22.9.08

Новое Постановление Правительства по персданным

Правительство 15-го сентября выпустило новое Постановление "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" №687. Документ более чем интересный по одной простой причине. Он сводит на нет ВСЕ, что было сделано до него в виде Постановления 781, "Приказа трех", документов ФСТЭК и ФСБ.

А почему? Все потому, что в п.15 этого постановления сказано дословно следующее: "Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц,ответственных за реализацию указанных мер, устанавливаются оператором". Ни ФСТЭК, ни ФСБ, ни Минкомсвязь... Только оператор. Тут возникает вопрос, а что делать неоператорам? Но это уже отдельная тема.

Но ведь это касается только неавтоматизированной обработки, скажете вы. Но нет. Еще в прошлый раз я отметил, что термин "автоматизированная обработка" трактуется в законе неправильно. Изначально (еще в Европейской Конвенции) речь шла об автоматической обработке. Потом некорректный перевод проник и во все остальные документы по персданным. И вот теперь 687-е постановление, которое говорит, что "обработка персональных данных, содержащихся в информационнойсистеме персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека". Иными словами появление человека при обработке ПДн приводит к тому, что мы должны руководствоваться именно 687-м, а не 781-м постановлением.

Это не значит, что крест поставили на всем, но 7 миллионам организаций, которым грозило выполнение параноидальных требований, можно вздохнуть спокойно. 687-е постановление вывело их из под жестких требований. А вот Госкомстат, ФОМС и ряд других аналогичных ведомств, где обработка действительно автоматическая, по-прежему попадают под действие 781-го постановления.

ЗЫ. Я не исключаю, что через несколько месяцев появится очередное Постановление, которое практически поставит крест на 781-м и вернет все на круги своя ;-) Но пока остается только подивится тому, как у нас принимаются нормативные акты.

34 коммент.:

Анонимный комментирует...

Имхо, название документа уже определяет сферу его действия - для случаев обработки без средств автоматизации вообще.
Полу/авто/матическ/матизированн-ая - это все со средствами.

Анонимный комментирует...

Имхо, конечно оно так...но это верно опять таки только для коммерческих организаций, государственные учреждения все равно будут жить по понятиям, так как они бадаться с ФСТЭКом не будут.
Но законотворчество прямо-таки убивает....

Алексей Лукацкий комментирует...

Ригель: Ты не читал документ ;-) Там же написано, что такое НЕАВТОМАТИЗИРОВАННАЯ. И это логично, т.к. первоначально первый документ (781) должен был быть ориентирован на АВТОМАТИЧЕСКУЮ обработку. А поскольку сделали "как обычно" и по первой порции документов было огромное количество нареканий, то и родился второй документ, который все расставил по своим местам.

virus: Госучреждения будут жить по СТР-К, а не по новым понятиям - они просто не успели еще начать жить по новому.

Анонимный комментирует...

Алексей, вы поспешили с выводами: В п.15 говориться лишь про "условия хранения материальных носителей, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ" и не более того. И только эти меры отдаются на откуп операторам. Причем они всё равно должны обеспечивать сохранность и исключать НСД.
Так что Вы либо невнимательно прочитали, либо просто вырвали из контекста.
ИМХО, разумеется.

Алексей Лукацкий комментирует...

Ну это спорно ;-) п.15 относится к разделу III, который называется "Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации". Если считать, что он говорит только про носители, то у нас вообще мер защиты в этом случае не определено ;-)

А термин "материальные носители" можно трактовать и как применимые к обычному компьютеру. Носитель? Носитель. Материальную форму имеет? Имеет.

Так что путаницу внесли нехилую ;-)

Анонимный комментирует...

Алексей, в процессе чтения Вашего замечательного блога меня не покидает одна мысль, даже не мысль а мыслишка - если у Вас столько вопросов по законодательству о ПД, если Вы видете в нем столько противоречий, почему бы просто на прямую, в лоб так сказать, не задать все эти вопросы непосредственно автору (ну или авторам, если это коллективное творчество) этих не менее замечательных нормативных актов? Я почему-то уверен, что Вы на вашем уровне с ними либо знакомы лично либо у вас есть возможность с ними познакомиться и пообщаться. И опубликовать результаты дискуссии пусть даже здесь, например, будет очень интересно и продуктивно, и чрезвычайно полезно для всех заинтересованных профессионалов ИБ. Может быть они даже прислушаются к Вашему мнению и наведут порядок, почему нет?

