Контакты
Подписка
МЕНЮ
Контакты
Подписка

Оператор ИС = Оператор ПД ? - Форум по вопросам информационной безопасности

Оператор ИС = Оператор ПД ? - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 >

Автор: lex | 106911 19.07.2019 10:08
Добрый день коллеги, помогите разобраться со следующей ситуацией. Устроился трудится в Администрации небольшого городка, практически все ИСПДн на балансе подведомственной организации, на часть ИСПДн даже есть документация где этот подвед прописан как оператор ИС. В уведомлении в Роскомнадзор все эти ИСПДН числятся за Администрацией как за оператором ПД. Может ли одна организация быть оператором ИС, а другая оператором ПД?

Автор: Alex | 106912 19.07.2019 10:52
>Может ли одна

в общем случае, может.
чтобы точнее ответить, надо бы посмотреть формулировки в документации - если обслуживание ИС без ознакомления с ПДн с фиксацией фактов обслуживания, договорами и прочими танцами с бубнами, то всё нормально. иначе, имхо есть небольшое нарушение (если передавали обработку ПДн подведомственной организации ч.3 ст.6 152-ФЗ), применительно к вашей ситуации, и вы, и подведомственная организация являетесь операторами (п.2 ст.3 152-ФЗ)

Автор: lex | 106924 24.07.2019 08:37
Спасибо Alex, просто не могу понять кто должен указывать эти ИСПДН в уведомлении Роскомнадзор и мы и владелец (оператор ИС)?Защиту информации кто должен организовывать, кто главнее)). Честно запутался с понятиями оператор по 152 и 149 ФЗ.

Автор: Alex | 106927 24.07.2019 11:08
>и мы и владелец

надо определиться с термином "владелец" (кратко): организация (должностное лицо), определяющие цели, состав обрабатываемых ПДн, меры защиты ПДн.
Оператор: организация (должностное или частное лицо), получившее на законном основании ПДн и обрабатывающее по поручению и в соответствии с требованиями владельца ПДн

>кто должен указывать
>кто должен организовывать
>кто главнее

владелец ИСПДн

Автор: Константин | 106928 24.07.2019 11:33
Указывать должен и оператор ОГВ и организация-обработчик, которая тоже является оператором.

Автор: lex | 106929 24.07.2019 12:45
Всем огромное спасибо!
1)Получается Подведомственная организация( которая отвечает за информатизацию, является заказчиком, на железе и балансе которой крутится ИСПДн) подает сведения в Роскомнадзор и мы Администрация (как непосредственный пользователь ИСПДн и тот кто заносит в ИС персональные данные и собирает согласие у субъектов Пд) подаем уведомление в Роскомнадзор об одних и тех же системах ИСПДн так как оба являемся операторами ПД.
2) Как быть с ИБ, как распределить ответственность, где прописать. Правильно я понял что владелец ИСПД (Подведомственная организация) выдвигает нам (Администрации г.о.) требования по защите? На ИСПД вообще нет документации и не прописаны роли участников, придется все разрабатывать и организовывать практически с нуля.

Автор: Константин | 106930 24.07.2019 15:41
2 lex
Так п.3 ст.6 152-ФЗ вам в помощь. Вам товарищ Alex его упоминал.
Подвед, который оператор ИС согласно п.3 ст.6 152-ФЗ поручает вам обработку. В этом пункте все указано, как передавать. Акт о передаче включает в себя ответственность по ИБ.

Автор: lex | 106931 24.07.2019 16:08
Спасибо, Константин, Alex. Теперь вроде все стало понятно. Два оператора ПД, от обоих уведомление в Роскомнадзор, требованиия по соблюдению ИБ пропишем в Акте. Подведомственная организация оператор ПД, мы Администрация организация-обработчик ПД (также оператор ПД)...... Только есть нюанс, согласие с субъектов Подвед не собирает, все согласия собирает Администрация, в том числе на передачу ПД (в случаях установленных законодательством), где Администрация прописана как Оператор Пд, с указанием мест хранения ПД на мощностях Подведа. Не будет тут нарушения? Так как согласно п.4 ст.6 152-ФЗ Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. И кто будет нести ответственность перед субъектом ПД согласно п.5 ст.6 152-ФЗ ?

Автор: Alex | 106932 24.07.2019 17:01
>Два оператора ПД, от обоих уведомление

так

>Не будет тут нарушения

не будет, пока всё так

>И кто будет нести ответственность перед субъектом ПД согласно п.5 ст.6 152-ФЗ ?

владелец, т.е. "мы Администрация организация-обработчик ПД (также оператор ПД)"

Автор: oko | 106933 24.07.2019 19:48
*в сторону*
Ответственность в полной мере всегда лежит на том, кто не смог ранее отстоять свою "избранную" зону ответственности, ага...
Контора, которой необходимы в силу определенных факторов сбор/хранение/накопление/обработка/etc. ПДн (ПД - это "платежный документ", "перспективный двигатель", короче, что угодно, только не "персональные данные", потому что ИСПДн, а не ИСПД, ага) и, главное, которая определяет ЦЕЛИ и СОСТАВ обрабатываемых ПДн - она "оператор ПДн". "Дочерки", которым "Оператор" поручил что-либо совершать с ПДн (условно, собирать, как Администрация, или хранить, как подвед) фактически привязаны к "Оператору" и наследуют его статус. Так оно в ФЗ, да только в жизни иногда выходит глупо...
Благо, что с безопасностью и ответственностью несколько проще. Кто "корневой Оператор" (кто определяет Цели и Состав), тот и заказывает музыку (читай, классифицирует ИСПДн, выставляет требования безопасности применительно конкретно к ней, родимой). Он же по умолчанию за все и отвечает. А вот чтобы "дочерка", которая у "корневого Оператора" сродни протезу (причем протезы де юре не ранжируются - камешек в огород и девочек-волонтеров с фотоаппаратами и бланками для пенсионеров, и, например, ЦОД Ростелекома, ага), отвечала за "промашку" с ПДн, произошедшую по ее вине - вот для этого должен быть составлен грамотный договор/соглашение/etc. Аналогично и для выполнения установленных требований безопасности...

Вывод: определиться, кто же "первичный Оператор" в данной схеме и дальше действовать в полном согласии с НМД и здравым смыслом. Потому как реестр РКН, конечно, резиновый, но растягивать его за счет пложения лишних "операторов ПДн" не стоит - может эффектом рогатки дать пальцам, ага...

Страницы: 1 2 >

Просмотров темы: 1398

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*