Защита персональных данных
|
|
Gaika | Дата: Четверг, 07.05.2009, 12:33 | Сообщение # 46 |
Рядовой
Группа: Проверенные
Сообщений: 7
Статус: Offline
| Quote (Expert) Дмитрий Николаевич сейчас активно готовит курс лекций по "персоналке" на текущий семестр Комент был оставлен еще в феврале, сегодня на дворе уже май, а лекций по ПД мы так и не услышали..
|
|
| |
Expert | Дата: Четверг, 07.05.2009, 12:51 | Сообщение # 47 |
Главный
Группа: Администраторы
Сообщений: 6114
Статус: Offline
| Quote (Gaika) Комент был оставлен еще в феврале, сегодня на дворе уже май, а лекций по ПД мы так и не услышали.. Возьму на заметку.
Блог декана
Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
|
|
| |
BoSSurman | Дата: Четверг, 07.05.2009, 20:58 | Сообщение # 48 |
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| Quote (BoSSurman) Ну и, в общем-то, действительно если говорить о специальной ИСПДн, то класс мы ей присвоить не можем, т.к. отсутствует методика для них, а значит и выполнять мероприятия по защите мы не можем, т.к. они расписаны только для классифицированных и типовых ИСПДн Либо самостоятельно классифицируйте, составляйте модели и отправляйте во ФСТЭК на согласование.
:-P
|
|
| |
BoSSurman | Дата: Вторник, 23.06.2009, 22:29 | Сообщение # 49 |
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| "22 июня в Ассоциации российских банков состоялось расширенное заседание рабочей группы с участием представителей Банка России, а также Госдумы, Роскомнадзора, ФСБ России и ФСТЭК России, на котором был рассмотрен вопрос реализации кредитными организациями законодательства Российской Федерации по персональным данным (Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон №152-ФЗ)). Участники совещания отметили, что кредитные организации испытывают серьезные трудности при практическом применении норм как Закона №152-ФЗ, так и подзаконных актов регуляторов. Состоялся очень полезный обмен мнениями и позициями. По итогам совещания будет сформировано решение рабочей группы по этому вопросу и подготовка проектов законов для устранения возникших проблем." http://www.arb.ru/site/action/list_news.php?id=3041 Если говорить конкретней, то представители ФСТЭК поддержали предложение Центрального банка (ЦБ) о том, что именно ЦБ определяет требования по защите конфиденциальной информации (в том числе ПД) в автоматизированных банковских системах.Эти требования должны будут согласоватся с регуляторами. Данный вопрос будет решаться на осенней сессии. Основная суть в том, что требования 4х документов ФСТЭК по ПД, которые достаточно сложно и дорого выполнять, могут быть заменены на выполнение требований Стандарта Банка России. Вот такой вот ход конем
:-P
Сообщение отредактировал BoSSurman - Вторник, 23.06.2009, 22:29 |
|
| |
lamama | Дата: Четверг, 24.09.2009, 22:13 | Сообщение # 50 |
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Статус: Offline
| Тема немного заглохла. А меня тут заинтересовал вопрос обезличивания ПДн. Оказалось: Quote (http://lukatsky.blogspot.com/2009/04/blog-post_14.html) Как осуществить обезличивание? Анализ проекта документа NIST SP800-122 и собственные размышления позволил сформировать следующий список действий, приводящих к обезличиванию: •Абстрагирование ПДн – сделать их менее точными, например, путем группирования общих характеристик •Скрытие ПДн – удалить всю или часть записи ПДн •Внесение шума в ПДн – добавить небольшое количество посторонней информации в ПДн •Замена ПДн – переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи •Замена данных средним значением – заменить выбранные данные средним значением для группы ПДн •Разделение ПДн на части – использование таблиц перекрестных ссылок. •Маскирование ПДн - замена одним символов в ПДн другими Меня заинтересовал этот документ, на котором сослались на блоге Лукацкого, тем более, что: Quote (http://lukatsky.blogspot.com/2009/01/blog-post_5849.html) NIST выпустил проект документа по защите персональных данных для американских государственных структур - "Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)" (SP 800-122). Почему же они умеют писать документы, а наши специалисты нет? Выкрик в пустоту... Поясню: NIST = National Institute of Standarts and Technology (Национальный институт стандартов и технологий США). Кстати, по ссылке у них много всяких интересных стандартов, в том числе по ИБ. Документ NIST SP800-122 скачал и буду изучать. Потом на занятиях по КОИБАС расскажу 4 курсу.
Не оседать, не приживаться - Ступенька за ступенькой - без печали, Шагать вперед, идти от дали к дали, Все шире быть, все выше подниматься.
