Вот решил пройтись по этому мифу, потому что как-то уж часто все ссылаются на эту дату, не до конца понимая, что она значит на самом деле. Итак, 1-е января 2010 года, с которого якобы все должны соответствовать требованиям.
На самом деле, многие должны соответствовать с 29 января 2007 года, когда вступил в силу ФЗ-152. Ведь в ФЗ написано, что с 01.01.2010 должны соответствовать ИСПДн, созданные ДО вступления ФЗ-152 в силу. Но ФЗ ни слова не говорит о ИСПДн, созданных ПОСЛЕ. Следовательно ИСПДн, созданные после 29 января 2007-го года, должны уже сейчас соответствовать требованиям законодательства.
Возникает вопрос «что значит созданы». Согласно ГОСТ 34.003-90 «Автоматизированные системы. Термины и определения» (он единственный говорит о создании АС, но, кстати, не ИС) процесс создания АС завершается приемкой в промышленную эксплуатацию, которая подтверждается соответствующим актом приемки. Соответственно надо смотреть, какая дата стоит в этом акте.
Не совсем понятно, что делать, когда акта никакого нет ;-( Информационной системы как бы и нет вовсе 😉 А это очередной простор для деятельности юристов 😉
Какой же это миф? Так пугалка для нечитавших закон.
Не так давно тут всплыла тема рисков неисполнения требований закона. Если я не ошибаюсь пришли к выводу, что пока моральный ущерб 1-1,5круб, а штраф регулятора не более 10круб, работать ничего не будет. Насколько я помню, в КоАП готовят 5 статей (по словам Васильевой) и сейчас они по процедуре на втором чтении в ГД, по всей видимости принятие будет как раз к новому году, так что предлагаю пугать этой датой именно с точки зрения реально увеличивающегося наказания за неисполнение требований (~500круб), чем самими требованиями.
Все-таки информационная система не одно и то же, что автоматизированная система, да и ГОСТ необязателен (в отличие от ФЗ). ФЗ не определяет порядок создания ИС, но имеет в виду момент начало предоставления соответствующих сервисов по обработке, хранению и тд. Явно не написано, но «прочитывается».
Ивану Клименко:Ну штраф может быть и больше. Существенно. Все зависит от желания регулятора. Невыполнил предписание — уже 500000 рублей (максимум). Послал ФСТЭК — приостановление деятельности на 90 дней. Развернуться и сейчас, где есть.
Quiet Zone:А понятие ИС вообще появилось только в трехглавом законе. Больше его нигде нет. И по сути, это АС + данные.
> это АС + данные
И плюс технологии обработки.
Отсюда есть хороший вопрос: кто должен классифицировать ИСПДн, если технические средства принадлежат одному юрлицу, база другого юрлица, а операторши трудятся в третьем?
Я думаю собственник технических средств. На это наталкивает одна из предложенных вчера стратегий по уходу из под ФЗ — перевод обработки в оффшор. То есть как только в железках первого лица появились ПДн второго, этот первый попадает под действие закона.
2 Quiet Zone:
Это из здравого смысла или тройного приказа?
Фишка в том, что собственность на техсредства не дает ему права персданные читать, а без этого ни количество субъектов, ни категорию данных не определишь. Может техническая возможность-то и есть, а вот права ей воспользоваться нет.
Отсюда возникает еще вопрос. Что считать датой создания ИСПДн, если техсредства были куплены в 2006-м году, ИТ внедрены в 2008, а данные вносятся постоянно?…
Ригель
Исклоючительно догадка:) Ну да, конечно, наличие данных не предполагает доступ к данным. Но три условия, которым по сути, должна отвечать ИСПДн, выполняются — есть средсво обработки, оно содержит информацию и вовсю использует технологии обработки (т.е. уже обрабатывает). То, что люди не имеют доступа к информации ИМХО говоорит лишь о степени автоматизации обработки.
Алексей
Я думаю с момента пересечения во времени трех компонент ИСПДн, которые я чуть выше описал. Грубо говоря, куплено оборудование, установлена 1С, и создана первая запись субъекта.
Сорри за ошибки, под конец дня:(
> условия, которым должна
> отвечать ИСПДн, выполняются
Это говорит только о том, что перед нами ИСПДн.
По приказу трёх классификацию ИСПДн выполняет оператор ИС (не путать с оператором персональных данных, оператором связи, туроператором и т.п.).
По ФЗ-149 оператор ИС — это тот, кто эксплуатирует, и им может быть как собственник техсредств, так и нет.
Вот у меня есть ноутбук, я дал его тебе попользоваться, а ты давай туда сканы паспортов складывать. Я не знаю ни сколько их там, ни какие страницы, и даже о самом факте-то могу не догадываться.
А почему это Миф? Что это обстоятельство принципиально меняет для проверяющих? Вон в МО РФ есть примеры, когда АС годами не принимались на вооружение. Называлось, это то опытной эксплуатацией, то испытаниями 1,2 .. очереди. Постепенно такие системы наполнялись реальными данными. Некоторые так лет по 10 и проработали не существующими.
По моему, отсутствие юридических оснований в отношении конкретной ИСПДн будет последним, что может прийти в голову проверяющему из контрольных органов, отправляющемуся на проверку, к примеру, 10 января 2010 года к какому-нибудь Телекому.
Получается, что оператор ИС перед проведением классификации выделяет только ту часть, в которой обрабатываются ПДн (т.е. ИСПДн) и только ее классифицирует. Соответственно, нет никакой необходимости классифицировать всю ИС. Чтобы сузить область, которая должна соответствовать 152-ФЗ и, соответственно, сузить классифицируемую область, можно воспользоваться, например, разбиением всей ИС на сегменты и выделить ИСПДн в один локальный сегмент.
Олегу: Миф в том, что проверяющим надо ждать 1-го января. Проверки можно проводить уже сейчас — закон дает такое право.
Игорю: Да, именно так и рекомендуется делать. Зачем себе создавать сложности?..
Ригелю
Тогда уточню — очевидно бремя классификации лежит на том, кто распоряжается системой, а не ладеет или использует. То есть предоставляет к ней доступ. На технологическом уровне (решает, понятно, владелец информации). Хотя чем дальше в лес, тем толще партизаны((
Для Quiet Zone:
Система все только путает. Есть хозяин техсредств, хозяин техпроцесса и хозяин базы — ты про кого?
Для простоты полагаем, что в согласия дело не упирается (хотя это обстоятельство может не только вмешиваться, но и вообще доводить до анекдота: все трое на основании согласий, и ни в одном не указано операции, позволяющей хпд/хпдн оценить).
Кстати!
Кто сказал, что ИСПДн — компьютерная база?
А картотека не Информационная система (ручной обработки!)персональных данных?
В принципе, все системы, не имеющие выходы в интер, (а в некоторых случаях и имеющие) вполне реально описать документарными методами защиты.
Кстати, читал форум на dom.bankir
и не понял один момент.
Если у меня сервер, не подключенный к интеру, имеющий 2 станции для ввода и распечатки данных, находящийся в закрытом, охраняемом помещении, то почему 781?
Поясните!
Проблема как раз в определении ИСПДн, которое дает 152-ФЗ.
И в переводе слова «Automatic», из названия соответствующей конвенции…