Является ли информационная система ИСПДн? - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=16748&from=0

К списку тем | Добавить сообщение


Автор: Евгений | 86613 07.02.2018 11:19
Является ли информационная система ИСПДн, если в ней нет персональных данных кроме тех, что в составе сертификата ЭП.
Т.е. обычная пустая система, в которой надо пользоваться ЭП.

Автор: Константин | 86616 07.02.2018 11:39
2 Евгений.

недостаточно описано

Как такое может быть не совсем ясно.. Например если подпись используется для входа в систему и/или работы в системе, она же должна как-то соответствовать данным в системе о пользователе, соотв. в системе тоже должным быть ПДн. нет?

Автор: Евгений | 86618 07.02.2018 12:26
Наличие ЭП в ИС для входа в систему и/или работы в системе делает её ИСПДн ? т. е. если в информационной системе используется ЭП то её по любому надо вносить в ИСПДн?

Автор: Константин | 86619 07.02.2018 12:46
2 Евгений

Если в системе есть ПДн, такие же, как и в сертификате ЭП, то тогда это ИСПДн.

Автор: ustav | 86621 07.02.2018 13:03
Задайте вопрос Минкомсвязи. По поводу усиленных ЭП они мне ответили следующее:

"Таким образом, учитывая положения пункта 1 статьи 3 Федерального закона № 152-ФЗ, считаем, что указанный в сертификате ключа проверки электронной подписи набор информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), принадлежит к категории персональных данных" (с).

"Таким образом, на наш взгляд, вышеуказанные реестры сертификатов также содержат в себе информацию, относящуюся к категории персональных данных" (с).

Автор: oko | 86625 07.02.2018 13:55
Бред. Минсвязь в своем репертуаре. Им надо не самим лезть в каждую бочку со своим мнением, а транслировать такие вопросы через РКН. Который, в свою очередь, подтвердит, что носитель ЭП, сами сертификаты ЭП и проч. - нихрена не ПДн. Средство ИАФ, СКЗИ - что угодно, но не ПДн...
Довели исполнение 152-ФЗ до абсурда, но никак остановиться не могут, блин...

Автор: Константин | 86662 07.02.2018 15:09
2 oko

А почему бред? Разве данные в сертификате усиленной ЭП не являются ПДн?! особенно когда подпись физ лица ИНН СНИЛС ФИО, почтовый адрес плюс чаще всего это должность и организация. Чем не ПДн и чем база таких сертификатов не ИСПДн?

Автор: ustav | 86703 07.02.2018 15:45
2 oko:
На аналогичный запрос, РКН ответил мне примерно так: "РКН не уполномочен комментировать действующее законодательство".

ЗЫ: уважаемый регулятор в области шифрсредств согласен с Минкомсвязи ;)

Автор: nekto | 86708 07.02.2018 17:22
По поводу сертификатов ЭП и ПДн:

Давайте по порядку:
1. Сведения, указанные в сертификате, относящиеся к субъекту - это ПДн и никак иначе (следует из определения ПДн).
2. Сертификат ЭП предназначен для передачи неограниченному кругу лиц, т.е. должен содержать только общедоступные сведения. Поэтому при создании ЭП данные сведения должны стать общедоступными (например берётся согласие, явно или неявно) либо уже быть таковыми (например данные руководителя организации в реестре юр. лиц общедоступные).
3. Информационные системы, использующие ЭП обрабатывают общедоступные ПДн .

Теперь про ИСПДн (из 152-ФЗ): информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Следовательно, если информационная система не собирает сведения из сертификатов (или другие ПДн) в базе данных или каком-то хранилище, то она не является ИСПДн.

И ответ на первый пост - такая система не является ИСПДн...

Автор: ustav | 86710 07.02.2018 17:38
Гы!