Сообщение отредактировал lamama - Четверг, 24.09.2009, 22:15 |
|
| |
Sanny | Дата: Пятница, 25.09.2009, 09:21 | Сообщение # 51 |
Правдоборец
Группа: Гости
Сообщений: 6257
Статус: Offline
| Интересно, какая польза от обезличенных ПДн, кроме статистики?
У меня есть план - выпить столько, сколько смогу. Отличный план!
|
|
| |
PALADiN | Дата: Пятница, 25.09.2009, 21:44 | Сообщение # 52 |
Лейтенант
Группа: Проверенные
Сообщений: 52
Статус: Offline
| Так если по определенному алгоритму можно собрать данные, то можно ли их считать обезличенными? По 152-ФЗ: ст.3. п.3. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных. То есть в моем понимании обезличенные данные - это статистические данные.
Жизнь слишком коротка чтобы писать на ассемблере
|
|
| |
lamama | Дата: Понедельник, 28.09.2009, 20:44 | Сообщение # 53 |
Заведующий кафедрой
Группа: Модераторы
Сообщений: 524
Статус: Offline
| Quote (Sanny) Интересно, какая польза от обезличенных ПДн, кроме статистики? Quote (PALADiN) То есть в моем понимании обезличенные данные - это статистические данные. Приведу один интересный пример: Таблица болезней хранится на сервере, а ФИО с таб. номерами у клиента. При передаче - данные обезличены. Защищать каналы не надо. Защищается только процесс обработки. Результат - снижение затрат на безопасность. Компания КРОК, если не ошибаюсь, предлагает такой вариант снижения затрат на безопасность ПДн.
Не оседать, не приживаться - Ступенька за ступенькой - без печали, Шагать вперед, идти от дали к дали, Все шире быть, все выше подниматься.
|
|
| |
BoSSurman | Дата: Четверг, 31.12.2009, 01:51 | Сообщение # 54 |
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| Федеральный закон Российской Федерации от 27 декабря 2009 г. N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных"" P.S. только что заметил, что эта новость уже была озвучена в теме "У меня радость!!!"
:-P
Сообщение отредактировал BoSSurman - Четверг, 31.12.2009, 02:22 |
|
| |
Expert | Дата: Четверг, 31.12.2009, 08:42 | Сообщение # 55 |
Главный
Группа: Администраторы
Сообщений: 6114
Статус: Offline
| BoSSurman, новость отличная.
Блог декана
Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
|
|
| |
МихА | Дата: Четверг, 31.12.2009, 18:54 | Сообщение # 56 |
Генерал-лейтенант
Группа: Гости
Сообщений: 689
Статус: Offline
| Хаха, уже догадываюсь какую поправку примут в 20х числах декабря 2010 года)))))
Автоматизация антикафе All active domain list Личный блог
|
|
| |
PALADiN | Дата: Четверг, 21.01.2010, 22:20 | Сообщение # 57 |
Лейтенант
Группа: Проверенные
Сообщений: 52
Статус: Offline
| В Миассе сотрудник образовательного учреждения привлечен к ответственности за незаконную передачу персональных данных своего бывшего ученика. Прокуратурой города Миасс Челябинской области проведена проверка по заявлению матери несовершеннолетней о незаконном разглашении ее персональных данных. Установлено, что бывший классный руководитель воспитанницы по устной просьбе постороннего лица выдала на нее характеристику. Согласно части 1 статьи 6 Федерального закона «О персональных данных» обработка, распространение и передача персональных данных гражданина может осуществляться только с его согласия, за исключением строго определенных законом случаев. По представлению прокуратуры города Миасс об устранении нарушений закона указанный работник образовательного учреждения привлечен к дисциплинарной ответственности. Источник: www.chelproc.ru
Жизнь слишком коротка чтобы писать на ассемблере
Сообщение отредактировал PALADiN - Четверг, 21.01.2010, 22:21 |
|
| |
PALADiN | Дата: Пятница, 22.01.2010, 00:00 | Сообщение # 58 |
Лейтенант
Группа: Проверенные
Сообщений: 52
Статус: Offline
| Вот такой вопрос-ответ нашел на сайте rsoc.ru Quote Владимир ИС образовательного учреждения >1000 студентов - к какому классу ИСПД относится? Данные 3 категории. Часть студентов - заочники (т.е. могут "иметь отношение" не только к ВУЗу, но и к другим организациям). Вопрос: подпадает ли система под условие "персональные данные субъектов персональных данных в пределах конкретной организации", т.