Рекомендации по ПДн от Банка России и АРБ

Рекомендации по ПДн имени ЦБАРБ, о которых я уже писал, выложены на сайте ABISS. К этим документам относятся:

  • новая редакция стандарта Банка России СТО БР ИББС-1.0-2010
  • методика оценки соответствия СТО
  • отраслевая модель угроз ПДн
  • рекомендации по приведению в соответствие.

Эти же документы выложены и на сайте АРБ (три тут и один тут).

Если у вас будут комментарии, предложения, замечания, то присылайте их либо в АРБ, либо в ABISS.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Алексей Т.

    Интересные документы, но противоречий много. По-моему вопрос скорее политический и обсуждать пока нечего. Частная модель угроз не содержит угроз как таковых и не похожа на рекомендации по разработке частных моделей. Стандарт конечно подредактировали — но нужно политическое решение, чтобы банкам разрешили считать выполнение требований стандарта равноценным выполнение требований регулятора. В рекомендациях полезными могут быть только приложения. Ждем новых версий, пока и подсказать нечего. 🙂

    Ответить
  2. A

    Я так понимаю вопрос о непонятках "автоматизированная"/"неавтоматизированная" просто обошли стороной?

    Ответить
  3. Алексей Лукацкий

    В чем непонятки?

    Ответить
  4. A

    Меня интересует вопрос — можно ли опираясь на пп.1,2,3 ПП РФ №687 подводить под неавтоматизированную обработку например 1С-бухгалтерию.

    Ведь в банках я тоже думаю много систем можно под "неавтоматизированные" так подвести, и соответственно серьёзно затраты снизить. А здесь в рекомендациях этот весьма важный и одновременно весьма мутный вопрос вообще не упоминается.

    Ответить
  5. Алексей Лукацкий

    Я считаю, что можно. Но мы в рекомендациях не включали пункты, по которым у членов рабочей группы были сомнения и разногласия. Да и для регуляторов это была бы красная тряпка.

    Ответить
  6. A

    А регуляторы где-нибудь когда-нибудь комментировали этот вопрос? (некорректность термина "неавтоматизированная", непонимание требований ПП 687 большинством операторов)

    Ответить
  7. Анонимный

    >Меня интересует вопрос — можно ли >опираясь на пп.1,2,3 ПП РФ №687 >подводить под неавтоматизированную >обработку например 1С-бухгалтерию.

    Можно все если вы после докажете эту правомочность регулятору ))))
    А реально Евродиректива отвечает на большинство предъявляемых к законодательству о персональных данных вопросов.

    Ответить
  8. A

    Дак а ратифицирована то Конвенция (а не Директива), с официальным переводом, в котором везде стоит "автоматизированная".

    Ответить
  9. Анонимный

    To A

    ИМХО
    Вопрос в том – хотите вы понять как надо трактовать ФЗ РФ и его подзаконные акты, исходя из того что в них Должно быть по требованиям евродокументов (т.е без подмены их сути) или хотите понять можно ли используя то, что Есть в ФЗ и его подзаконных актах обеспечить главным образом, снижение своих расходов.
    Если второе, то ответ – да, можно при некоторых условиях.
    Если первое, то ратификация ИМХО не имеет роли, так как проверить свое понимание какого-то понятия (например сферы применения) по ней можно вполне
    Пояснение к определению сферы применения закона о персональных данных дано в преамбуле к Евродирективе:
    «(…) Обработка данных охватывается настоящей Директивой только в случае, если она является автоматизированной или если обрабатываемые данные помещаются или предназначены для помещения в систему хранения, структурированную в соответствии с особыми критериями, относящимися к частным лицам, для обеспечения легкого доступа к соответствующим персональным данным;»
    «(…) Защита частных лиц должна применяться к автоматической обработке данных в той же мере, что и к ручной обработке; (…) рамки данной защиты не должны фактически зависеть от используемой техники, в противном случае это создаст серьезный риск обхода защиты; (…) тем не менее, применительно к ручной обработке, настоящая Директива охватывает только системы хранения, а не неструктурированные досье (файлы);

    Ответить
  10. Анонимный

    ИМХО отсюда следует, что ПП 687 должно охватывать только ручную обработку. ПП 781 автоматическую и автоматизированную, хотя, не буду спорить, из текстов этих ПП этого однозначно не следует.

    Но повторюсь, все зависит от ваших целей. Например, целью может быть такая:
    — Используя баги законодательства РФ обеспечить выполнение требований регуляторов с наименьшими потерями для бизнеса

    Или такая:
    — Попытаться обеспечить у себя некоторый уровень защиты прав субъектов ПДн, ставших вам известными в процессе деятельности.

    Могут наверно и другие цели быть.

    Ответить
  11. Void Z7

    Меня вот достали бюро пропусков …

    Тут на днях на встречу опаздывал в одном из бизнес-центров так у них вообще берут паспорт и кладут в сканер …

    У меня уже 2 юр. лица нарисовалось в качестве целей для того чтобы посмотреть какие проблемы от регулятора могут быть по обращению субъекта … пора попрактиковаться, так сказать провести своеобразный тест на проникновение для исследования вопроса о том, что предъявят к моей конторе …

    Ответить
  12. Алексей Лукацкий

    А в чем проблема? Ты свое согласие даешь конклюдентными действиями

    Ответить
  13. Void Z7

    Это же не отменяет выполнение требований по защите моих ПДн?

    Ответить
  14. Алексей Лукацкий

    А они не защищают?

    Ответить
  15. Void Z7

    Этот комментарий был удален автором.

    Ответить
  16. Алексей Лукацкий

    Вначале лучше напрямую. А уж потом в РКН.

    Ответить
  17. Void Z7

    А я вот и обращусь в Роскомнадзор для того чтобы они это проверили

    Ответить
  18. Void Z7

    Алексей согласитесь, что в данном случае любой отписки юр. лица я не должен доверять…

    Также досудебный порядок урегулирования отдельных споров предусмотрен законодательством, а я в суд не собираюсь ходить за меня это по идее делает Роскомнадзор в случае чего …

    Ответить
  19. Алексей Лукацкий

    А презумпция невиновности как же? У вас должны быть веские основания, чтобы не доверять этой отписке. И вы их должны будете изложить РКН, чтобы он начал защищать ваши права.

    Ответить
  20. Void Z7

    Вот тут ваша правда … но мы живем в очень интересной стране и РКН как мне кажется будет интересно выполнить хотя бы какие то действия

    Насчет презумпции невиновности попробую пример привести я звоню в милицию называю себя говорю, что слышал крики и выстрелы в соседней квартире … милиция приедет по вызову?

    Так вот я думаю в доступных документах по Пдн я найду "крики и выстрелы" …

    У меня вот другой вопрос, может ли субъект Пдн оперировать, оценивать, а также ссылаться на невыполнение неких технических требований? Для этого требуется некая компетенция типа эксперт и как она присуждается у нас?

    Вам не приходилось выступать экспертом по ИБ в судебных процессах? Если да то какие к вам как эксперту предъявлялись требования и на основании чего?

    Ответить