1. Вспоминаем 63-ФЗ про усиленную ЭП: "позволяет определить лицо, подписавшее электронный документ". Определить лицо, Карл! Соотносим с определением ПДн из 152-ФЗ. Делаем выводы.
2. Неквалифицированная усиленная ЭП, вполне, может иметь хождение только внутри группы юриков - ни о каком "неограниченном" круге лиц разговора тут быть не может.
3. Скажите, решения, например, коллегиальных органов управления могут болезненно затрагивать интересы третьих лиц? А если эти решения подписаны ЭП, которые позволят установить, кто и как голосовал? Следует ли заботиться о правах и свободах лиц-владельцев ЭП? ;)

Автор: Константин | 86711 07.02.2018 18:00
2 nekto
ну не факт, что они общедоступные.

Автор: oko | 86746 07.02.2018 21:20
Вот именно по факту таких ответов регулятора, таких парадоксов определения ПДн и прикладного назначения ЭП - это все, imho, бред. По выбрасываемому мусору путем долгого коррелятивного анализа тоже можно установить личность конкретного человека (да-да, это не высосанная из пальца аналогия). Что ж теперь, свалку приравнять к хранилищу ПДн, а переработку мусора - как обработке ПДн без (или все-таки "с", ага?) использования средств автоматизации?

Автор: nekto | 86834 09.02.2018 10:47
Согласен. Не всякая ЭП общедоступные данные (потом уже подумал про внутреннее использование в организациях).

Я так понял, со второй частью моего поста, что ИС в первом посте не является ИСПДн, согласны все?

Автор: ustav | 86836 09.02.2018 10:54
2 nekto: я не согласен. При всём уважении.

Автор: Константин | 86840 09.02.2018 11:56
2 nekto

1 - Про общедоступные данные
Даже дело не в том внутреннее использование или нет. А дело в том, что указано в заявлении на изготовление сертификата или Регламенте УЦ или где они ещё могут это прописать. К примеру для некоторых УЦ в форме заявления указано, что данные в сертификате признаются общедоступными. А у некоторых, например Федеральное казначейство изготовляющее подписи для всех бюджетников и госслужащих, нет такого указания.

2 - Я не согласен. Сам топикстартер пишет о том, что в ИС есть данные, которые входят в состав сертификата ЭП (там не очень ясно написано, он пишет, что в ИС нет ПДн кроме данных сертификатов)

Из чего можно сделать вывод, что можно забыть про сертификаты ЭП и сказать, что в системе обрабатываются ПДн.

И тем более где вы видели систему, в которой осуществляется работа по электронной подписи, но не обрабатываются ПДн самих пользователей.

Все мои размышления касаются КЭП.

Автор: oko | 86856 09.02.2018 15:13
to all
Общедоступные ПДн - ПДн, зарегистрированные официально в общедоступных реестрах, либо ПДн, самим субъектом выложенные в общий доступ. Где реестр такой у какого-либо УЦ? А в заявке на ЭП вы указываете, что ваши ПДн общедоступны? В том и соль...
Не надо устраивать себе геморрой на пустом месте. imho, игнорирую вопросы ПДн при работе с ЭП - это ключевка (СКЗИ), это идентификатор, не более. Ранее где-то на форуме уже доказывал, что любую (подчеркиваю) информацию можно теоретически приравнять к ПДн. Благо, закон у нас весьма размыт в части формулировок под это дело ("...прямо или косвенно относящиеся...", охренительно, ага)...

Автор: Константин | 86919 11.02.2018 09:46
2 oko

Про общедоступные.где где Реестр такой находится у УЦ. Вы запрашивали информацию из подобного реестра? Я, нет. Общедоступная информация по моему мнению может выдаваться по запросу, во всяком случае нигде обратного не написано. Не надо путать с общедоступной информацией размещаемой в интернете в виде открытых данных.
Закон размыт, но это не отменяет того факта, что это закон.

Автор: malotavr | 86947 11.02.2018 13:24
"Шо, опять?" (с)

"Общедрступный" - понятие не техническое, а юридическое. Информация признается судами общедоступной, если у любого человека есть право ее получить и использовать. Даже если технически она хранится в запертом сейфе и выдается по запосу.

