Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
RSS
[ Закрыто ] Автоматизированная и неавтоматизированная обработка
Добрый вечер! Объясните пожалуйста на примерах, что представляет из себя автоматизированная и неавтоматизированная обработка? exel-ский файл - это автоматизированная обработка? а табличка в ворде - это уже не автоматизированная? 1с бугалтерия - это автоматизированная, а сканы документов не автоматизированная?
ст. 3 ФЗ-152
4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

По-моему, все однозначно: с использованием компьютера - все автоматизированная обработка.
Тогда какая же обработка неавтоматизированная?
На бумажных носителях вестимо.
Однако казус в том, что под определение "автоматизированная обработка" подпадают то все ПДн, обрабатываемые на АРМ, а вот под "ИСПДн" уже не все, т.к. требуется наличие БД и выполнения прочих условий.
С принятием поправок в 152-ФЗ теперь есть 2 разных понятия:
1. автоматизированная обработка (и соответственно НЕ автоматизированная)
2. обработка с использованием средств автоматизации (и без использования)
Это не синонимы.
Например, обработка может быть автоматизированной, но без использования средств автоматизации. Вот такое у нас законодательство. Что является обработкой с использованием или без использования средств автоматизации написано в ПП 687.
ну теперь ваще ниче не понятно.
Цитата
Alex пишет:
Что является обработкой с использованием или без использования средств автоматизации написано в ПП 687.
Если читать дословно п.1 Положения (ПП 687), то там оба понятия объеденены: "Обработка персональных данных, ..... считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека".
И как, простите это понимать? Покажите мне хотя бы одну систему, где эти действия происходят без участия человека?
п.1 и п. 2 687ПП уже не соответствуют 152ФЗ.
Цитата
Alex пишет:
С принятием поправок в 152-ФЗ теперь есть 2 разных понятия: 1. автоматизированная обработка (и соответственно НЕ автоматизированная) 2. обработка с использованием средств автоматизации (и без использования)
Эта двусмысленность должна быть устранена правительством в ближайшее время.
Цитата
Сергей С. пишет:
п.1 и п. 2 687ПП уже не соответствуют 152ФЗ.
С чего бы это? В чем несоответствие?

Цитата
Trotsky пишет:
Эта двусмысленность должна быть устранена правительством в ближайшее время.
Почему Вы считаете, что это двусмысленность? Наоборот, все указывает на сознательное разделение понятий законодателем, т.к. не в одном месте они встречаются.

Закон не распространяется на обработку без использования средств автоматизации и теперь пояснено что значит "без использования средств автоматизации", т.е. если бумажные документы не организованы в виде картотеки, то это на такое закон не распространяется.
Согласно п.1 и п.2 ПП 687 к обработке без использования средств автоматизации относятся случаи, когда компьютер используется как печатная машинка или хранилище данных.
В то же время автоматизированная обработка - это обработка с использованием вычислительной техники. Это теперь самостоятельное понятие.
Получается, что теперь можно вести автоматизированную обработку (т.е. с использованием компьютера), но без использования средств автоматизации (если компьютер использовать как продвинутую печатную машинку).
Применительно к автоматизированной обработке закон предусматривает свои нюансы, в частности в ст.16 указано, что принятие решений исключительно на основании автоматизированной обработки запрещено.

Я согласен с тем, что терминология не совсем удачная, но вообще это по существу два самостоятельных понятия, а не недоразумение.
Цитата
Alex пишет:
Закон не распространяется на обработку без использования средств автоматизации
Простите, уважаемый. Где это Вы такое прочитали? Если уж быть точным, то сказано, что "астоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных,....., с использованием средств автоматизации .... или без использования таких средств". То есть в данном случае как раз наоборот данный закон на такую обработку ПДн распространяется.
Цитата
Alex пишет:
Почему Вы считаете, что это двусмысленность? Наоборот, все указывает на сознательное разделение понятий законодателем, т.к. не в одном месте они встречаются.
Потому что это всего лишь гармонизация терминов, определений и норм с евроконвенцией. Вопрос разницы в переводе и терминологии уже неоднократно обсуждался хотя бы на этом форуме.
Цитата
Ирина Петрова пишет:
То есть в данном случае как раз наоборот данный закон на такую обработку ПДн распространяется.
Полезно дочитывать предложения до конца. Вот что написано в ст.1:
Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Т.е. если у Вас обработка осуществляется без использования средств автоматизации и нет картотеки, то на такую обработку 152-ФЗ не распространяется.
А что есть "систематизированное собрание". Я как то слабо представляю несистематизированный набор бумажек с ПДн, в любом случае они как то систематизируются.
Alex, интересный момент, если еще уйти от заданного алгоритма, то 152 ФЗ не распространяется. А вот ПП 687 распространяется.
А с другой стороны, позволяет осуществить поиск ПДн...заданным алгоритмом. Для поиска на бумажном материальном носителе ПДн алгоритм задать элементарно.
Изменено: Ефим - 03.08.2011 17:21:16
Это вопрос к юристам, надеюсь скоро появится исчерпывающий комментарий )
Для ознакомления
http://fz-152.org/forum/viewtopic.php?f=3&t=6&start=0
(сайт законопроекта Резника)
Цитата
Сергей С. пишет:
систематизированное собрание
телефонный справочник, словарь - это систематизированные собрания
папка с перепиской за такой-то год - не систематизированное собрание
по сути смотрите на картотеку (в законе о ней и речь)

Цитата
Ефим пишет:
Для поиска на бумажном материальном носителе ПДн алгоритм задать элементарно.
полным перебором всего теоретически можно найти что угодно

Цитата
Ефим пишет:
Это вопрос к юристам, надеюсь скоро появится исчерпывающий комментарий
не появится. в старом 152-ФЗ многое толком не было понятно (в т.ч. и с неавтоматизированной обработкой). с чего вдруг с новым 152-ФЗ ситуация поменяется...
Цитата
Alex пишет:
папка с перепиской за такой-то год - не систематизированное собрание
А папки за несколько лет систематизированы по годам, да и внутри папки - по дате.
Цитата
Alex пишет:
с чего вдруг с новым 152-ФЗ ситуация поменяется...
Уже поменялась. Если ПДн в любом виде есть в ЭВМ - обработка автоматизированная.
Цитата
Сергей С. пишет:
Уже поменялась. Если ПДн в любом виде есть в ЭВМ - обработка автоматизированная.
читайте закон
автоматизированная/неавтоматизированная обработка и обработка с использованием средств автоматизации/обработка без использования средств автоматизации - теперь ДВА СОВЕРШЕННО САМОСТОЯТЕЛЬНЫХ ПОНЯТИЯ.
И то и другое встречается не в одном месте и потому не может быть ошибкой типа "ой, забыли поменять".
Только понятию "автоматизированная обработка" дано конкретное определение в ст.3. А вот "с использованием средств автоматизации" - нет.
Страницы: 1 2 След.
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)