Конференция по вопросам информационной безопасности Пятница, 29.03.2024, 02:10
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
Модератор форума: Kostik, anvolkov  
Форум » Персональные данные » Общие вопросы » Нужна помощь (По различным вопросам)
Нужна помощь
Kostik (Иванов Константин)Дата: Четверг, 05.08.2010, 17:22 | Сообщение # 76
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
На удивление быстрый ответ на вопросы:

Добрый день.
По первому вопросу- это неавтоматизированная обработка.
По второму вопросу: можно относить это к архивному делу.
Позиция ФСТЭК по этому вопросу не известна, поэтому как они будут смотреть на этот вопрос не ясно.
Управление Роскомнадзора по Вологодской области
(8172)54-89-20
rsockanc35@rsoc.ru
________________________________________
От: Kostik
Отправлено: 5 августа 2010 г. 16:41
Кому: Канцелярия ТУ_ВологодскаяОбл_35
Тема: Неавтоматизированная обработка ПДн и архивное дело

Здравствуйте,

Не могли бы вы пролить свет, на несколько вопросов, связанных с защитой
персональных данных:

1. Можно ли признать распечатку договоров и отчетов на ПК не
автоматизированной обработкой ссылаясь на определение закона:

Обработка персональных данных без использования средств
автоматизации (неавтоматизированная) - обработка персональных
данных, содержащихся в информационной системе персональных
данных либо извлеченных из такой системы, если такие действия
с персональными данными, как использование, уточнение,
распространение, уничтожение персональных данных в отношении
каждого из субъектов персональных данных, осуществляются
при непосредственном участии человека.

P.S. Сведения заносятся в документ формата *.doc, который
впоследствии распечатывается (без использования БД).
Все действия выполняются на изолированном от локальной сети ПК.

2. Вопрос по архивному делу:
В администрации имеется архивный отдел.
Действие 125-ФЗ не распространяется на "отношения, возникающие при:
организации хранения, комплектования, учета и использования
содержащих персональные данные документов Архивного фонда
Российской Федерации и других архивных документов в соответствии
с законодательством об архивном деле в Российской Федерации";

но в архивном отделе есть база, в которой есть ПДн граждан
обратившихся в архив за справкой Архивные запросы, т.е. регистрируются
все запросы и ответы в архиве.

нужно ли оформлять все документы на эту ИСПДн? или закон на нее не распространяется?

Заранее спасибо.

--
С уважением,
Kostik

Если необходимо что-то уточнить - спрашивайте smile пока они отвечают smile

 
andr (Андрей)Дата: Четверг, 05.08.2010, 17:27 | Сообщение # 77
Рядовой
Группа: Пользователи
Сообщений: 18
Репутация: 4
Статус: Offline
Вот это СПАСИБО!!! раза в 2 работы сразу убавилось.

а maila ФСТЭК случайно нет, может ответят...

 
Kostik (Иванов Константин)Дата: Четверг, 05.08.2010, 17:33 | Сообщение # 78
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Если верить их информационному ресурсу, то Управление ФСТЭК России по Северо-Западному федеральному округу с mail: szfo@fstec.ru . Пошлем и туда письмецо smile
 
anvolkov (Алексей Волков)Дата: Пятница, 06.08.2010, 10:22 | Сообщение # 79
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Ай молодца, Константин smile Позиция ФСТЭК по 1 вопросу известна мне - это НЕавтоматизированная обработка. Они сдались smile Правда, как всегда она официально нигде не отражена, и если они ответят на письмо - я поставлю свечку за здравие здравого смысла smile
 
Artem (Артем)Дата: Пятница, 06.08.2010, 10:24 | Сообщение # 80
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
Ура товарищи!!! biggrin
 
anvolkov (Алексей Волков)Дата: Пятница, 06.08.2010, 10:27 | Сообщение # 81
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Quote (Kostik)
Quote (andr)
ИСПДн - это только то что на ПК обрабатывается?
В общем случае - да. Но это не значит что бумажные носители защищать (учитывать и т.д.) не надо.

Костя, ты о чем вообще? ИСПДн - это ВСЕ. Только бумажная часть ИСПДн попадает под 687-е, автоматизированная - под 781-е. Классификация, модель угроз и т.д. вытекает только из 781-го. Учите матчасть, товарищи!