Автор: oko | 86967 11.02.2018 14:25
to all
Окей, с бредом типа "у нас есть общедоступный источник, к которому надо оформлять запрос, потому что информация лежит за 7 печатями" худо-бедно согласен. Хотя классика безопасности (в том числе ст. 7 ФЗ-149) учит нас, что доступ к общедоступной информации ничем не ограничен (включая всяческие "запросы", поскольку на них всегда можно отказать, ага). И вообще все, что != "общедоступной инф.", = ИОД. Ну да ладно...
А как быть со ст. 6 ФЗ-152? <осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных)>. Еще раз спрашиваю: вы при оформлении заявки на получение ЭП указываете, что отныне данные, хранящиеся в ней, общедоступны? Или будем пытаться играть с понятием "неограниченный круг лиц"?
Короче, согласен, что вопрос юридический, а не ТЗИшный. В целом, вердикт прост: захотел владелец ЭП или УЦ выдвинуть требования по защите ЭП как ПДн - защищаем как ПДн. Не указал - не лезем в этот правовой сортир, ага...

Автор: malotavr | 86990 11.02.2018 16:56
На этот вопрос уже ответил Верховный Суд применительно к данным в соцсетях: они не являются общедоступными :)

Вы попались в ту же понятийную ловушку, что и Емельянников: если кто угодно может получить (увидеть, услышать, прочитать) информацию, значит она - общедостпная. Нет, общедоступная - это если кто угодно может ее получить и использовать. Если вы можете саободно ее получить, но, получив, не можете ее без разрешения использовать, такая информация общедоступной не является. Для такой информации в праве используется слово "обнародованный".

Автор: malotavr | 87022 11.02.2018 20:50
З.Ы. Oko, я перечитал весь топик и понял, что вас смутило.

Еще раз: вы понимаете слова "доступ" и "ограничен" как технарь. А надо, раз речь идет о законе, руководствоваться тем смыслом, который в них вкладывает закон.

Для примера, вымышленная гипотетическая ситуация. Не надо говорить, что она не соответствует закону об ЭП, это просто пример, иллюстрирующий понятия "доступ" и "ограничен". Допустим, согласно регламенту УЦ:
1. Все выпущенные сертификаты размещаются на сайте УЦ и могут быть просмотрены любым человеком без предварительной регистрации.
2. УЦ рассматривает совокупность выпущенных сертификатов как базу данных в терминах части 4 ГК РФ и разрешает использовать эту базу данных только для проверки электронных подписей.
3. Отозванные сертификаты с сайта удаляются, но УЦ обязуется предоставить их любому лицу по письменному запросу в течение N рабочих дней..
4. Вопрос, на фига человеку могут понадобиться отозванные сертификаты и как их разрешается использовать, в регламенте не рассматривается.

Доступ, по определению ФЗ-149, это "возможность получения информации и ее использования".

Сведения, содержащиеся в действующих сертификатах, могут быть получены любым лицом (они вывешены на сайте и любое лицо может их прочитать). Возможность получения сведений, включенных в действующие сертификаты, есть, и она не ограничена.

Использовать эти сведения можно только с определенной целью. Использование их для других целей - уголовное преступление, нарушение авторских прав составителя базы данных (специально привел абсурдное ограничение, чтобы показать, что оно может быть не связано с "персональностью" данных).. Т.е. возможность использования есть, но она ограничена авторским правом УЦ на базу данных

Таким образом с точки зрения технаря действующие сертификаты общедоступны. На самом деле, с точки зрения закона доступ к действующим сертификатам ограничен, так как возможность использования содержащихся в них сведений ограничена интеллектуальным правом УЦ. Соответственно, база действующих сертификатов с точки зрения закона не является общедоступным источником данных.