Или тогда пропадет интрига и не о чем будет спорить и писать в блоге? ;) Критика - это конечно уже кое-что, но далеко не всегда продуктивно.

Анонимный комментирует...

Михаил:
>задать все эти вопросы >непосредственно автору
Чукча не читатель, чукча-писатель.
По опыту общения как с разработчиками документов, так и регулятора в лице, по крайней мере ФСЭК. Они еще сами не понимают как гармонизировать свое творчество и по большей части сводиться к тому что есть нюансы, вы обращайтесь по свойски сделаем. Например, без согласованной модели угроз, атестацию по класу ИСПД не получишь, на парирование что это не регламентировано, виновато опускают глазки -Ну мы хотели, не пропустили, но мы активно ищем лазейки;)
Вообщем жесткость требований, компенсируется необязательностью их выполнения:)

Алексей Лукацкий комментирует...

Михаил: Верное замечание, если бы не несколько "но".

Во-первых, данный блог - это мое частное дело. Как частное лицо я не могу начать официальную переписку с регулятором. Как представитель компании - тоже не могу, т.к. привилегий таких не имею ;-)

Во-вторых, у нас с регуляторами парадигмы разные. А не придя к единому базису, заниматься "деталями" бессмысленно. Ведь регуляторы-то думают, что они делают правильное дело.

В-третьих, у регуляторов почти никого не осталось из тех, с кем МОЖНО еще общаться. К сожалению, для регулятора новый нормативный акт - это деньги, деньги и еще раз деньги. И поэтому взывать к здравому смыслу бесполезно ;-(

ЗЫ. Что касается парадигмы, то в 90-м году парламентская комиссия под руководством академика Рыжова выработала алгоритм поведения госструктур по разработке концепции национальной безопасности. Надо сказать, очень здравый алгоритм. Согласно результатам работы этой комиссии было принято, что на первом месте у нас безопасность личности, на втором - общества, на третьем - государства. Однако на тот момент наши силовики этот подхо не приняли и перевернули его с ног на голову (на первом месте государство, а на последнем - личность и гражданин). Первый вариант концепции национальной безопасности предусматривал активное участие в регулировании данной темы не только государства, но и общества и граждан. Второй (текущий) вариант все отдал в руки государства с редким привлечением общественных организаций. Граждан забыли напрочь ;-(

Иными словами, регуляторы сегодня НЕ НУЖДАЮТСЯ в помощи извне. У них СВОИ задачи при выработке нормативной базы и мнение общества, бизнеса и граждан их НЕ ИНТЕРЕСУЕТ.

Анонимный комментирует...

> Ты не читал документ ;-)

Ты знал!! Уже прочел, возражение снимаю.

з.ы. Чудны дела.

Анонимный комментирует...

Коллеги, ключевой момент в новом постановлении следующий: обработка персональных данных ........ считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Т.е. если есть ГРУППОВАЯ обработка - все - обработка считается автоматизированной. Сразу возникает вопрос. Начисление заплаты, скажем в системе 1С, является ИСПОЛЬЗОВАНИЕМ ПДн?

Анонимный комментирует...

Анонимный
А то;)

Анонимный комментирует...

Итак, есть постановление 781 правительства. К нему относится чудное четырехкнижье ФСТЭК и двухкнижье ФСБ. Всё это относится к вопросам "..с использованием средств автоматизации" (п.1 постановления). Теперь появилось постановление регламентирующее вопросы "..без использования средств автоматизации". Ждём n-книжья от ФСТЭК и ФСБ. И всё. Алексей, не понимаю зачем в данной ситуации пудрить мозги неокрепшим организмам юных безопасников. Ваши придирки, честно говоря, из разряда семантических. Предлагаю просто выложить на форуме регуляторов сии сомнения и подождать их интерпретации. На одной из недавних конференций по этому поводу было сказано одним из представителей регуляторов "..каждый должен следовать букве закона в меру своего понимания.. если что не так - разберёмся, поможем".. Меня, конечно не это успокаивает, но то, что дают определённую свободу интерпретации, которая впоследствие будет апроксимирована практикой применения..
С уважением, Иван.

