Миф о 1-м января 2010 года

Законодательство

Вот решил пройтись по этому мифу, потому что как-то уж часто все ссылаются на эту дату, не до конца понимая, что она значит на самом деле. Итак, 1-е января 2010 года, с которого якобы все должны соответствовать требованиям.

На самом деле, многие должны соответствовать с 29 января 2007 года, когда вступил в силу ФЗ-152. Ведь в ФЗ написано, что с 01.01.2010 должны соответствовать ИСПДн, созданные ДО вступления ФЗ-152 в силу. Но ФЗ ни слова не говорит о ИСПДн, созданных ПОСЛЕ. Следовательно ИСПДн, созданные после 29 января 2007-го года, должны уже сейчас соответствовать требованиям законодательства.

Возникает вопрос «что значит созданы». Согласно ГОСТ 34.003-90 «Автоматизированные системы. Термины и определения» (он единственный говорит о создании АС, но, кстати, не ИС) процесс создания АС завершается приемкой в промышленную эксплуатацию, которая подтверждается соответствующим актом приемки. Соответственно надо смотреть, какая дата стоит в этом акте.

Не совсем понятно, что делать, когда акта никакого нет ;-( Информационной системы как бы и нет вовсе 😉 А это очередной простор для деятельности юристов 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Иван Клименко

    Какой же это миф? Так пугалка для нечитавших закон.

    Не так давно тут всплыла тема рисков неисполнения требований закона. Если я не ошибаюсь пришли к выводу, что пока моральный ущерб 1-1,5круб, а штраф регулятора не более 10круб, работать ничего не будет. Насколько я помню, в КоАП готовят 5 статей (по словам Васильевой) и сейчас они по процедуре на втором чтении в ГД, по всей видимости принятие будет как раз к новому году, так что предлагаю пугать этой датой именно с точки зрения реально увеличивающегося наказания за неисполнение требований (~500круб), чем самими требованиями.

    Ответить
  2. Quiet Zone

    Все-таки информационная система не одно и то же, что автоматизированная система, да и ГОСТ необязателен (в отличие от ФЗ). ФЗ не определяет порядок создания ИС, но имеет в виду момент начало предоставления соответствующих сервисов по обработке, хранению и тд. Явно не написано, но «прочитывается».

    Ответить
  3. Алексей Лукацкий

    Ивану Клименко:Ну штраф может быть и больше. Существенно. Все зависит от желания регулятора. Невыполнил предписание — уже 500000 рублей (максимум). Послал ФСТЭК — приостановление деятельности на 90 дней. Развернуться и сейчас, где есть.

    Quiet Zone:А понятие ИС вообще появилось только в трехглавом законе. Больше его нигде нет. И по сути, это АС + данные.

    Ответить
  4. Ригель

    > это АС + данные

    И плюс технологии обработки.

    Отсюда есть хороший вопрос: кто должен классифицировать ИСПДн, если технические средства принадлежат одному юрлицу, база другого юрлица, а операторши трудятся в третьем?

    Ответить
  5. Quiet Zone

    Я думаю собственник технических средств. На это наталкивает одна из предложенных вчера стратегий по уходу из под ФЗ — перевод обработки в оффшор. То есть как только в железках первого лица появились ПДн второго, этот первый попадает под действие закона.

    Ответить
  6. Ригель

    2 Quiet Zone:

    Это из здравого смысла или тройного приказа?
    Фишка в том, что собственность на техсредства не дает ему права персданные читать, а без этого ни количество субъектов, ни категорию данных не определишь. Может техническая возможность-то и есть, а вот права ей воспользоваться нет.

    Ответить
  7. Алексей Лукацкий

    Отсюда возникает еще вопрос. Что считать датой создания ИСПДн, если техсредства были куплены в 2006-м году, ИТ внедрены в 2008, а данные вносятся постоянно?…

    Ответить
  8. Quiet Zone

    Ригель

    Исклоючительно догадка:) Ну да, конечно, наличие данных не предполагает доступ к данным. Но три условия, которым по сути, должна отвечать ИСПДн, выполняются — есть средсво обработки, оно содержит информацию и вовсю использует технологии обработки (т.е. уже обрабатывает). То, что люди не имеют доступа к информации ИМХО говоорит лишь о степени автоматизации обработки.