С точки зрения технаря доступ к отозванным сертификатам ограничен. Тем не менее, любое лицо может обратиться в УЦ с запросом, и на этот запрос тот обязан дать ответ. Соответственно, возможность получить отозванный сертификат есть у любого лица, и с точки зрения права эта возможность не ограничена.

Регламент не запрещает лицу, получившему сертификат, использовать его любым способом, который придет ему в голову. Соответственно, возможность использовать есть у любого лица, и эта возможность не ограничена.

Таким образом, с точки зрения права доступ к отозванным сертификатам не ограничен и они общедоступны. Затруднения, которые ограничивают способы и сроки получения информации, с точки зрения права ограничением не являются.

Вот как-то так :)

Автор: oko | 87042 12.02.2018 00:05
to malotavr
Спасибо за ликбез (без шуток). Родилась куча примеров "правовых vs технических" коллапсов и парадоксов. Жить стало еще веселее...

to all
И все же, применительно к данному топику форума, хотелось бы разобраться окончательно. Мы уже выяснили, что данные в ЭП выставлены на доступ теоретически неограниченному кругу лиц (особенно по спискам отозванных сертификатов из примера тов. malotavr, ага). При неограниченному круге лиц по 152-ФЗ есть только одна категория ПДн - общедоступные ПДн (пусть они и не равны понятию "обнародованные" ПДн, ага). По тому же пункту ФЗ-152 оные ПДн получают от владельца ПДн только по его письменному согласию. Внимание, вопрос, уважаемые знатоки: приведите пример хотя бы одного УЦ, в котором, при выдаче вам ЭП, с вас получают согласие на обработку именно "общедоступных ПДн"? Т.е. на перевод ваших ПДн, внесенных в ЭП, в категорию "общедоступные". Про конфиденциальность речь не идет - во многих ИСПДн совокупность "ФИО + паспорт + ИНН + СНИЛС + т.п." уже попадает под категорию "иные ПДн", которые соблюдения конфиденциальности уже требуют...

*в сторону*
Или у нас опять ситуация в стиле "каждый др*ит как хочет пока не взяли за это самое место"? Отсюда и парадокс "галочки согласия с обработкой ПДн" на всех сайтах сплошь и рядом?

Автор: oko | 87062 12.02.2018 13:36
to Константин
Спасибо, забавно...
Хотя из приведенных ссылок нормальное указание в Заявлении, что отныне ПДн становятся "общедоступными" увидел только у Росатома. Впрочем, читал только pdf-документы (текстовых редакторов DOC/DOCX не имею под рукой) - мог упустить у других...
Инфотекс доставил - у них вообще в Приложении образца Заявления нет. Т.е. мы в Регламенте определили, что ПДн становятся общедоступными, но вам об этом знать не обязательно (что, в целом, законодательство нарушает). Хотя хз, возможно у них Заявление отдельно от Регламента выдается пользователю...
А Тензор вообще убил: <Я ознакомлен с тем, что Согласие на обработку ПДн... не может быть отозвано до принятия решения о прекращении пользования услугами...>. Вроде как ФЗ-152 сослагательного наклонения не имеет, т.е. письменный отзыв владельца ПДн должен быть удовлетворен вне зависимости от проблем Оператора. И опять-таки, про общедоступность ни слова. Ну да черт с ним, с Тензором...

*в сторону*
Тем не менее, остаюсь при своем imho: приравнивать "реквизит электронного документа" (читай, ЭП) к полноценным ПДн в наших реалиях сложности защиты ИСПДн (как минимум вреда русскому лесу, ага) - бессмысленное и беспощадное занятие...

Автор: Константин | 87064 12.02.2018 14:18
2 oko
не за что
Про общедоступные у Тензора! я же не зря вам кидал!
https://tensor.ru/uc/reglament.pdf
пункт 8.1.4

Автор: oko | 87066 12.02.2018 15:44
to Константин
Понял, не доглядел. Но суть та же - в Заявке надо бы уведомлять об "общедоступности", а не в недрах Регламента...

