В связи с тем, что наши компьютеры работают исключительно с операционными системами, то любая работа с ними попадает под автоматизированную обработку.

Интересно, работу с ксероксом тоже нужно относить к автоматизированной? Ведь там есть своя операционная система, которая управляет сенсорным экраном и другими настройками, хранящимися в памяти.

PS Если так подходить к этому вопросу, то чтобы не попасть под автоматизированную обработку, нужно переходить на письмо пером, потому что АВТОручкой писать нельзя!
PSS Лучше буду слушать Вологодский Роскомнадзор, они как-то ближе

Вот только "отбиваться" придется от тех и от других...

информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств

Попытаемся перевести на человеческий язык. Итак:

1. Самое главное словосочетание, вокруг которого крутится все остальное - выделено жирным шрифтом. Это прямое наследование Евроконвенции, для реализации требований которой и был принят закон: она касается именно баз данных. Что такое БД - я уже говорил: согласно абз. 2 п. 2 ст. 1260 ГК, базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). На первый взгляд, все просто и понятно, правда? Однако я выделил жирным другой основной момент, но о нем чуть позже.

2. Далее идет: а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных. Тоже вроде просто, да? Фраза жестко привязана к базе данных - то есть ИСПДн состоит из собственно базы, и информационных технологий и техсредств, обслуживающих эту базу и позволяющих вести обработку данных пользователями!

3. Читаем дальше: с использованием средств автоматизации или без использования таких средств. Стоп! А это что за ...? Что под этим понимается? Попробуем поделить фразу на 2 части.

3а) с использованием средств автоматизации. Кто-нибудь может сказать, что это за "средства автоматизации"? Если предположить, что средства автоматизации - это как раз и есть ИТ и ТС из пункта 2, то зачем было тогда еще раз это писать, только другими словами? А если это не оно - тогда ЧТО ЭТО???

3б) или без использования таких средств. Это у меня лично вызывает вобще какие-то непонятные чувства. Если "средства амтоматизации" = ИТ и ТС + БД в ЭВМ - то как, ну как, скажите на милость, можно обрабатывать БД в ЭВМ без ИТ и ТС? А если средства автоматизации это что-то другое - то что это такое???

4. Возвращаемся к пункту 1. "Совокупность самостоятельных материалов". Помните мультик про 38 попугаев? Там, где слоненок спрашивал "сколько это - куча?". У меня тот же самый вопрос в отношении количества. Имеем БД, скажем, Interbase, с одной записью в ней. Это ведь БД? БД - кто бы спорил. переведем на язык Ворда и Экселя. Один вордовский ДОК это что? Правильно - "статья". Найти мы его в ПК можем? Можем. И обработать можем. Значит по ГК - "систематизированная статья", и не просто, а совокупность из одной штуки, хранящаяся в ЭВМ - и стало быть.... БЭДЭ!!!!!!

Таким образом, я надеюсь, объяснил логику ФСТЭК: один файл в ЭВМ - это БД. Попробуйте оспорить? Например, говоря, что Вы файл не сохраняете? А кто сказал что "хранение" - это именно "сохранение"? Данные в памяти ЭВМ содержатся некоторое время - значит "хранятся". Ерунда? Да, пожалуй. Но самое парадоксальное, что до этого аргумента дело не дойдет: фраза указанная в п. 3 фактически позволяет признать наличие ЭВМ в любом виде "средством автоматизации". Не согласны? Чье экспертное мнение примет суд - ваше, несчастного оператора, или мнение эксперта ФСТЭК - прямой наследницы Гостехкомиссии, стоящей на страже государственной тайны с 1973 года? Ответ очевиден.