 
Artem (Артем)Дата: Пятница, 06.08.2010, 10:31 | Сообщение # 82
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
Quote (anvolkov)
Костя, ты о чем вообще? ИСПДн - это ВСЕ. Только бумажная часть ИСПДн попадает под 687-е, автоматизированная - под 781-е. Классификация, модель угроз и т.д. вытекает только из 781-го. Учите матчасть, товарищи!

этот же вопрос на форуме РОСКОМНАДЗОРА, ответ другой-
http://pd.rsoc.ru/inter-services/forum/dep46/topic2114/

 
anvolkov (Алексей Волков)Дата: Пятница, 06.08.2010, 10:35 | Сообщение # 83
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Читаем закон: информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств

Кто сказал, что бумажный архив - это не база данных, в которой обработка ПДн осуществляется без использования средств автоматизации? РКНу тоже матчасть не мешало бы поучить...

 
Artem (Артем)Дата: Пятница, 06.08.2010, 10:36 | Сообщение # 84
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
Уубедили sad
 
anvolkov (Алексей Волков)Дата: Пятница, 06.08.2010, 11:09 | Сообщение # 85
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Я свое "расширенное" мнение по поводу письма сказал здесь:

http://anvolkov.blogspot.com/2010/08/blog-post_06.html

 
Andrey_cm (Андрей)Дата: Пятница, 06.08.2010, 11:41 | Сообщение # 86
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Quote
Кто сказал, что бумажный архив - это не база данных, в которой обработка ПДн осуществляется без использования средств автоматизации? РКНу тоже матчасть не мешало бы поучить...

Закон РФ N 3523-1 от 23 сентября 1992 года "О ПРАВОВОЙ ОХРАНЕ ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ"

"база данных - это объективная форма представления и организации совокупности данных (например: статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ;"

Сообщение отредактировал Andrey_cm - Пятница, 06.08.2010, 11:43
 
anvolkov (Алексей Волков)Дата: Пятница, 06.08.2010, 12:27 | Сообщение # 87
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Я знаю про это определение, однако тут есть заковыки.

Законодательное определение базы данных дается в абз. 2 п. 2 ст. 1260 ГК, согласно которому базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).

Если провести анализ обработки ПДн у операторов, то как правило они осуществляют смешанную обработку. Если присутствует бумажный архив в чистом виде и сам по себе - то это относится к архивному делу и из области ЗоПД может исключаться. Во всех остальных случаях архив является частью общей ИСПДн: туда складываются бумажные документы на хранение - например личные карточки сотрудников, т.е. ПДн продолжают обработку именно там. Такой архив нельзя рассматривать как самостоятельную ИСПДн, это - часть ИСПДн "персонал".

Именно это я и имел в виду что ИСПДн это "все" - может выразился не так... smile

 
Artem (Артем)Дата: Пятница, 06.08.2010, 12:49 | Сообщение # 88
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
Горячая тема... МОЖЕТ КТО ОТВЕТИИТ и ЗДЕСЬ
После всех высказываний о неавтоматизированной обработке
http://mmite.3dn.ru/forum/2-43-1
 
anvolkov (Алексей Волков)Дата: Пятница, 06.08.2010, 13:42 | Сообщение # 89
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Кстати, в продолжение темы:

базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).

Вот именно поэтому ФСТЭК до недавнего времени считала, что если нет средств гарантированного уничтожения данных с жесткого диска сразу после распечатки файла, то это уже совокупность статей - а значит БД - и следовательно ИСПДн - автоматизированная smile

 
Artem (Артем)Дата: Понедельник, 09.08.2010, 12:54 | Сообщение # 90
Сержант
Группа: Пользователи
Сообщений: 20
Репутация: 0
Статус: Offline
Quote (Kostik)
На удивление быстрый ответ на вопросы: Добрый день. По первому вопросу- это неавтоматизированная обработка.

а на такую ситему нужна Частная модель угроз? и классифицировать такую систему нужно? вот в управлении строительства и ЖКХ куча ПДн береться с человека и категория скорее К2 плюс более 1000 субъектов, получаетсся ИСПДн К2 но неавтоматизированная.... приэтом она только печатают договора и отчеты...

Сообщение отредактировал Artem - Понедельник, 09.08.2010, 14:50
 
Форум » Персональные данные » Общие вопросы » Нужна помощь (По различным вопросам)
Поиск:

Copyright Ivanov Konstantin © 2024Используются технологии uCoz