Pages - Menu

Страницы

24.4.09

Миф о 1-м января 2010 года

Вот решил пройтись по этому мифу, потому что как-то уж часто все ссылаются на эту дату, не до конца понимая, что она значит на самом деле. Итак, 1-е января 2010 года, с которого якобы все должны соответствовать требованиям.

На самом деле, многие должны соответствовать с 29 января 2007 года, когда вступил в силу ФЗ-152. Ведь в ФЗ написано, что с 01.01.2010 должны соответствовать ИСПДн, созданные ДО вступления ФЗ-152 в силу. Но ФЗ ни слова не говорит о ИСПДн, созданных ПОСЛЕ. Следовательно ИСПДн, созданные после 29 января 2007-го года, должны уже сейчас соответствовать требованиям законодательства.

Возникает вопрос "что значит созданы". Согласно ГОСТ 34.003-90 "Автоматизированные системы. Термины и определения" (он единственный говорит о создании АС, но, кстати, не ИС) процесс создания АС завершается приемкой в промышленную эксплуатацию, которая подтверждается соответствующим актом приемки. Соответственно надо смотреть, какая дата стоит в этом акте.

Не совсем понятно, что делать, когда акта никакого нет ;-( Информационной системы как бы и нет вовсе ;-) А это очередной простор для деятельности юристов ;-)


17 комментариев:

  1. Какой же это миф? Так пугалка для нечитавших закон.

    Не так давно тут всплыла тема рисков неисполнения требований закона. Если я не ошибаюсь пришли к выводу, что пока моральный ущерб 1-1,5круб, а штраф регулятора не более 10круб, работать ничего не будет. Насколько я помню, в КоАП готовят 5 статей (по словам Васильевой) и сейчас они по процедуре на втором чтении в ГД, по всей видимости принятие будет как раз к новому году, так что предлагаю пугать этой датой именно с точки зрения реально увеличивающегося наказания за неисполнение требований (~500круб), чем самими требованиями.

    ОтветитьУдалить
  2. Все-таки информационная система не одно и то же, что автоматизированная система, да и ГОСТ необязателен (в отличие от ФЗ). ФЗ не определяет порядок создания ИС, но имеет в виду момент начало предоставления соответствующих сервисов по обработке, хранению и тд. Явно не написано, но "прочитывается".

    ОтветитьУдалить
  3. Ивану Клименко:Ну штраф может быть и больше. Существенно. Все зависит от желания регулятора. Невыполнил предписание - уже 500000 рублей (максимум). Послал ФСТЭК - приостановление деятельности на 90 дней. Развернуться и сейчас, где есть.

    Quiet Zone:А понятие ИС вообще появилось только в трехглавом законе. Больше его нигде нет. И по сути, это АС + данные.

    ОтветитьУдалить
  4. > это АС + данные

    И плюс технологии обработки.

    Отсюда есть хороший вопрос: кто должен классифицировать ИСПДн, если технические средства принадлежат одному юрлицу, база другого юрлица, а операторши трудятся в третьем?

    ОтветитьУдалить
  5. Я думаю собственник технических средств. На это наталкивает одна из предложенных вчера стратегий по уходу из под ФЗ - перевод обработки в оффшор. То есть как только в железках первого лица появились ПДн второго, этот первый попадает под действие закона.

    ОтветитьУдалить
  6. 2 Quiet Zone:

    Это из здравого смысла или тройного приказа?
    Фишка в том, что собственность на техсредства не дает ему права персданные читать, а без этого ни количество субъектов, ни категорию данных не определишь. Может техническая возможность-то и есть, а вот права ей воспользоваться нет.

    ОтветитьУдалить
  7. Отсюда возникает еще вопрос. Что считать датой создания ИСПДн, если техсредства были куплены в 2006-м году, ИТ внедрены в 2008, а данные вносятся постоянно?...

    ОтветитьУдалить
  8. Ригель

    Исклоючительно догадка:) Ну да, конечно, наличие данных не предполагает доступ к данным. Но три условия, которым по сути, должна отвечать ИСПДн, выполняются - есть средсво обработки, оно содержит информацию и вовсю использует технологии обработки (т.е. уже обрабатывает). То, что люди не имеют доступа к информации ИМХО говоорит лишь о степени автоматизации обработки.