От своих выводов я не отказываюсь - как и раньше полагаю, что "в товарищах согласья нет" - а значит - бедные операторы... Ну а про казуистику отечественного законодательства говорить и не приходится: "краткость - сестра таланта" - поговорка не про наших законодателей. На самом деле, формулировка про "автоматизацию - неавтоматизацию" появилась в законе потому, что РФ добровольно взяла на себя обязательства применять Конвенцию и для неавтоматизированной обработки - проще говоря для бумажной. Этой фразой была сделана кривая попытка подвести под ИСПДн бумажные архивы, но вот про смысловую нагрузку, что я выше написал - никто и не парился... Вполне возможно, что и писали первую (п. 1-2) и вторую (п.3) части этого определения совершенно разные люди из разных ведомств. Тот факт, что "без использования средств автоматизации" совершенно никак не согласуется с понятиями ИТ, ТС и особенно с БД и ЭВМ, а значит и с ИСПДН, и писать это в кучу просто нельзя - всем побоку.

Читайте нашу статью - Вам станет все понятно, друзья!

http://anvolkov.blogspot.com/2010/09/blog-post.html

рассматриваем еще один казус нашего законодательства - как всегда, тему лицензирования

Я думаю, вы просто не поняли друг друга. ФСТЭК сообщили о том, что они не собираются проводить оценки документов, которые им посылают по почте (или иным способом). Во время проверки, безусловно, полномочия проверить данный документ у сотрудников ФСТЭК есть.

Вот проверки "Перечня ПДн" у Роскомнадзора я что-то не нашел, может просто еще не вписали, потому что это проект.

Вот Типовой регламент (программа) ПРОЕКТ РКН:
http://35.rsoc.ru/directions/p1419/p6830/

Роскомнадзор (С.-Петербург)
1. Проверки могут быть как выездными так и нет, т.е. вас могут просто "попросить" выслать пакет документов на проверку.
2. Не было еще ни одной проверки без нарушений.
3. Более одной записи в любом текстовом редакторе, содержащей ПДн - это уже БД
4. Объем проверяемых документов уточняется конкретно для каждой организации, т.к. у всех документы сделаны по-разному.

Из опыта общения с нашим Роскомнадзором могу сказать то, что во время проверки можно внести дополнения в документы и тогда по ним предписания выдано не будет. Это вполне реально, если считать что для муниципальных учреждений проверка может длиться более 2 недель. Так же точка зрения на БД у нашего РКН значительно более адекватная.

ФСТЭК (по Северо-Западу)
1. Оценка соответствия = сертификация и третьего не дано.
2. ФСТЭК проверять будет все что связано с технической защитой ПДн, за исключением криптографии.

ФСБ
1. Проверяться будет модель угроз.
2. Все, что связано с криптографической защитой и ключевой информацией (начиная от жизненного цикла и заканчивая условиями физического хранения ключей).

В основном говорили о лицензировании, о планах введения бессрочных лицензий на обслуживание, распространение и услуги в области криптографии. Есть видео, снятое на фотоаппарат "с коленки" - руки дойдут выложу.

Иваов И.И адрес, паспосрт -- заключил договор...... одна запись

Иванов И.И адрес паспорт....
Петров А.П. адрес паспорт.....
в одном документе это бакза?

Приложение называется именно "Рекомендации", а не "Пример заполнения".

1. черным по белому написано: если пдн хранятся только в бумажном, то это неавтоматизированная обработка, если только в электронном - автоматизированная, иначе смешанная.
2. В мероприятиях по защите ПДн почему-то указаны конкретные средства защиты (Dr.Web и Vipnet, настораживает, так как нету слова "например").
3. В тех же мероприятиях в одном месте написано, что МЭ используется сертифицированный, в других местах это слово опускается.

Честно врачей, составляющих это уведомление, многие моменты поставили просто в тупик.

Еще раз повторюсь что это точка РКН С.-Петербурга. Вологодский Роскомнадзор так не считает.

Хы Скоро и у них будет такая же:

1. Одна и более запись в базе - это БД (я на предыдущей странице эту идеологию расписывал)
2. 20 ПК может быть и одной ИСПДн - даже если они не соединены в ЛВС. Для этого можно притянуть другие признаки, например нахождение их в одном периметре с общими требованиями по безопасности. Тут уж как фантазии хватит.
3. Оценка соответствия = сертификация - это написано в 330-м ПП, однако текст его ФСТЭК не высылает. И оно ДСП.

Так что все ожидаемо.