Автор: nekto | 87111 13.02.2018 13:17
всем:

Понятие ИСПДн вводится в 152-ФЗ. Определение следующее: информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Я это понимаю так:
ИСПДн это БД содержащая ПДн + ТС и технологии обработки...
Если чего-то нет, то это не ИСПДн
Например:
БД сама по себе (грубо, файл на диске) это не ИСПДн
АРМ, без БД - это тоже не ИСПДн

Сведения (ПДн) относящиеся к одному субъекту, ИМХО, это не БД...
Обобщая это получим - АРМ из первого поста не ИСПДн, потому что нет БД.

Автор: ustav | 87145 13.02.2018 17:33
"БД сама по себе (грубо, файл на диске) это не ИСПДн" (с)

Гы! Базы МГТС/ГИБДД - видимо, тоже хрень собачья. Особенно на HDD/DVD (с Митинского радиорынка). Приходит к нам такой РКН с проверочкой, а мы - опа! Все накопители из системников повыдергивали! ;) Или еще круче - заявляем, что наши БД - это всего лишь набор файлов на диске.

ЗЫ: а про "читалку" этой БД вы не забыли? Лексикон, установленный на ПК - не есть ли информационные технологии + технические средства? А сам диск с БД - не техническое ли средство (а формат файла и способ записи - информационные технологии)?

ЗЗЫ: наше дело - "подложить соломку" в виде официальных ответов регуляторов. А мнение тов. nekto к делу не подошьешь. Удачки.

Автор: oko | 87146 13.02.2018 17:42
to nekto
Не хочу прослыть буквоедом, но вроде бы с первым постом в части ИСПДн все однозначно:
ТС есть? Есть (<...обычная пустая система...>)
БД есть? Есть (ключевая информация ЭП)
Технология есть? Есть (соответствующая технология использования ЭП)
Другой вопрос - и тут как раз можно поиграть с юридическими тонкостями - что на этих ТС, фактически, обработка ПДн не ведется. ЭП распознается и "применяется" в удаленной ИС, а в локальной она только вводится (посредством ресурсов оных ТС) и хранится (посредством памяти носителя ЭП). Считать ли взаимодействия того же КриптоПро с сертификатами/ключами ЭП "обработкой ПДн" - в этом главная проблема (и идиотизм, ага)...

Автор: Alex_kl | 87201 14.02.2018 08:34
oko
А ввод и хранение это разве не составляющие обработки?

Автор: nekto | 87222 14.02.2018 16:24
Перечитал ещё раз первый пост:
"Является ли информационная система ИСПДн, если в ней нет персональных данных кроме тех, что в составе сертификата ЭП.
Т.е. обычная пустая система, в которой надо пользоваться ЭП."

Я понял, что на АРМ имеется один, единственный сертификат ЭП... если кто-то понял иначе, то и спорить не о чем...

Если предположить, что имелся ввиду такой вариант - АРМ с единственным сертификатом ЭП - вы считаете, что это тоже ИСПДн?

Автор: nekto | 87224 14.02.2018 16:28
to oko

"Не хочу прослыть буквоедом, но вроде бы с первым постом в части ИСПДн все однозначно:
ТС есть? Есть (<...обычная пустая система...>)
БД есть? Есть (ключевая информация ЭП)"

Я как раз считаю, что БД нет... Один сертификат - это не БД...

Автор: Константин | 87227 14.02.2018 17:34
2 nekto

Я полностью согласен, что АРМ с ед. сертификатом ЭП не ИСПДн

Другое дело, что предположить ИС в которой бы был один пользователь с сертификатом по мне трудно, но если это так, то вы конечно правы.
Мне почему-то сразу показалось, что речь идет в примере о пользователе, а вообще в ИС их больше, но это лишь мое додумывание.