е. К3? Смежный гипотетический вопрос: если в базе ВУЗа >100000 личных дел (они должны храниться по выпускникам энное количество лет), система всё равно остаётся К3? Quote Alex Очник студент или заочник никак не влияет на класс. Человек может учиться очно и работать, даже не на одной работе. Конечно формулировка "персональные данные субъектов персональных данных в пределах конкретной организации" расплывчата, но по-моему ей пытались сказать о трудовых отношениях и отношениях членства в разного рода общественных, некоммерческих организациях. В этом случае можно говорить о принадлежности человека к какой-то организации. В случае же ВУЗа его правоотношения со студентами определяются ГК РФ - между студентом и ВУЗом есть договор оказания образовательных услуг (даже если он не заключен в виде привычного договора, но есть заявление-оферта, есть типовые условия обучения, есть приказ о зачислении-акцепт), просто в случае с бюджетниками платит по этому договору бюджет РФ, а не сам студент. Таким образом, в соответствии с законодательством отношения ВУЗа и студента - это отношения продавец-покупатель, заказчик-исполнитель. Вы же наверное согласитесь, что было бы неправильно, если бы компания причисляла своих покупателей к лицам, относящимся к ней и ссылалась бы на эту формулировку. В подтверждении своей позиции - посмотрите на формулировку Xнпд=2. Там написано более четко - "работающие в отрасли экономики...". Т.е. все-таки имеются ввиду только трудовые отношения. Было бы разумно написать также и для Xнпд=3, но тогда выпали бы отношения членства в некоммерческих организациях. На 100% не буду, но скорее всего логика была именно такая, когда писали приказ о классификации. По смежному вопросу - Если будут хранится в электронном виде в ИС, то класс системы может измениться, т.к. ОДНОВРЕМЕНННО обрабатывается большее количество ПДн. Если же хранится будет вне системы (пусть и в форматах ИС, но на отдельном носителе), то при определенных условиях это будет неавтоматизированная обработка. Если Вы будете хранить данные в целях исполнения 125-ФЗ об архивном деле, то на такие отношения 152-ФЗ не распространяется. Практически полностью согласен с ответившим, но не уверен насчет того что подчеркнул. То есть можно ли считать оказание образовательных услуг университетом по бюджету договором? и попадаем ли мы тогда под тот пункт когда собирать кучи бумажек с согласием все таки не требуется?
Жизнь слишком коротка чтобы писать на ассемблере
Сообщение отредактировал PALADiN - Пятница, 22.01.2010, 00:01 |
|
| |
BoSSurman | Дата: Воскресенье, 14.02.2010, 00:19 | Сообщение # 59 |
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| На сайте ABISS выложены проекты 3х документов, которые призваны очень элегантным образом решить одновременно задачу ЦБ с внедрением стандарта по информационной безопасности в кредитных организациях, а также проблему кредитных организаций по защите ПДн. Стандарт Банка России СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасноcти организаций банковской системы Российской Федерации. Общие положения" (в 7й раздел добавлены два подраздела по ПДн) Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации Рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ Главная мысль: Quote В соответствии с Федеральным законом от 27 декабря 2002г. «О техническом регулировании» № 184-ФЗ все стандарты Российской Федерации носят рекомендательный характер. Вместе с тем, в случае введения их в организации БС РФ приказом, стандарты принимают статус документов, обязательных для выполнения. В этом случае организация БС РФ добровольно принимает на себя обязательство внедрить Стандарты Банка России, оценить соответствие организации БС РФ его требованиям (с использованием стандарта Банка России СТО БР ИББС-1.2) и официально подтвердить это, направив в адрес Регуляторов (ФСТЭК России, ФСБ России, Роскомнадзор) и Банка России «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх» (отраслевому стандарту). В этом случае Регуляторы в ходе своей деятельности (при осуществлении надзора и контроля выполнения требований законодательства в области персональных данных) руководствуются Комплектом документов Банка России (Отраслевая модель угроз, Стандарты Банка России и данные рекомендации). Если организация БС РФ не вводит Стандарты Банка России приказом, на нее в полном объеме распространяются документы Регуляторов. Т.е. общая идея такая: кредитная организация принимает у себя стандарт БР как обязательный и внедряет его, проводит оценку соответствия по специальной существующей методике, получает определенный показатель соответствия, который она доводит до регуляторов по ПДн. Регуляторы довольны, организации тоже. Требования стандарта достаточно просто реализуются даже в небольших организациях, поэтому исчезает проблема тратить огромные деньги на выполнение бредовых требований документов ФСТЭКа. Лепотааа =)
:-P
Сообщение отредактировал BoSSurman - Воскресенье, 14.02.2010, 00:20 |
|
| |
BoSSurman | Дата: Понедельник, 15.02.2010, 21:11 | Сообщение # 60 |
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| Мда, сразу не заметил, но Методику оценки оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС–1.0–хх тоже обновили (групповые показатели М6, М9, М10).
:-P
|
|
| |