Алексей Лукацкий комментирует...

Иван! Вы были бы правы, если четырехкнижье ФСТЭК было логичным, понятным и реализуемым на практике. Этого не наблюдается ;-( Кроме того, на всех последних мероприятиях ФСТЭК и иже с ними заявляют о том, что решить проблемы вы можете только в одном случае - обратившись в приближенную контору, которая вам поможет. Из чего я делаю вывод, что документы родились для очередного выкачивания денег ;-( И поэтому новое постановление (которое, кстати достаточно однозначное на мой взгляд) достаточно к месту пришлось, отменив по сути 781-е.

Задача же безопасника не только тупо выполнять все рекомендации, которые у нас появляются, но блюсти интересы работодателя и работников в первую очередь. И тратить миллионы долларов на выполнение тупых требований, большинство из которых ничем не подкреплено, а часть физически нерелеализуемо, я считаю нецелесообразным.

А регуляторы могли бы готовить более качественные не только с точки зрения логики, но и с точки зрегия законодательства нормативные акты.

Анонимный комментирует...

Алексей!
"..Вы были бы правы, если бы четырехкнижье ФСТЭК было логичным, понятным и реализуемым на практике. Этого не наблюдается ;-(..". В чём я не прав - в том что данные документы выпущены в поддержание 781 постановления?
Да вполне 4хкнижье реализуемо: переводите из разряда типовых в разряд специальных и работайте не с ФСТЭК, а в лучшем случае с ФСБ, т.е. вполне реально про него забываете. Благо в пунктах 2 и 8 приказа Трёх это дозволяется. А тут задав свои требования и свои угрозы, сами себе их удовлетворили. Сложности есть и тут, но ФСБ выглядит маленько пологичнее организацией, чем ФСТЭК. Можно и в разряде типовых конечно потусоваться, но на самом деле если смотреть шире, то надо очень сильно постараться чтобы найти эти самые изолированные от остальных типовые ИСПДн. Поясню - 2 вида ИСПДн в обязательном порядке назначаются специальными - содержащие медицину и исключительная автоматизация принятия решений. Под это дело, по большому счёту, почти без натяжек могут подойти практически любая ИСПДн практически на любом предприятии.. Да и в принципе типовые - это только требующие конфиденциалки, а если возникает требование целостности итп по тексту, то попадаем опять таки на поле специальных ИСПДн.. По большому счёту, 4хкнижье ФСТЭК, получается, имеет чисто рекомендательный характер ещё до этого Постановления 687. Ну а с таким текстом, как в 687 пост-и можно конечно и на то, что я написал, забить. Ключевым моментом в моём предыдущем посте было то что "..дают определённую свободу интерпретации, которая впоследствие будет апроксимирована практикой применения.." А не то что, к тексту надо придираться. Так реально с ног на голову можно поставить. Если последнее пост-е "достаточно однозначное", то кажется мне термин "непосредственное участие человека" вами трактуется тоже однозначно. Хотя это очередное очевидное многозначное утверждение законотворцев... Как обычно, мы разве не привыкли:-(

Что касается того, чьи интересы должен блюсти безопасник. Абсолютно согласен, что он должен "блюсти интересы работодателя и работников в первую очередь". И именно поэтому надо не тупо подряд без разбору выполнять все требования гос-ва, а тщательно их изучить и подобрать актуальный набор мер, чтобы его родного работодателя это самое гос-во не натянуло по самый не балуй. Бюджеты выделены, проекты по ИБ пошли, а тут получается что вся полугодовая работа и потраченное бабло на фиг никому не нужно?) Потому, что новое постановление можно трактовать как отмену предыдущего?) Не уверен, что это утверждение пойдёт на пользу юным безопасникам.....
Очевидно, что качество законов, которые щас начали штамповать, явно ниже плинтуса, хотя бы потому что мы это обсуждаем. Более того, не совсем понятно, каков принцип отбора людей, которые их делают. В 2001 году СТР-К были куда как логичнее и интереснее, чем эти документы 2007-2008.. Так что тут нам делить нечего, я с вами согласный..

С уважением,
Иван

Алексей Лукацкий комментирует...

