среда, 7 декабря 2011 г.

АРБ о ПДн и СТО БР ИББС

Тут доступно информационное письмо Ассоциации российских банков (АРБ) по поводу июльской редакции 152-ФЗ "О персональных данных".
Краткие выводы:
  • СТО БР ИББС, по-прежнему, полностью легитимен как альтернатива требованиям ФСТЭК/ФСБ по защите ПДн;
  • Поправки стоит ждать не ранее того, как Правительство выпустит РД по уровням защищённости;
  • Все спорные вопросы решены в пользу тех, кто принял СТО БР ИББС.
Однако я хотел бы дать некоторые советы читателям, основываясь на собственной практике общения с регуляторами:
  • Классифицировать информационные системы стоит, в том числе, и по классификации К1-К4. Это обычно не несёт никаких негативных последствий, но значительно упрощает диалог с регуляторами;
  • По мнению представителя Роскомнадзора, обработка резюме требует согласия кандидата, т.к. факт заключения с ним трудового договора неизвестен. Вероятно другое мнение по этому вопросу прийдётся доказывать в суде;
  • Ксерокопия или скан паспорта является биометрической информацией;
  • Всем, кто направил уведомление в РКН без информации об ответственном и о мерах по защите ПДн, следует направить информационное письмо с недостающей информацией в РКН до 2013г;
  • Стоит так же озаботиться наличием некоторого количества сертифицированных СЗИ (например, ключей eToken). РКН может запрашивать копии сертификатов. ФСТЭК очень отрицательно относится к "одобренным руководством" несертифицированным СЗИ;
  • Следует так же различать архивное хранение ПДн от хранения ПДн в действующей ИС. Архивное хранение - это бэкап БД. Поэтому не следует допускать хранение сведений об уволённых сотрудниках непосредственно в ИСПДн после окончания отчётного периода.

9 комментариев:

  1. "Ксерокопия или скан паспорта является биометрической информацией" - В письме же четко сказано, что не является, зачем же усложнять себе жизнь?

    ОтветитьУдалить
  2. тут есть прямое мнение РКН. Является.
    К тому же, Игорь, фото в паспорте сделано по ГОСТу.

    ОтветитьУдалить
  3. тут - это где ? можно посмотреть? Даже если оно и есть - то сами знаете насколько у них изменчивы и противоречивы мнения. Обоснование же, представленное в письме является вполне логичным, которое расставляет все точки над i.

    насчет фото - по какому ГОСТУ?
    По ГОСТ Р ИСО\ МЭК 19794-5-2006 "Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица" ??
    Может биометрические паспорта и делаются по нему (на то они и биометрические и фото там делают само УФМС), но в общегражданском паспорте и других документах фото вполне обычное. Да и в самом ГОСТе говорится, что он на электронные изображения распространяется.

    ОтветитьУдалить
  4. Есть письмо от РКН с ответом "скан паспорта = биометрия". К сожалению, опубликовать его не могу.

    Указанный ГОСТ описывает и электронную скан-копию фотографии в обычном паспорте. Формат - jpeg, размер 320х240, 7бит градаций серого - это обычный ксерокс.

    ОтветитьУдалить
  5. Мы от краснодарского РКН получали такой же ответ."скан паспорта = биометрия"

    Потом позвонили в московский центральный РКН - там сказали что мы сошли с ума и конечно же скан паспорта не является биометрией.

    После того как мы предложил включить в конференцию Московский и Краснодарский РКН - они сказали что в случае таких расхождейний надо писать официальный запрос письмом.

    И наконец на официальный запрос письмом с описанием всей проблематики РКН ответил что их управление не уполномочено комментировать законы РФ.

    ОтветитьУдалить
  6. у меня информация посвежее. Спрашивал РКН я в начале ноября.

    ОтветитьУдалить
  7. продолжение споров про биометрию - http://emeliyannikov.blogspot.com/2011/12/blog-post_12.html.
    Единого мнения нет даже среди экспертов =(

    ОтветитьУдалить