    Алексей

    Я думаю с момента пересечения во времени трех компонент ИСПДн, которые я чуть выше описал. Грубо говоря, куплено оборудование, установлена 1С, и создана первая запись субъекта.

    ОтветитьУдалить
  9. Сорри за ошибки, под конец дня:(

    ОтветитьУдалить
  10. > условия, которым должна
    > отвечать ИСПДн, выполняются

    Это говорит только о том, что перед нами ИСПДн.

    По приказу трёх классификацию ИСПДн выполняет оператор ИС (не путать с оператором персональных данных, оператором связи, туроператором и т.п.).
    По ФЗ-149 оператор ИС - это тот, кто эксплуатирует, и им может быть как собственник техсредств, так и нет.

    Вот у меня есть ноутбук, я дал его тебе попользоваться, а ты давай туда сканы паспортов складывать. Я не знаю ни сколько их там, ни какие страницы, и даже о самом факте-то могу не догадываться.

    ОтветитьУдалить
  11. А почему это Миф? Что это обстоятельство принципиально меняет для проверяющих? Вон в МО РФ есть примеры, когда АС годами не принимались на вооружение. Называлось, это то опытной эксплуатацией, то испытаниями 1,2 .. очереди. Постепенно такие системы наполнялись реальными данными. Некоторые так лет по 10 и проработали не существующими.
    По моему, отсутствие юридических оснований в отношении конкретной ИСПДн будет последним, что может прийти в голову проверяющему из контрольных органов, отправляющемуся на проверку, к примеру, 10 января 2010 года к какому-нибудь Телекому.

    ОтветитьУдалить
  12. Получается, что оператор ИС перед проведением классификации выделяет только ту часть, в которой обрабатываются ПДн (т.е. ИСПДн) и только ее классифицирует. Соответственно, нет никакой необходимости классифицировать всю ИС. Чтобы сузить область, которая должна соответствовать 152-ФЗ и, соответственно, сузить классифицируемую область, можно воспользоваться, например, разбиением всей ИС на сегменты и выделить ИСПДн в один локальный сегмент.

    ОтветитьУдалить
  13. Олегу: Миф в том, что проверяющим надо ждать 1-го января. Проверки можно проводить уже сейчас - закон дает такое право.

    Игорю: Да, именно так и рекомендуется делать. Зачем себе создавать сложности?..

    ОтветитьУдалить
  14. Ригелю

    Тогда уточню - очевидно бремя классификации лежит на том, кто распоряжается системой, а не ладеет или использует. То есть предоставляет к ней доступ. На технологическом уровне (решает, понятно, владелец информации). Хотя чем дальше в лес, тем толще партизаны((

    ОтветитьУдалить
  15. Для Quiet Zone:

    Система все только путает. Есть хозяин техсредств, хозяин техпроцесса и хозяин базы - ты про кого?
    Для простоты полагаем, что в согласия дело не упирается (хотя это обстоятельство может не только вмешиваться, но и вообще доводить до анекдота: все трое на основании согласий, и ни в одном не указано операции, позволяющей хпд/хпдн оценить).

    ОтветитьУдалить
  16. Кстати!
    Кто сказал, что ИСПДн - компьютерная база?
    А картотека не Информационная система (ручной обработки!)персональных данных?

    В принципе, все системы, не имеющие выходы в интер, (а в некоторых случаях и имеющие) вполне реально описать документарными методами защиты.

    Кстати, читал форум на dom.bankir
    и не понял один момент.
    Если у меня сервер, не подключенный к интеру, имеющий 2 станции для ввода и распечатки данных, находящийся в закрытом, охраняемом помещении, то почему 781?

    Поясните!

    ОтветитьУдалить
  17. Проблема как раз в определении ИСПДн, которое дает 152-ФЗ.
    И в переводе слова "Automatic", из названия соответствующей конвенции...

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.