Является ли информационная система ИСПДн? - Форум по вопросам информационной безопасности

to oko

"Не хочу прослыть буквоедом, но вроде бы с первым постом в части ИСПДн все однозначно:
ТС есть? Есть (<...обычная пустая система...>)
БД есть? Есть (ключевая информация ЭП)"

Я как раз считаю, что БД нет... Один сертификат - это не БД...

2 nekto

Я полностью согласен, что АРМ с ед. сертификатом ЭП не ИСПДн

Другое дело, что предположить ИС в которой бы был один пользователь с сертификатом по мне трудно, но если это так, то вы конечно правы.
Мне почему-то сразу показалось, что речь идет в примере о пользователе, а вообще в ИС их больше, но это лишь мое додумывание.

to nekto
1, 2, 10, 1000 - какая разница? ФЗ-152 разве сказал, что понимается под "базой данных"? Это как с выжимками из секретных документов. Тов. ustav верно подметил - мнение к делу не подошьешь, увы...

to Alex_kl
Составляющие, конечно, только я не про то говорил. В случае с ЭП и хранение, и ввод/вывод, и проч. операции упираются в криптопровайдер (СКЗИ, если хотите). Т.е. первичный вопрос топика можно переформулировать: является ли криптопровайдер (его память, операционная среда, ТС, на котором он функционирует) - ИСПДн? Мой ответ уже знаете...

2 oko

В смысле какая разница.. конечно, 152 сказал в 1ой статье закона

совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

to Константин
Извиняюсь, но ради точек над i: в приведенном вами фрагменте ничего про <>1 не сказано. Так-то обращение криптопровайдера к носителю ЭП - это поиск ЭП (если мы до сих пор играем в эту дурацкую игру, то и поиск ПДн, ага). Считывание ЭП и прочие с ней операции - это доступ к ПДн. А что ПДн представлены технически 1 записью (пусть даже строкой) и де факто из себя БД не представляют - закон никак не комментирует...

*в сторону*
Все, заканчиваю это переливание из пустого в порожнее - самому уже надоело...

2 oko

Не убегайте)

По вашему работа с 1ним сертификатом похожа на работу с картотекой или систематизированным собранием ПДн?
конечно должны были дать определение картотеке и систематизированному собранию.

to Константин
А смысл продолжать? Два человека в дискуссии на форуме - это лишь попытка доказать, что "мое кунг-фу сильнее твоего"...
Но, ежели просите... Дело тут не в том, похожа или нет. Явного ответа в законе нет. И да, внутри носителя ЭП имеется своя структура. И, в зависимости от количества разнородных ПДн, включенных в ЭП, и информации, запрашиваемой конкретным УЦ, выборка по этой структуре вполне тянет на каталогизацию и поиск по каталогам. В примитиве, но тянет...

*в сторону*
Тут еще должна быть хохма аля "слезинка ребенка" и проч. абсолютизм, но мне лень...

Ну и что решили то ? Будет ли ИС ИСПДн если в ней будет использоваться ЭЦП ?

2 rev

Каждый остался при своём)

В моем понимании ИСПДн это например 1С, что подтверждает ст.1 152-ФЗ, то есть это база данных ПДн. Считать ИС ИСПДн только из-за использования ЭП, даже пусть не одной, а нескольких считаю паранойей.

Но вы всегда можете написать обращение в Роскомнадзор и узнать их мнение.

в несу свои "5 копеек" в спор. Как нас учил "профессор" в академии. ЛЮБАЯ информационная система если в неё вносятся хоть какие, то персональные данные автоматом становится ИСПДн. Пример: У вас есть Exel документ, куда ваш работник записывает расход материалов, например, 5-му отделу 10 литров. - Н2С5ОН - "это не ИСПДН", а вот если вы запишите: 5-му отделу 10 литров. - Н2С5ОН (ответственный Смирной А.Е. 12.06.1985 г/р) - это уже ИСПДн. Всё остальное способы ведение и подписи это "мишура" важен сам принцип