Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Adem  
#1 Оставлено : 29 января 2009 г. 14:13:56(UTC)
Adem

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.01.2009(UTC)
Сообщений: 1
Откуда: Москва

Добрый день!
Согласно закону 152-ФЗ «О персональных данных» сведения подаваемые в УЦ для регистрации пользователя УЦ, являются персональными данными (ПД) и для их обработки и использования необходимо разрешения субъекта ПД.
У кого какое мнение? Это письменное разрешение включать в регламент или отдельным документом.
И как вообще деятельность УЦ попадает под этот закон?
Может быть есть уже какая практика?
Offline Юрий Маслов  
#2 Оставлено : 9 февраля 2009 г. 13:12:57(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Есть противоречие 152-ФЗ "о ПД" и 1-ФЗ "о ЭЦП", а именно в том, что сертификат ключа подписи есть общедоступный объект, но идентификационные данные его владельца есть ПД.
Что бы УЦ мог работать в этом правовом поле, в Регламенте УЦ должна определяться форма завления на изготовления сертификата ключа подписи и в этой форме должен быть абзац приблизительного такого содержания:
Настоящим ________________________________________________
(фамилия, имя, отчество)
__________________________________________________________
(серия и номер паспорта, кем и когда выдан)
соглашается с обработкой своих персональных данных Удостоверяющим центром "_______" и признает, что персональные данные, заносимые в сертификаты ключей подписей, владельцем которых он является, относятся к общедоступным персональным данным.
С уважением,
КРИПТО-ПРО
Offline Руслан  
#3 Оставлено : 12 февраля 2009 г. 15:08:27(UTC)
Руслан

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 43
Мужчина
Откуда: Казань

А правильно ли, если в организационных документах самого УЦ прописано, что сведения о пользователе, отраженные в сертификате не являются конфиденциальными? если правильно, то пользователю и не будет необходимости подписывать подобные документы о согласии (давать разрешение), все равно ведь он прежде чем подавать заявку должен ознакомиться всей документацией УЦ.
Offline Юрий Маслов  
#4 Оставлено : 12 февраля 2009 г. 17:05:59(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Нет не правильно.
Согласно пункта 4 статьи 9 152-ФЗ "О персональных данных" от 27 июля 2006 г. обработка персональных данных осуществляется только с согласия в ПИСЬМЕННОЙ форме субъекта персональных данных.
С уважением,
КРИПТО-ПРО
Offline psyshit  
#5 Оставлено : 19 февраля 2009 г. 20:34:22(UTC)
psyshit

Статус: Участник

Группы: Участники
Зарегистрирован: 11.12.2008(UTC)
Сообщений: 11

Юрий Маслов написал:
Нет не правильно.
Согласно пункта 4 статьи 9 152-ФЗ "О персональных данных" от 27 июля 2006 г. обработка персональных данных осуществляется только с согласия в ПИСЬМЕННОЙ форме субъекта персональных данных.


А как же тогда быть с подпунктами 1 и 2 пункта 2 статьи 6? Ведь обработка ПД осуществляется на основании ФЗ №1 и в целях исполнения договора!
Offline Юрий Маслов  
#6 Оставлено : 20 февраля 2009 г. 11:40:27(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
psyshit написал:
А как же тогда быть с подпунктами 1 и 2 пункта 2 статьи 6? Ведь обработка ПД осуществляется на основании ФЗ №1 и в целях исполнения договора!

Ну и что? Мы же говорим о том, что бы персональные данные, заносимые в сертификат, считались общедоступными. Для этого и нужно письменное волеизъявляение субъекта.
С уважением,
КРИПТО-ПРО
Offline psyshit  
#7 Оставлено : 20 февраля 2009 г. 12:57:00(UTC)
psyshit

Статус: Участник

Группы: Участники
Зарегистрирован: 11.12.2008(UTC)
Сообщений: 11

Юрий Маслов написал:
psyshit написал:
А как же тогда быть с подпунктами 1 и 2 пункта 2 статьи 6? Ведь обработка ПД осуществляется на основании ФЗ №1 и в целях исполнения договора!

Ну и что? Мы же говорим о том, что бы персональные данные, заносимые в сертификат, считались общедоступными. Для этого и нужно письменное волеизъявляение субъекта.

Согласно статье 8 мы действительно должны брать письменное согласие, но в пункте 2 статьи 6 сказано что согласие субъекта на обработку персональных данных не требуется.

Уважаемый Юрий! У Вас есть письменные рекомендации ФСТЭК на этот случай? Если есть, то если не сложно прошу куда-нибудь их выложить. А то обсуждать можно долго, но при проверке уполномоченным органом, с его видением документа, могут возникнуть проблемы! А если будут письменные рекомендации, то все проблемы можно будет избежать.
Offline Юрий Маслов  
#8 Оставлено : 20 февраля 2009 г. 13:04:16(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Вы опять не поняли мою мысль. Я не говорю о СОГЛАСИИ на обработку ПД. Я говорю о том, что бы сделать ПД в сертификатах ОБЩЕДОСТУПНЫМИ. Тут есть разница.

Письменных рекомендаций нет. И не было попыток их получить и не считаю необходимым их получать. Проблемы могут возникнуть всегда, при наличии или отсутствии рекомендаций ФСТЭК, т.к. проблемы может создать не уполномоченный орган, а отдельные сотрудники уполномоченного органа. А это две большие разницы :-)
С уважением,
КРИПТО-ПРО
Offline psyshit  
#9 Оставлено : 24 февраля 2009 г. 13:28:52(UTC)
psyshit

Статус: Участник

Группы: Участники
Зарегистрирован: 11.12.2008(UTC)
Сообщений: 11

Видимо я до конца не понимаю Вашу мысль, поэтому задам несколько уточняющих вопросов и мои мысли по этому поводу! ;-)

А для чего делать ПД общедоступными? Только для создания сетевого справочника сертификатов?

