Миф о 1-м января 2010 года

Законодательство

Вот решил пройтись по этому мифу, потому что как-то уж часто все ссылаются на эту дату, не до конца понимая, что она значит на самом деле. Итак, 1-е января 2010 года, с которого якобы все должны соответствовать требованиям.

На самом деле, многие должны соответствовать с 29 января 2007 года, когда вступил в силу ФЗ-152. Ведь в ФЗ написано, что с 01.01.2010 должны соответствовать ИСПДн, созданные ДО вступления ФЗ-152 в силу. Но ФЗ ни слова не говорит о ИСПДн, созданных ПОСЛЕ. Следовательно ИСПДн, созданные после 29 января 2007-го года, должны уже сейчас соответствовать требованиям законодательства.

Возникает вопрос «что значит созданы». Согласно ГОСТ 34.003-90 «Автоматизированные системы. Термины и определения» (он единственный говорит о создании АС, но, кстати, не ИС) процесс создания АС завершается приемкой в промышленную эксплуатацию, которая подтверждается соответствующим актом приемки. Соответственно надо смотреть, какая дата стоит в этом акте.

Не совсем понятно, что делать, когда акта никакого нет ;-( Информационной системы как бы и нет вовсе 😉 А это очередной простор для деятельности юристов 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Иван Клименко

    Какой же это миф? Так пугалка для нечитавших закон.

    Не так давно тут всплыла тема рисков неисполнения требований закона. Если я не ошибаюсь пришли к выводу, что пока моральный ущерб 1-1,5круб, а штраф регулятора не более 10круб, работать ничего не будет. Насколько я помню, в КоАП готовят 5 статей (по словам Васильевой) и сейчас они по процедуре на втором чтении в ГД, по всей видимости принятие будет как раз к новому году, так что предлагаю пугать этой датой именно с точки зрения реально увеличивающегося наказания за неисполнение требований (~500круб), чем самими требованиями.

    Ответить
  2. Quiet Zone

    Все-таки информационная система не одно и то же, что автоматизированная система, да и ГОСТ необязателен (в отличие от ФЗ). ФЗ не определяет порядок создания ИС, но имеет в виду момент начало предоставления соответствующих сервисов по обработке, хранению и тд. Явно не написано, но «прочитывается».

    Ответить
  3. Алексей Лукацкий

    Ивану Клименко:Ну штраф может быть и больше. Существенно. Все зависит от желания регулятора. Невыполнил предписание — уже 500000 рублей (максимум). Послал ФСТЭК — приостановление деятельности на 90 дней. Развернуться и сейчас, где есть.

    Quiet Zone:А понятие ИС вообще появилось только в трехглавом законе. Больше его нигде нет. И по сути, это АС + данные.

    Ответить
  4. Ригель

    > это АС + данные

    И плюс технологии обработки.

    Отсюда есть хороший вопрос: кто должен классифицировать ИСПДн, если технические средства принадлежат одному юрлицу, база другого юрлица, а операторши трудятся в третьем?

    Ответить
  5. Quiet Zone

    Я думаю собственник технических средств. На это наталкивает одна из предложенных вчера стратегий по уходу из под ФЗ — перевод обработки в оффшор. То есть как только в железках первого лица появились ПДн второго, этот первый попадает под действие закона.

    Ответить
  6. Ригель

    2 Quiet Zone:

    Это из здравого смысла или тройного приказа?
    Фишка в том, что собственность на техсредства не дает ему права персданные читать, а без этого ни количество субъектов, ни категорию данных не определишь. Может техническая возможность-то и есть, а вот права ей воспользоваться нет.

    Ответить
  7. Алексей Лукацкий

    Отсюда возникает еще вопрос. Что считать датой создания ИСПДн, если техсредства были куплены в 2006-м году, ИТ внедрены в 2008, а данные вносятся постоянно?…

    Ответить
  8. Quiet Zone

    Ригель

    Исклоючительно догадка:) Ну да, конечно, наличие данных не предполагает доступ к данным. Но три условия, которым по сути, должна отвечать ИСПДн, выполняются — есть средсво обработки, оно содержит информацию и вовсю использует технологии обработки (т.е. уже обрабатывает). То, что люди не имеют доступа к информации ИМХО говоорит лишь о степени автоматизации обработки.