Иван, вот именно, вот именно. Мы с вами согласны в том, что качество документов хуже некуда. И мы согласны с тем, что можно найти пути обхода документов. Я иду по пути трактовки текущих опусов и их нелегитимности. Вы идете по пути ухода к ФСБ.

Тоже вариант. Но документы ФСБ говорят только про криптографию ;-( И требования предъявляют только к криптографии. Т.е. уйти "под них" можно, а смысл? Все угрозы криптографией не закроешь. Более того, даже под закрываемые угрозы не всегда есть на рынке решения. И что делать?

А насчет потраченных денег... Есть же известная присказка "не спеши исполнять приказ начальства - отменят" ;-) Или принцип тот же трех гвоздей ;-)

Ну а с юными безопасниками... они живут в нелегкое время, в условиях существования 6-ти государственных, 2-х негосударственных и одного международного регулятора ;-) Им по любому непросто

7ft комментирует...

Уважаемы Алексей, читаю ваш интересный блог недавно, поэтому отпостил только сейчас.

Предполагаю, любую обработку персональных данных можно разделить на две обработки: вот обработка с использованием средств автоматизации (оператор работает с ИС), а вот началась обработка без использования средств автоматизации (оператор переписал персональные данные с экрана на бумажку).

Вывод: мне кажется, противопоставлять постановления 687 и 781 не стоит. Они дополняют друг друга. Есть ИС - хорошо, вот тебе 781, используете еще и неавтоматизированную обработку - очень хорошо, вот тебе еще в добавок 687 со всеми требованиями.

7ft комментирует...

PS Можно ли получить 4книжие не будучи оператором персональных данных, а будучи разработчиком ИСПДн?

Заранее благодарен.

Алексей Лукацкий комментирует...

1. Это неверная трактовка Постановления. Там четко написано, что такое "без средств автоматизации". Это значит со средствами, но с участием человека. Т.е. это автоматизированная обработка.

2. Можно. Официально обратиться во ФСТЭК. Они не имеют права отказать. Если откажут, вы смело можете не выполнять их требования.

Анонимный комментирует...

Зрим в корень:

ПП 687
Обработка ПД без использования средств автоматизации, если
- использование
- уточнение
- уничтожение
- распространение
ПД каждого субъекта осуществляется при НЕПОСРЕДСТВЕННОМ участием человека

НО ФЗ 152 определяет под обработкой плюс к тому что сказано выше еще:
- сбор
- систематизацию
- накопление
- хранение
- обезличивание
- блокирование

Так что получается, при всей сомнительности Ваших рассуждений на тему неотнесения ИСПД к автоматизированным, что, если ИСПД осуществляет любые из неуказанных в 687 Постановлении операций - ИСПД с использованием средств автоматизации.

Алексей Лукацкий комментирует...

Согласен, нестыковка терминов "обработка ПДн" существует, но... если в ИСПДн у меня присутствует и использование или уточнение и сбор, а также все остальные непопавшие в определение действия, то это все равно ИСПДн БЕЗ использования средств автоматизации. Вот если у меня ИСПДн делает только сбор, или только накопление и хранение, но не делает 4-х действия из 687-го Постановления, тогда она выпадает из под его действия.

Анонимный комментирует...

Алексей, что вы скажите относительно корректности следующей характеристики данного постановления (687) "Выдвигает требования по обеспечению безопасности ПДн при их обработке с участием человека на материальных носителях (бланках, формах, журналах)" ?

Алексей Лукацкий комментирует...

Если не брать "русский язык", то не вижу ничего сверхъестественного. Еще ФЗ-152 не ограничивался только электронной формой ПДн, распространяя его требования и на бумажные документы. Тут тоже самое.

Анонимный комментирует...

Алексей, какие по Вашему мнению, характеристики АС относят обработку к безусловно "автоматизированной". Система контроля доступа: Идентификатор-считыватель-контроллер-база-исполнение. Годится?

Алексей Лукацкий комментирует...

Любая система будет, как минимум, автоматизированной. Бывают еще автоматические, т.е. без участия человека. У нас перевели слово automatic коряво и получилось то, что получилось ;-(

Анонимный комментирует...

