Является ли информационная система ИСПДн? - Форум по вопросам информационной безопасности

Является ли информационная система ИСПДн, если в ней нет персональных данных кроме тех, что в составе сертификата ЭП.
Т.е. обычная пустая система, в которой надо пользоваться ЭП.

2 Евгений.

недостаточно описано

Как такое может быть не совсем ясно.. Например если подпись используется для входа в систему и/или работы в системе, она же должна как-то соответствовать данным в системе о пользователе, соотв. в системе тоже должным быть ПДн. нет?

Наличие ЭП в ИС для входа в систему и/или работы в системе делает её ИСПДн ? т. е. если в информационной системе используется ЭП то её по любому надо вносить в ИСПДн?

2 Евгений

Если в системе есть ПДн, такие же, как и в сертификате ЭП, то тогда это ИСПДн.

Задайте вопрос Минкомсвязи. По поводу усиленных ЭП они мне ответили следующее:

"Таким образом, учитывая положения пункта 1 статьи 3 Федерального закона № 152-ФЗ, считаем, что указанный в сертификате ключа проверки электронной подписи набор информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), принадлежит к категории персональных данных" (с).

"Таким образом, на наш взгляд, вышеуказанные реестры сертификатов также содержат в себе информацию, относящуюся к категории персональных данных" (с).

Бред. Минсвязь в своем репертуаре. Им надо не самим лезть в каждую бочку со своим мнением, а транслировать такие вопросы через РКН. Который, в свою очередь, подтвердит, что носитель ЭП, сами сертификаты ЭП и проч. - нихрена не ПДн. Средство ИАФ, СКЗИ - что угодно, но не ПДн...
Довели исполнение 152-ФЗ до абсурда, но никак остановиться не могут, блин...

2 oko

А почему бред? Разве данные в сертификате усиленной ЭП не являются ПДн?! особенно когда подпись физ лица ИНН СНИЛС ФИО, почтовый адрес плюс чаще всего это должность и организация. Чем не ПДн и чем база таких сертификатов не ИСПДн?

2 oko:
На аналогичный запрос, РКН ответил мне примерно так: "РКН не уполномочен комментировать действующее законодательство".

ЗЫ: уважаемый регулятор в области шифрсредств согласен с Минкомсвязи ;)

По поводу сертификатов ЭП и ПДн:

Давайте по порядку:
1. Сведения, указанные в сертификате, относящиеся к субъекту - это ПДн и никак иначе (следует из определения ПДн).
2. Сертификат ЭП предназначен для передачи неограниченному кругу лиц, т.е. должен содержать только общедоступные сведения. Поэтому при создании ЭП данные сведения должны стать общедоступными (например берётся согласие, явно или неявно) либо уже быть таковыми (например данные руководителя организации в реестре юр. лиц общедоступные).
3. Информационные системы, использующие ЭП обрабатывают общедоступные ПДн .

Теперь про ИСПДн (из 152-ФЗ): информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Следовательно, если информационная система не собирает сведения из сертификатов (или другие ПДн) в базе данных или каком-то хранилище, то она не является ИСПДн.

И ответ на первый пост - такая система не является ИСПДн...

Гы!

1. Вспоминаем 63-ФЗ про усиленную ЭП: "позволяет определить лицо, подписавшее электронный документ". Определить лицо, Карл! Соотносим с определением ПДн из 152-ФЗ. Делаем выводы.
2. Неквалифицированная усиленная ЭП, вполне, может иметь хождение только внутри группы юриков - ни о каком "неограниченном" круге лиц разговора тут быть не может.
3. Скажите, решения, например, коллегиальных органов управления могут болезненно затрагивать интересы третьих лиц? А если эти решения подписаны ЭП, которые позволят установить, кто и как голосовал? Следует ли заботиться о правах и свободах лиц-владельцев ЭП? ;)