и п.1 ч.2 ст.22 152-ФЗ).
А вот посетители попадают в данный журнал, который ведется в целях, предусмотренных п.6 ч.2 ст.22 152-ФЗ
но если посетитель вышел ...то соответственно цель обработки достигнута ...и ПДн должны быть уничтожены ..так ведь?
у меня к вам кстати еще один дурацкий вопрос ...вот те цели обработки, которые сформулированы в рекомендациях они имеют довольно общий характер...а поскольку обработка должна соответствовать заявленной цели ...в случае клиентов и работников письменное согласие должно различаться ...заявленными целями...формулировки общего характера наверняка будут вызывать недоумения у подписывающей согласие стороны ...ну например выполнение функций возложенных на Банк ..и т.д. смешно даже звучит...как бы вы сформулировали цели для этих категорий субъектов?
вы только не удивляйтесь ..моим вопросам я все-таки только пол года занимаюсь этой темой
Клуб специалистов информационной безопасности → Комплексные вопросы защиты ПДн → Являются ли платежные системы (например SWIFT) - ИСПДн?
Currently installed 2 official extensions. Copyright © 2003–2009 PunBB.