    Алексей

    Я думаю с момента пересечения во времени трех компонент ИСПДн, которые я чуть выше описал. Грубо говоря, куплено оборудование, установлена 1С, и создана первая запись субъекта.

    Ответить
  9. Quiet Zone

    Сорри за ошибки, под конец дня:(

    Ответить
  10. Ригель

    > условия, которым должна
    > отвечать ИСПДн, выполняются

    Это говорит только о том, что перед нами ИСПДн.

    По приказу трёх классификацию ИСПДн выполняет оператор ИС (не путать с оператором персональных данных, оператором связи, туроператором и т.п.).
    По ФЗ-149 оператор ИС — это тот, кто эксплуатирует, и им может быть как собственник техсредств, так и нет.

    Вот у меня есть ноутбук, я дал его тебе попользоваться, а ты давай туда сканы паспортов складывать. Я не знаю ни сколько их там, ни какие страницы, и даже о самом факте-то могу не догадываться.

    Ответить
  11. Олег Кузьмин

    А почему это Миф? Что это обстоятельство принципиально меняет для проверяющих? Вон в МО РФ есть примеры, когда АС годами не принимались на вооружение. Называлось, это то опытной эксплуатацией, то испытаниями 1,2 .. очереди. Постепенно такие системы наполнялись реальными данными. Некоторые так лет по 10 и проработали не существующими.
    По моему, отсутствие юридических оснований в отношении конкретной ИСПДн будет последним, что может прийти в голову проверяющему из контрольных органов, отправляющемуся на проверку, к примеру, 10 января 2010 года к какому-нибудь Телекому.

    Ответить
  12. Хайров Игорь

    Получается, что оператор ИС перед проведением классификации выделяет только ту часть, в которой обрабатываются ПДн (т.е. ИСПДн) и только ее классифицирует. Соответственно, нет никакой необходимости классифицировать всю ИС. Чтобы сузить область, которая должна соответствовать 152-ФЗ и, соответственно, сузить классифицируемую область, можно воспользоваться, например, разбиением всей ИС на сегменты и выделить ИСПДн в один локальный сегмент.

    Ответить
  13. Алексей Лукацкий

    Олегу: Миф в том, что проверяющим надо ждать 1-го января. Проверки можно проводить уже сейчас — закон дает такое право.

    Игорю: Да, именно так и рекомендуется делать. Зачем себе создавать сложности?..

    Ответить
  14. Quiet Zone

    Ригелю

    Тогда уточню — очевидно бремя классификации лежит на том, кто распоряжается системой, а не ладеет или использует. То есть предоставляет к ней доступ. На технологическом уровне (решает, понятно, владелец информации). Хотя чем дальше в лес, тем толще партизаны((

    Ответить
  15. Ригель

    Для Quiet Zone:

    Система все только путает. Есть хозяин техсредств, хозяин техпроцесса и хозяин базы — ты про кого?
    Для простоты полагаем, что в согласия дело не упирается (хотя это обстоятельство может не только вмешиваться, но и вообще доводить до анекдота: все трое на основании согласий, и ни в одном не указано операции, позволяющей хпд/хпдн оценить).

    Ответить
  16. Анонимный

    Кстати!
    Кто сказал, что ИСПДн — компьютерная база?
    А картотека не Информационная система (ручной обработки!)персональных данных?

    В принципе, все системы, не имеющие выходы в интер, (а в некоторых случаях и имеющие) вполне реально описать документарными методами защиты.

    Кстати, читал форум на dom.bankir
    и не понял один момент.
    Если у меня сервер, не подключенный к интеру, имеющий 2 станции для ввода и распечатки данных, находящийся в закрытом, охраняемом помещении, то почему 781?

    Поясните!

    Ответить
  17. Анонимный

    Проблема как раз в определении ИСПДн, которое дает 152-ФЗ.
    И в переводе слова «Automatic», из названия соответствующей конвенции…

    Ответить