Я думаю, если мы не будем выкладывать сертификаты в общедоступные источники, то нам получается и письменное согласие брать не надо! А если пользователь сам захочет чтобы его сертификат был в общедоступном источнике, то тогда может быть и стоит взять с него письменное согласие! Последнее большего всего и волнует: стоит или не стоит брать письменное согласие? С одной стороны есть 8 статья, а с другой 6................не хочется чтобы наши пользователи делали лишние телодвижения, тем более пользователи в любой момент могут сказать чтобы мы убрали ПД.................так же на каком то семинаре по ПД было сказано что согласие желательно брать отдельно, т.е. нежелательно брать согласие на обработку (включение в общедоступные источники) ПД вместе с заявкой, это приводит к увеличению количества документов...........................

Еще вопрос по этой теме: какой класс ИСПД соответствует УЦ?
С одной стороны то, что мы заносим в сертификат это данные уровня К3, при этом аттестация не требуется, но сам по себе сертификат позволяет однозначно идентифицировать субъекта ПД что переводит его в уровень К2, а для этого необходимо проводить аттестацию, а так как у нас используется криптография, то надо проводить аттестацию во ФСТЭКе совместно с ФСБ! так как правильно классифицировать УЦ? и достаточно ли класса КС2 для аттестации по уровню К2?
Offline Юрий Маслов  
#10 Оставлено : 24 февраля 2009 г. 13:59:59(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
psyshit написал:
А для чего делать ПД общедоступными?

Во первых, какие ПД делаем общедоступными? Те, что являются идентифицирующими владельца сертификата ключа подписи. В терминах формата Х.509 это будет поле SubjectDN сертификата открытого ключа.
Для чего? Для того, что бы сертфиикат ключа подписи передавать ЛЮБОМУ кто хочет проверить ЭЦП в электронном документе. Т.е. не для создания сетевого справочника сертификатов, а для применения ЭЦП. Например, ЭЦП подписали конкурсную документацию на сайте закупок. Любое лицо может мож ознакомиться с документацией и проверить ЭЦП. Для этого ему нуже сертификат ключа подписавшего.
Поэтому хорошей практикой считается, что сертификат ключа подписи подписанта "вкладывают" в саму подпись в формате PKCS#7 SignedData. Как видите, дело не в справочнике. Справочник организуют когда применяют шифрование, а не подпись.
Поэтому Ваша ошибка в утверждении, что "если мы не будем выкладывать сертификаты в общедоступные источники, то нам получается и письменное согласие брать не надо!". Не сертификаты выкладываются в общедостпные источники, а электронные документы, удостоверенные ЭЦП, становятся доступными зачастую не только участникам информационной системы но и другим лицам: сотрудникам налоговой службы (при камеральной проверке), сотрудникам прокуратуры и органов внутренних дел (при проведении дознания), сотрудникам судов (при разрешении споров и конфликтов), иным участникам судебного процесса. Поэтому сертификат ключа подписи и нужно делать также общедоступным как и электронный документ!

psyshit написал:
как правильно классифицировать УЦ?

Согласно "Методическим рекомендациям по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" ФСБ России, формирует и утверждает модель угроз оператор ПДн, а значит и классифицирует УЦ оператор. Как? Читайте в указанных Методических рекомендациях.
Практики реальной аттестации УЦ как ИСПДн и практики классификации УЦ по классу ИСПДн мы не имеем, да и не слышал о таких прецедентах :-(

С уважением,
КРИПТО-ПРО
Offline A. Matyazh  
#11 Оставлено : 24 января 2011 г. 16:36:51(UTC)
A. Matyazh

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.01.2011(UTC)
Сообщений: 1
Откуда: Москва, Зеленоград

Доброго дня!
Хотелось бы актуализировать тему - нет ли каких подвижек и новой информации????
Всё же два года прошло...

Отредактировано пользователем 24 января 2011 г. 16:38:01(UTC)  | Причина: Не указана

Offline Юрий Маслов  
#12 Оставлено : 27 января 2011 г. 15:06:57(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
A. Matyazh написал:
Доброго дня!
Хотелось бы актуализировать тему - нет ли каких подвижек и новой информации????
Всё же два года прошло...


Здравствуйте!

Подвижек в чем? И новая информация о чём?
С уважением,
КРИПТО-ПРО
Offline svyazist  
#13 Оставлено : 14 апреля 2017 г. 7:08:08(UTC)
svyazist

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.07.2012(UTC)
Сообщений: 181
Мужчина

Сказал «Спасибо»: 19 раз
Поблагодарили: 51 раз в 32 постах
Снова возникает спорный вопрос - какие ПДн в сертификате, можно считать общедоступными. По 63-ФЗ УЦ должен обеспечить доступ к реестру сертификатов, так вот, в рамках поиска по данному реестру, какие ПДн считать общедоступными?
Offline ElenaZimina5  
#14 Оставлено : 27 февраля 2020 г. 10:45:46(UTC)
ElenaZimina5

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 1
Женщина
Российская Федерация
Откуда: Москва

Согласие получать есть вариант здесь почитать, как его оформлять правильно, если кто сейчас будет. Там же и скачайте его посмотрите

https://vozvrat-tehniki....lnyh-dannyh-rebenka.html
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.