Является ли информационная система ИСПДн? - Форум по вопросам информационной безопасности

2 nekto
ну не факт, что они общедоступные.

Вот именно по факту таких ответов регулятора, таких парадоксов определения ПДн и прикладного назначения ЭП - это все, imho, бред. По выбрасываемому мусору путем долгого коррелятивного анализа тоже можно установить личность конкретного человека (да-да, это не высосанная из пальца аналогия). Что ж теперь, свалку приравнять к хранилищу ПДн, а переработку мусора - как обработке ПДн без (или все-таки "с", ага?) использования средств автоматизации?

Согласен. Не всякая ЭП общедоступные данные (потом уже подумал про внутреннее использование в организациях).

Я так понял, со второй частью моего поста, что ИС в первом посте не является ИСПДн, согласны все?

2 nekto: я не согласен. При всём уважении.

2 nekto

1 - Про общедоступные данные
Даже дело не в том внутреннее использование или нет. А дело в том, что указано в заявлении на изготовление сертификата или Регламенте УЦ или где они ещё могут это прописать. К примеру для некоторых УЦ в форме заявления указано, что данные в сертификате признаются общедоступными. А у некоторых, например Федеральное казначейство изготовляющее подписи для всех бюджетников и госслужащих, нет такого указания.

2 - Я не согласен. Сам топикстартер пишет о том, что в ИС есть данные, которые входят в состав сертификата ЭП (там не очень ясно написано, он пишет, что в ИС нет ПДн кроме данных сертификатов)

Из чего можно сделать вывод, что можно забыть про сертификаты ЭП и сказать, что в системе обрабатываются ПДн.

И тем более где вы видели систему, в которой осуществляется работа по электронной подписи, но не обрабатываются ПДн самих пользователей.

Все мои размышления касаются КЭП.

to all
Общедоступные ПДн - ПДн, зарегистрированные официально в общедоступных реестрах, либо ПДн, самим субъектом выложенные в общий доступ. Где реестр такой у какого-либо УЦ? А в заявке на ЭП вы указываете, что ваши ПДн общедоступны? В том и соль...
Не надо устраивать себе геморрой на пустом месте. imho, игнорирую вопросы ПДн при работе с ЭП - это ключевка (СКЗИ), это идентификатор, не более. Ранее где-то на форуме уже доказывал, что любую (подчеркиваю) информацию можно теоретически приравнять к ПДн. Благо, закон у нас весьма размыт в части формулировок под это дело ("...прямо или косвенно относящиеся...", охренительно, ага)...

2 oko

Про общедоступные.где где Реестр такой находится у УЦ. Вы запрашивали информацию из подобного реестра? Я, нет. Общедоступная информация по моему мнению может выдаваться по запросу, во всяком случае нигде обратного не написано. Не надо путать с общедоступной информацией размещаемой в интернете в виде открытых данных.
Закон размыт, но это не отменяет того факта, что это закон.

"Шо, опять?" (с)

"Общедрступный" - понятие не техническое, а юридическое. Информация признается судами общедоступной, если у любого человека есть право ее получить и использовать. Даже если технически она хранится в запертом сейфе и выдается по запосу.

to all
Окей, с бредом типа "у нас есть общедоступный источник, к которому надо оформлять запрос, потому что информация лежит за 7 печатями" худо-бедно согласен. Хотя классика безопасности (в том числе ст. 7 ФЗ-149) учит нас, что доступ к общедоступной информации ничем не ограничен (включая всяческие "запросы", поскольку на них всегда можно отказать, ага). И вообще все, что != "общедоступной инф.", = ИОД. Ну да ладно...
А как быть со ст. 6 ФЗ-152? <осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных)>. Еще раз спрашиваю: вы при оформлении заявки на получение ЭП указываете, что отныне данные, хранящиеся в ней, общедоступны? Или будем пытаться играть с понятием "неограниченный круг лиц"?
Короче, согласен, что вопрос юридический, а не ТЗИшный. В целом, вердикт прост: захотел владелец ЭП или УЦ выдвинуть требования по защите ЭП как ПДн - защищаем как ПДн. Не указал - не лезем в этот правовой сортир, ага...

На этот вопрос уже ответил Верховный Суд применительно к данным в соцсетях: они не являются общедоступными :)

Вы попались в ту же понятийную ловушку, что и Емельянников: если кто угодно может получить (увидеть, услышать, прочитать) информацию, значит она - общедостпная. Нет, общедоступная - это если кто угодно может ее получить и использовать. Если вы можете саободно ее получить, но, получив, не можете ее без разрешения использовать, такая информация общедоступной не является. Для такой информации в праве используется слово "обнародованный".