Является ли информационная система ИСПДн? - Форум по вопросам информационной безопасности

З.Ы. Oko, я перечитал весь топик и понял, что вас смутило.

Еще раз: вы понимаете слова "доступ" и "ограничен" как технарь. А надо, раз речь идет о законе, руководствоваться тем смыслом, который в них вкладывает закон.

Для примера, вымышленная гипотетическая ситуация. Не надо говорить, что она не соответствует закону об ЭП, это просто пример, иллюстрирующий понятия "доступ" и "ограничен". Допустим, согласно регламенту УЦ:
1. Все выпущенные сертификаты размещаются на сайте УЦ и могут быть просмотрены любым человеком без предварительной регистрации.
2. УЦ рассматривает совокупность выпущенных сертификатов как базу данных в терминах части 4 ГК РФ и разрешает использовать эту базу данных только для проверки электронных подписей.
3. Отозванные сертификаты с сайта удаляются, но УЦ обязуется предоставить их любому лицу по письменному запросу в течение N рабочих дней..
4. Вопрос, на фига человеку могут понадобиться отозванные сертификаты и как их разрешается использовать, в регламенте не рассматривается.

Доступ, по определению ФЗ-149, это "возможность получения информации и ее использования".

Сведения, содержащиеся в действующих сертификатах, могут быть получены любым лицом (они вывешены на сайте и любое лицо может их прочитать). Возможность получения сведений, включенных в действующие сертификаты, есть, и она не ограничена.

Использовать эти сведения можно только с определенной целью. Использование их для других целей - уголовное преступление, нарушение авторских прав составителя базы данных (специально привел абсурдное ограничение, чтобы показать, что оно может быть не связано с "персональностью" данных).. Т.е. возможность использования есть, но она ограничена авторским правом УЦ на базу данных

Таким образом с точки зрения технаря действующие сертификаты общедоступны. На самом деле, с точки зрения закона доступ к действующим сертификатам ограничен, так как возможность использования содержащихся в них сведений ограничена интеллектуальным правом УЦ. Соответственно, база действующих сертификатов с точки зрения закона не является общедоступным источником данных.

С точки зрения технаря доступ к отозванным сертификатам ограничен. Тем не менее, любое лицо может обратиться в УЦ с запросом, и на этот запрос тот обязан дать ответ. Соответственно, возможность получить отозванный сертификат есть у любого лица, и с точки зрения права эта возможность не ограничена.

Регламент не запрещает лицу, получившему сертификат, использовать его любым способом, который придет ему в голову. Соответственно, возможность использовать есть у любого лица, и эта возможность не ограничена.

Таким образом, с точки зрения права доступ к отозванным сертификатам не ограничен и они общедоступны. Затруднения, которые ограничивают способы и сроки получения информации, с точки зрения права ограничением не являются.

Вот как-то так :)

to malotavr
Спасибо за ликбез (без шуток). Родилась куча примеров "правовых vs технических" коллапсов и парадоксов. Жить стало еще веселее...

to all
И все же, применительно к данному топику форума, хотелось бы разобраться окончательно. Мы уже выяснили, что данные в ЭП выставлены на доступ теоретически неограниченному кругу лиц (особенно по спискам отозванных сертификатов из примера тов. malotavr, ага). При неограниченному круге лиц по 152-ФЗ есть только одна категория ПДн - общедоступные ПДн (пусть они и не равны понятию "обнародованные" ПДн, ага). По тому же пункту ФЗ-152 оные ПДн получают от владельца ПДн только по его письменному согласию. Внимание, вопрос, уважаемые знатоки: приведите пример хотя бы одного УЦ, в котором, при выдаче вам ЭП, с вас получают согласие на обработку именно "общедоступных ПДн"? Т.е. на перевод ваших ПДн, внесенных в ЭП, в категорию "общедоступные". Про конфиденциальность речь не идет - во многих ИСПДн совокупность "ФИО + паспорт + ИНН + СНИЛС + т.п." уже попадает под категорию "иные ПДн", которые соблюдения конфиденциальности уже требуют...