Алексей, а в конвенции действительно идет речь об "автоматической" обработке? Термин "automatic" может переводиться и как "автоматический" и как "автоматизированный". А вот кусок из конвенции (если вы имели ввиду "Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data" :)"automatic processing" includes the following operations if carried out in whole or in part by automated means: перечисление операций", что можно перевести примерно как "Авто.... обработка включает следующие операции, если они осуществляются полностью или частично с использованием авто...(тут тоже можно по-разному) средств: перечисление:.....мне кажется, - это все-таки автоматизированная обработка, хотя косячного несоответствия рос. постановлений это не отменяет;)

Алексей Лукацкий комментирует...

Ну на самом деле никто и не знает, что имелось ввиду. Конвенция молчит ;-) Но если мы будем следовать переводу, то косяков слишком много. Например, у вас есть требование получать письменное согласие субъекта при полностью автоматизированной обработке. Но это же нонсенс ;-) А все от некорректного перевода.

Анонимный комментирует...

Ай,ай,ай! Как же можно было не ответить на этот вопрос?!

Цитата:"Анонимный

Коллеги, ключевой момент в новом постановлении следующий: обработка персональных данных ........ считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Т.е. если есть ГРУППОВАЯ обработка - все - обработка считается автоматизированной. Сразу возникает вопрос. Начисление заплаты, скажем в системе 1С, является ИСПОЛЬЗОВАНИЕМ ПДн?
26 Сентябрь 2008 г. 12:22 "

Меня вот тоже интересует, если Я храню на компьтере файлы со списками студентов по группам. Я с ними работаю в бумажном виде,распечатывая. Больше ничего не делаю.
И вот,мне они становытся не нужны. Я удаляю файл со списком группы №123. я не удаляю запись о каждом студенте,я удаяю весь файл целиком. тоесть "в отношении каждого из субъектов ПД" я действия удаления не осуществляю. ИТОГО - получай автоматическую\автоматизированную ИСПДн?!

НЕт, не верю! Не хочу!

Dan комментирует...

Пипец.. Вы просто выдергиваете фразы из контекста
"Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц,ответственных за реализацию указанных мер, устанавливаются оператором"

Каких ТАКИХ условий ? А таких которые указаны строкой выше в п.15

Обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним при хранении материальных носителей!
То что материальный носитель это компьютер - это извините словоблудие. Не вводите людей в заблуждение!

Алексей Лукацкий комментирует...

В условиях отсутствия комментариев со стороны регуляторов - трактую так, как считаю удобным в рамках законодательства.

Любой суд согласится с тем, что компьютер является носителем ПДн. Посмотрите дела по 272, 273 статьям - там это четко прослеживается.

Dan комментирует...

Алексей, материальный носитель. Материальный это который можно руками потрогать.
Вы каталог руками потрогать можете?

Dan комментирует...

2. Не находите противоречия в том, что с одной стороны меры защиты выбирает сам оператор, а с другой стороны в ПП 687 есть п.4-15 для исполнения?
Т.е. я как оператор сам выбирающий меры защиты могу сказать, что не вижу необходимости в их исполнении к примеру.
Это по вашему верная трактовка ПП 687?? ;-)

Алексей Лукацкий комментирует...

Не нахожу. Более того, это соответствует европейской практике, когда меры защиты в массе своей определяет оператор самостоятельно.

Алексей Лукацкий комментирует...

А причем тут каталог? Речь же о компе идет.

Анонимный комментирует...

Алексей, Вы любите ссылаться на европейкий документы, когда Вам это удобно;-)
Тогда уж из Евродирективы:

«… Обработка таких данных охватывается настоящей Директивой только в случае, если она является автоматизированной или если обрабатываемые данные помещаются или предназначены для помещения в систему хранения, структурированную в соответствии с особыми критериями, относящимися к частным лицам, для обеспечения легкого доступа к соответствующим персональным данным»

«…Защита частных лиц должна применяться к автоматической обработке данных в той же мере, что и к ручной обработке; (…) рамки данной защиты не должны фактически зависеть от используемой техники, в противном случае это создаст серьезный риск обхода защиты; (…) тем не менее, применительно к ручной обработке, настоящая Директива охватывает только системы хранения, а не неструктурированные досье (файлы); (…) в частности, содержание системы хранения должно быть структурировано в соответствии со специфическими критериями, касающимися частных лиц, позволяя легкий доступ к персональным данным;

Думается это дает понятие сферы применения ПП 687 и 781.