Автор: oko | 87231 14.02.2018 17:53
to nekto
1, 2, 10, 1000 - какая разница? ФЗ-152 разве сказал, что понимается под "базой данных"? Это как с выжимками из секретных документов. Тов. ustav верно подметил - мнение к делу не подошьешь, увы...

to Alex_kl
Составляющие, конечно, только я не про то говорил. В случае с ЭП и хранение, и ввод/вывод, и проч. операции упираются в криптопровайдер (СКЗИ, если хотите). Т.е. первичный вопрос топика можно переформулировать: является ли криптопровайдер (его память, операционная среда, ТС, на котором он функционирует) - ИСПДн? Мой ответ уже знаете...

Автор: Константин | 87256 14.02.2018 20:52
2 oko

В смысле какая разница.. конечно, 152 сказал в 1ой статье закона

совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Автор: oko | 87281 14.02.2018 23:39
to Константин
Извиняюсь, но ради точек над i: в приведенном вами фрагменте ничего про <>1 не сказано. Так-то обращение криптопровайдера к носителю ЭП - это поиск ЭП (если мы до сих пор играем в эту дурацкую игру, то и поиск ПДн, ага). Считывание ЭП и прочие с ней операции - это доступ к ПДн. А что ПДн представлены технически 1 записью (пусть даже строкой) и де факто из себя БД не представляют - закон никак не комментирует...

*в сторону*
Все, заканчиваю это переливание из пустого в порожнее - самому уже надоело...

Автор: Константин | 87300 15.02.2018 10:28
2 oko

Не убегайте)

По вашему работа с 1ним сертификатом похожа на работу с картотекой или систематизированным собранием ПДн?
конечно должны были дать определение картотеке и систематизированному собранию.

Автор: oko | 87307 15.02.2018 12:34
to Константин
А смысл продолжать? Два человека в дискуссии на форуме - это лишь попытка доказать, что "мое кунг-фу сильнее твоего"...
Но, ежели просите... Дело тут не в том, похожа или нет. Явного ответа в законе нет. И да, внутри носителя ЭП имеется своя структура. И, в зависимости от количества разнородных ПДн, включенных в ЭП, и информации, запрашиваемой конкретным УЦ, выборка по этой структуре вполне тянет на каталогизацию и поиск по каталогам. В примитиве, но тянет...

*в сторону*
Тут еще должна быть хохма аля "слезинка ребенка" и проч. абсолютизм, но мне лень...

Прошло несколько месяцев

Автор: rev | 93520 18.05.2018 17:39
Ну и что решили то ? Будет ли ИС ИСПДн если в ней будет использоваться ЭЦП ?

Автор: Константин | 93598 21.05.2018 13:51
2 rev

Каждый остался при своём)

В моем понимании ИСПДн это например 1С, что подтверждает ст.1 152-ФЗ, то есть это база данных ПДн. Считать ИС ИСПДн только из-за использования ЭП, даже пусть не одной, а нескольких считаю паранойей.

Но вы всегда можете написать обращение в Роскомнадзор и узнать их мнение.

Автор: Artem, CBR | 93622 22.05.2018 08:05
в несу свои "5 копеек" в спор. Как нас учил "профессор" в академии. ЛЮБАЯ информационная система если в неё вносятся хоть какие, то персональные данные автоматом становится ИСПДн. Пример: У вас есть Exel документ, куда ваш работник записывает расход материалов, например, 5-му отделу 10 литров. - Н2С5ОН - "это не ИСПДН", а вот если вы запишите: 5-му отделу 10 литров. - Н2С5ОН (ответственный Смирной А.Е. 12.06.1985 г/р) - это уже ИСПДн. Всё остальное способы ведение и подписи это "мишура" важен сам принцип

Автор: Александр | 93641 22.05.2018 11:57
Какие филосовские вопросы)

По ЭП можно определить субъект. Если да, то ИСПДн.

Конечно определение фз 152 очень обширное и философское, можно неделю выпивать и общаться, и вообще можно спиться......

Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия ...

А так звоните в РОСКОМНАДЗОР, и делов-то)

Просмотров темы: 9513


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100