    Алексей

    Я думаю с момента пересечения во времени трех компонент ИСПДн, которые я чуть выше описал. Грубо говоря, куплено оборудование, установлена 1С, и создана первая запись субъекта.

    Ответить
  9. Quiet Zone

    Сорри за ошибки, под конец дня:(

    Ответить
  10. Ригель

    > условия, которым должна
    > отвечать ИСПДн, выполняются

    Это говорит только о том, что перед нами ИСПДн.

    По приказу трёх классификацию ИСПДн выполняет оператор ИС (не путать с оператором персональных данных, оператором связи, туроператором и т.п.).
    По ФЗ-149 оператор ИС — это тот, кто эксплуатирует, и им может быть как собственник техсредств, так и нет.

    Вот у меня есть ноутбук, я дал его тебе попользоваться, а ты давай туда сканы паспортов складывать. Я не знаю ни сколько их там, ни какие страницы, и даже о самом факте-то могу не догадываться.

    Ответить
  11. Олег Кузьмин

    А почему это Миф? Что это обстоятельство принципиально меняет для проверяющих? Вон в МО РФ есть примеры, когда АС годами не принимались на вооружение. Называлось, это то опытной эксплуатацией, то испытаниями 1,2 .. очереди. Постепенно такие системы наполнялись реальными данными. Некоторые так лет по 10 и проработали не существующими.
    По моему, отсутствие юридических оснований в отношении конкретной ИСПДн будет последним, что может прийти в голову проверяющему из контрольных органов, отправляющемуся на проверку, к примеру, 10 января 2010 года к какому-нибудь Телекому.

    Ответить
  12. Хайров Игорь

    Получается, что оператор ИС перед проведением классификации выделяет только ту часть, в которой обрабатываются ПДн (т.е. ИСПДн) и только ее классифицирует. Соответственно, нет никакой необходимости классифицировать всю ИС. Чтобы сузить область, которая должна соответствовать 152-ФЗ и, соответственно, сузить классифицируемую область, можно воспользоваться, например, разбиением всей ИС на сегменты и выделить ИСПДн в один локальный сегмент.

    Ответить
  13. Алексей Лукацкий

    Олегу: Миф в том, что проверяющим надо ждать 1-го января. Проверки можно проводить уже сейчас — закон дает такое право.

    Игорю: Да, именно так и рекомендуется делать. Зачем себе создавать сложности?..

    Ответить
  14. Quiet Zone

    Ригелю

    Тогда уточню — очевидно бремя классификации лежит на том, кто распоряжается системой, а не ладеет или использует. То есть предоставляет к ней доступ. На технологическом уровне (решает, понятно, владелец информации). Хотя чем дальше в лес, тем толще партизаны((

    Ответить
  15. Ригель

    Для Quiet Zone:

    Система все только путает. Есть хозяин техсредств, хозяин техпроцесса и хозяин базы — ты про кого?
    Для простоты полагаем, что в согласия дело не упирается (хотя это обстоятельство может не только вмешиваться, но и вообще доводить до анекдота: все трое на основании согласий, и ни в одном не указано операции, позволяющей хпд/хпдн оценить).

    Ответить
  16. Анонимный

    Кстати!
    Кто сказал, что ИСПДн — компьютерная база?
    А картотека не Информационная система (ручной обработки!)персональных данных?

    В принципе, все системы, не имеющие выходы в интер, (а в некоторых случаях и имеющие) вполне реально описать документарными методами защиты.

    Кстати, читал форум на dom.bankir
    и не понял один момент.
    Если у меня сервер, не подключенный к интеру, имеющий 2 станции для ввода и распечатки данных, находящийся в закрытом, охраняемом помещении, то почему 781?

    Поясните!

    Ответить
  17. Анонимный

    Проблема как раз в определении ИСПДн, которое дает 152-ФЗ.
    И в переводе слова «Automatic», из названия соответствующей конвенции…

    Ответить