*в сторону*
Или у нас опять ситуация в стиле "каждый др*ит как хочет пока не взяли за это самое место"? Отсюда и парадокс "галочки согласия с обработкой ПДн" на всех сайтах сплошь и рядом?

to Константин
Спасибо, забавно...
Хотя из приведенных ссылок нормальное указание в Заявлении, что отныне ПДн становятся "общедоступными" увидел только у Росатома. Впрочем, читал только pdf-документы (текстовых редакторов DOC/DOCX не имею под рукой) - мог упустить у других...
Инфотекс доставил - у них вообще в Приложении образца Заявления нет. Т.е. мы в Регламенте определили, что ПДн становятся общедоступными, но вам об этом знать не обязательно (что, в целом, законодательство нарушает). Хотя хз, возможно у них Заявление отдельно от Регламента выдается пользователю...
А Тензор вообще убил: <Я ознакомлен с тем, что Согласие на обработку ПДн... не может быть отозвано до принятия решения о прекращении пользования услугами...>. Вроде как ФЗ-152 сослагательного наклонения не имеет, т.е. письменный отзыв владельца ПДн должен быть удовлетворен вне зависимости от проблем Оператора. И опять-таки, про общедоступность ни слова. Ну да черт с ним, с Тензором...

*в сторону*
Тем не менее, остаюсь при своем imho: приравнивать "реквизит электронного документа" (читай, ЭП) к полноценным ПДн в наших реалиях сложности защиты ИСПДн (как минимум вреда русскому лесу, ага) - бессмысленное и беспощадное занятие...

2 oko
не за что
Про общедоступные у Тензора! я же не зря вам кидал!
https://tensor.ru/uc/reglament.pdf
пункт 8.1.4

to Константин
Понял, не доглядел. Но суть та же - в Заявке надо бы уведомлять об "общедоступности", а не в недрах Регламента...

всем:

Понятие ИСПДн вводится в 152-ФЗ. Определение следующее: информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Я это понимаю так:
ИСПДн это БД содержащая ПДн + ТС и технологии обработки...
Если чего-то нет, то это не ИСПДн
Например:
БД сама по себе (грубо, файл на диске) это не ИСПДн
АРМ, без БД - это тоже не ИСПДн

Сведения (ПДн) относящиеся к одному субъекту, ИМХО, это не БД...
Обобщая это получим - АРМ из первого поста не ИСПДн, потому что нет БД.

"БД сама по себе (грубо, файл на диске) это не ИСПДн" (с)

Гы! Базы МГТС/ГИБДД - видимо, тоже хрень собачья. Особенно на HDD/DVD (с Митинского радиорынка). Приходит к нам такой РКН с проверочкой, а мы - опа! Все накопители из системников повыдергивали! ;) Или еще круче - заявляем, что наши БД - это всего лишь набор файлов на диске.

ЗЫ: а про "читалку" этой БД вы не забыли? Лексикон, установленный на ПК - не есть ли информационные технологии + технические средства? А сам диск с БД - не техническое ли средство (а формат файла и способ записи - информационные технологии)?

ЗЗЫ: наше дело - "подложить соломку" в виде официальных ответов регуляторов. А мнение тов. nekto к делу не подошьешь. Удачки.

to nekto
Не хочу прослыть буквоедом, но вроде бы с первым постом в части ИСПДн все однозначно:
ТС есть? Есть (<...обычная пустая система...>)
БД есть? Есть (ключевая информация ЭП)
Технология есть? Есть (соответствующая технология использования ЭП)
Другой вопрос - и тут как раз можно поиграть с юридическими тонкостями - что на этих ТС, фактически, обработка ПДн не ведется. ЭП распознается и "применяется" в удаленной ИС, а в локальной она только вводится (посредством ресурсов оных ТС) и хранится (посредством памяти носителя ЭП). Считать ли взаимодействия того же КриптоПро с сертификатами/ключами ЭП "обработкой ПДн" - в этом главная проблема (и идиотизм, ага)...

oko
А ввод и хранение это разве не составляющие обработки?

Перечитал ещё раз первый пост:
"Является ли информационная система ИСПДн, если в ней нет персональных данных кроме тех, что в составе сертификата ЭП.
Т.е. обычная пустая система, в которой надо пользоваться ЭП."

Я понял, что на АРМ имеется один, единственный сертификат ЭП... если кто-то понял иначе, то и спорить не о чем...

Если предположить, что имелся ввиду такой вариант - АРМ с единственным сертификатом ЭП - вы считаете, что это тоже ИСПДн?