Обоснование наличия администратора безопасности ИСПДн - Форум по вопросам информационной безопасности

"СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем" это определение дано в руководящем документе Средства вычислительной техники.
А если эта совокупность программных и технических элементов систем обработки данных способна функционировать только с непосредственным участием человека? Вот этот вариант и указан в ПП687.

В дополнение к посту 53168.

А в каком правовом или нормативном документе определено что такое "смешанный тип обработки ПДн"?

"А если эта совокупность программных и технических элементов систем обработки данных способна функционировать только с непосредственным участием человека?"

А назовите хоть одну ИСПДн, где обработка происходит без участия человека?

"А назовите хоть одну ИСПДн, где обработка происходит без участия человека? "
Вы опять не внимательно прочитали определение обработки без средств использования автоматизации. Для того, чтобы в отношении способа обработки действовало ПП687 необходимо, чтобы ВСЕ ДЕЙСТВИЯ с персональными данными осуществлялись только с участием человека. ВСЕ. Если хотя бы одно из действий с информацией в системе выполняется автоматически (систематизация, изменение, уточнение, блокирование, передача,...)это уже автоматизированная обработка.
Если в одной ИСПДн для достижения цели обработки в отношении одного субъекта персональных данных используется автоматизированная обработка, и без использования средств автоматизации, в этом случае считаем обработку смешанным способом.
В связи с этим к сегментам ИСПДн, где обработка автоматическая применяются положения ПП1119 (и как следствие пр.17 или 21), а к сегментам ИСПДн где обработка без средств автоматизации применяем требования ПП687.

"происходит без участия человека?"
А что вы вкладывает в этот термин что подрузумеваете?!
Где в НМД определение? Или опять по понятиям!

"В связи с этим к сегментам ИСПДн, где обработка автоматическая применяются положения ПП1119 (и как следствие пр.17 или 21), а к сегментам ИСПДн где обработка без средств автоматизации применяем требования ПП687. "

Опять придумали!!!!
ППр 1119
1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных.
Приказ 21
1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Где тут автоматизированная не автоматизированная?
Если у вас ИСПДн (определение см. выше в ФЗ) то ФЗ 152 ППр 1119 и Приказ 21!
!

Пойдем опять из аналогии.
есть ИСПДн "Автомобиль" обработка данный с целью доехать из точки А в точку Б.
1. Вариант. Вошли в систему, с заданной характеристикой точки А и перемещаемся к точке Б. (без участия оператора) получили пример автоматической обработки информации.
2. Вариант. Вошли в систему, с заданной характеристикой точки А и начинаем движение, при этом осуществляем управление системой, изменяя характеристики её работы (скорость, работу дворников,...) получили пример обработки информации без использования средств автоматизации.
3. Вариант. Вошли в систему, с заданной характеристикой точки А, начинаем движение, НО в процессе движения система сама автоматически осуществляет переключение скорости, включение и выключение дворников, регулировку климата,...) получили пример автоматизированной обработки информации.
Теперь вернемся к ИСПДн.
ПП.687: "Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека." Это означает, что все перечисленные действия выполняются оператором только самостоятельно "в ручную". (Вариант 2).
Во всех остальных случаях при использовании СВТ ("СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем"), но с участием человека (часть из перечисленных операций система выполняет автоматически после получения определенных данных) обработка считается автоматизированная (Вариант 3).
Если все действия в отношении субъекта персональных данных в системе выполняются без участия человека, такой способ является пример "исключительно автоматизированной обработки" (ФЗ152 ст.16). (Вариант 1).
В таком контексте понятно?

ПП1119 относится ко всем ИСПДн.
ПП687 разъясняет особенности обработки информации без использования средств автоматизации и предъявляет требования к защите при такой обработке.
Если у вас ИСПДн, то ФЗ 152 ППр 1119, ППр 687 и Приказ 21 (или для государственных и муниципальных систем Приказ 17), а также (возможно) приказ 996

Автомобиль неудачный пример. И давайте без аналогий.

"Во всех остальных случаях при использовании СВТ"
Никаких остальных случаев есть СВТ = автоматизированная обработка!

ст. 16 ФЗ 152 не обэтом а о "ринятии решений на основании исключительно автоматизированной обработки" разные вещи.

Если у вас ИСПДн, то ТРЕБОВАНИЯ ФЗ 152 ППр 1119, ППр 687 (может быть а может и не быть) и Приказ 21. А так правильно. А не "Аттестация ИСПДн осуществляется по приказу ФСТЭК от 11.02.2013г. №17" и "оценка соответствия выполняется по приказу ФСТЭК от 18.02.2013г. № 21".

"Смещенная " ?
"Оценка соответствия" ИСПДн ?

1. "Если у вас ИСПДн, то ТРЕБОВАНИЯ ФЗ 152 ППр 1119, ППр 687 (может быть а может и не быть) и Приказ 21." это в случае, если у вас "иная" информационная система.
Если ваша система относится к муниципальной или государственной, то требования приказа №17 для неё ОБЯЗАТЕЛЬНЫ. читайте приказ 17 п.3 и 5.
2. только в этом приказе указан порядок организации проведения аттестации информационной системы (п.17 настоящего приказа).
3. если у вас иная информационная система, то применяется приказ 21, но "по решению обладателя информации (заказчика) или оператора.." могут применяться Требования приказа №17 (ст.6 пр.17).
Под понятие СВТ попадает даже калькулятор. И теперь считать обработку информации в системе, где журнал и калькулятор считать автоматизированной?
А пример ИСПДн, где обработка происходит без участия человека, пожалуйста: Система управления и контроля доступом (СКУД), или система автоматической регистрации правонарушений (ГИБДД). Вот ярко выраженные примеры автоматизированной системы, где обработка от ввода информации до получения результата происходит без непосредственного участия человека.