Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Испытательная лаборатория НПО «ЭШЕЛОН» успешно провела инспекционный контроль ОС ASTRA LINUX для процессоров «БАЙКАЛ»»

01/07/2019


Российская операционная система специального назначения Astra Linux Special Edition(релиз «Севастополь») для процессоров «Байкал-T1» (MIPS) успешно прошла инспекционный контроль на соответствие требованиям безопасности информации к операционным системам типа «А» 2-го класса защиты в системе сертификации СЗИ ФСТЭК России. Инспекционный контроль релиза «Севастополь», как и других релизов защищенной ОС Astra Linux Special Edition, был проведен  испытательной лабораторией НПО «Эшелон».

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
ПДн на бумаге - часть ИСПДн?, или нет
Здравствуйте,
является ли ПДн на бумажных носителях частью ИСПДн?
Информационные систем персональных данных(ИСПДн).Бумажные носители не ИСПДн,логически не могут являться ИСПДн,вот только если документики word,к примеру содержат ПДн,то это ИСПДн=)
А почему Вы считаете, что информационные технологии - только компьютеры?
На мой взгляд, бумажные ПДн - это тоже ИСПДн, только не подпадающие под действие ПП781.
Это следует и из определения термина ИСПДН:
Цитата
информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств
Изменено: Kutyrs - 22.02.2011 11:00:24
Ну вот я работаю в соц. защите,у нас есть дела на людей..хранятся они на полочках в кабинетах, как же такою "ИСПДн" назвать и охарактеризовать,согласно документам от ФСТЭК?
Цитата
Александр пишет:
Ну вот я работаю в соц. защите,у нас есть дела на людей..хранятся они на полочках в кабинетах, как же такою "ИСПДн" назвать
Так и назовите: Личные дела граждан, которые ведутся в соответствии с ФЗ таким-то.

Цитата
Александр пишет:
охарактеризовать,согласно документам от ФСТЭК?
Если не применяются средства автоматизации - никак.
Спасибо.
То есть в составе ИСПДн обрабатываются ПДн автоматизированно и без применения средств автоматизации. К автоматизированно обрабатываемым будет применяться одни методы и средства защиты, к неавтоматизированно - другие.
Подскажите, каким общим термином назвать документы в электронном и бумажном виде, файлы, базы данных.
"Носители ПДн" - не подходит: носители электронных ПДн - это HDD, flash, DVD, а не файлы.
"Информационные ресурсы" - тоже не подходит, не все из них структурированы
Изменено: Александр - 22.02.2011 12:58:59
Так и назовите "Документы".
Или точнее: содержащие ПДн документы
Лучше бумажную обработку ПДн объединять с автоматизированной в одну ИСПДн.
Потом будет меньше проблем с классификацией и т.п.
http://sborisov.blogspot.com/2011/02/blog-post.html
Цитата
Гость пишет:
Потом будет меньше проблем с классификацией и т.п.
Какой еще классификацией?
При неавтоматизированной обработке ПДн нет никаких документов, предписывающих проводить какую-либо классификацию.
Цитата
Гость пишет:
Лучше бумажную обработку ПДн объединять с автоматизированной в одну ИСПДн.
Потом будет меньше проблем с классификацией и т.п.
А если не объединять, то проблем с классификацией вообще не будет, т.к. требований проводить классификацию бумажных ИСПДн нет.
"информационные активы" - самое верное определение для документов печатных и электронных, их копий, баз данных, таблиц.
Если не объединять, то будут проблемы с тем - что делать с этими бумажными ИСПДн?

На всякий случай поясню:
- что любая папка с документами на бумажном носителе является базой данных документов на бумажном носителе
- электронный документ в формате Microsoft Office на АРМ является уже ИСПДн с применением средств автоматизации.

А если объединить автоматизированную и неавтоматизированную, то хотя бы на разработке перечня лиц, допущенных к обработке ПДн, можно облегчить себе жизнь - указав только одну общую ИСПДн.
Цитата
Kutyrs пишет:
почему Вы считаете, что информационные технологии - только компьютеры? На мой взгляд, бумажные ПДн - это тоже ИСПДн, только не подпадающие под действие ПП781. Это следует и из определения термина ИСПДН:
Обратите внимание на "в базе данных"

информационная система: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (ФЗ от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации)
Цитата
Сергей Б пишет:
На всякий случай поясню: - что любая папка с документами на бумажном носителе является базой данных документов на бумажном носителе
Откуда такой термин?
Цитата
Сергей Б пишет:
- электронный документ в формате Microsoft Office на АРМ является уже ИСПДн с применением средств автоматизации.
Документы в формате ms word к ИСПДн не относятся, т.к. обработка производится без использования средств автоматизации. ПК, сам по себе не определяет наличие автоматизированной обработки
НТЦ "Квазар"
Цитата
Антон пишет:
Документы в формате ms word к ИСПДн не относятся, т.к. обработка производится без использования средств автоматизации. ПК, сам по себе не определяет наличие автоматизированной обработки

Новая редакция ФЗ-152 определяет: "автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники". Никто, надеюсь, не будет отрицать, что ПК - средство вычислительной техники?

Другой вопрос, что считать базой данных и тут мнения различны (собственно, на этом различии и основан сей спор). В пользу того, что документы Word могут считаться базой данных говорит то, что данные хранятся в соответствии с заранее определенным и принятым форматом (doc, docx), а не абы как. Хотя лично мне такая точка зрения претит.

Но в противном случае получается, что у нас бывает неавтоматизированная обработка (ее мы защищаем по ПП-687), обработка автоматизированная в ИСПДн-базах-данных (по ПП-781) и еще неведомая "автоматизированная обработка без использования ИСПДн" с которой вообще не ясно как быть.

И вот тут вопрос. Готов ли оператор бодаться с проверяющими с доказыванием фактов несовершенства нормативной базы как достаточного основания для невыполнения КАК ИМ ПРЕДСТАВЛЯЕТСЯ законных требований или нет. Принять ли риск невыполнения требования (а если мы говорим с точки зрения интегратора - некачественного выполнения работ) по защите ПДн или же смириться, признать файлы на компьютере как еще одну или часть существующей ИСПДн и надеяться, что в новых ПП будет какое-то разъяснение?

Что я упустил?
Определение БД см. в соседней ветке (про ексель)
Цитата
Сергей С. пишет:
Определение БД см. в соседней ветке (про ексель)

http://ispdn.ru/forum/index.php?PAGE_NAME=message&FID=2&TID=2427&MID=31775#message31775

Посмотрел, интересно. Но снова вопрос - применимость определений из ГОСТа.

Ну и вопрос "как защищать автоматизированную обработку без ИСПДн" остается открытым.
Цитата
ansv пишет:
Посмотрел, интересно. Но снова вопрос - применимость определений из ГОСТа.
Могу судебные акты покидать с определениями из ГОСТов, в т.ч. и по ПДн. Естественно определение из кодексов и ФЗ будут приорететней, главное понять применимость определения из ГК.
Есть ли у кого ссылки на акты проверок, где отдельно вордовские доки, содержащие Пдн, признали ИСПДн?
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку