Как определить ИСПДн - Форум по вопросам информационной безопасности

Как из всей организации выделить правильно ИСПДн? По законодательству: "ИСПДн выделяют по целям обрабоки". Но можно написать: ИСПДн "Кадры", а цель: "Обработка данных сотрудников". Сделать отдельно ИСПДн "Бухгалтерия". Можно сделать ИСПДн "Бухгалтерия и кадры", цель: "Обработка данных сотрудников и расчет ЗП" (допустим).

Как тут правильно подойти к определению? Ведь организации бывают разные. В организация крупного бизнеса большая инфраструктура.

Чисто ИМХО! Идём от определения
"информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации ..."
Если у вас единые базы, даже обрабатываемые разными программами, правильнее считать это единой ИСПДн, поскольку угрозы через БД легко могут стать актуальными и для других. При этом у Кадров могут быть доступны более охраняемые данные, а у Бухгалтерии - с более заметным ущербом.
Если же они замыкаются на общие технические средства (физические серверы, ПК), то целесообразнее оценить качество разделения ресурсов (та же очистка памяти на рабочих местах) и далее смотреть по целесообразности полного объёма работ
(набор ИСПДн регионального управления образования, и сети из 3 ПК в клининговой организации формально могут иметь близкое количество баз, и, соответственно, близкое количество документации при выделении каждой задачи в отдельную ИСПДн)

Практик, Статья 5. Принципы обработки персональных данных п. 3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Допустим, определим ИСПДн по техническим средствам и технологиям обработки: Заведем в 1С базы данных: Кадров, бухгалтеров и т.д. И соответственно, завели разные БД - значит 2 ИСПДн, завели 1 - значит 1 ИСПДн.

Так вот, правильно ли мы сделали, что объединили БД по целям обработки, ведь у кадров и бухгалтеров они разные. А если цель обработки: "кадровый учет и начисление заработной платы"? Получается, цель одна? Значит и БД одна. А значит, ИСПДн одна.

А как быть, если в каждой организации есть бухгалтерский учет, кадровый, помимо этого CRM, сайт и т.д.? Лепить кучу документов? Или ИСПДн будет: "Название организации", а в ней описаны каждая из ИСПДн? ИСПДн в ИСПДн, смешно :)

Так вот, еще с сайтом интересно, есть форма на получение рассылки, как например, на этом форуме. Есть учетные записи на сайтах зарегистрированных пользователей. Цели обработки разные. В первом случае, пускай, предоставление доступа к какому-либо контенту сайта, а во втором, пускай, отправка интересных предложений.

Вообщем, непонятно суть определения границ самой ИСПДн. Получается, все субъективно?

to Student
Да, как назовете корабль, так и поплывет...
Цель кадров и бухов одна - обработка ПДн сотрудников организации в целях соблюдегия законодательства. Разделять следует только в одном случае, когда ПДн по конкретике различаются между собой и доступ к ним следует рахграничить (положим, кадровики и бухи - совсем разные подразделения; кадры хранят сведения о воинской обязанности, семейном положении и поч., А бухи - уникальные номера инн и проч.). Хотя это все условно - категория-то ПДн, зачастую, у них одна (иная, ага)...
По сайт каша. Зачем для рассылки предложений собирать ПДн? Или к ПДн в какой-то альтернативной вселенной начали причислять телефон или мыло?
И какое отношение к ПДн имеют уч.записи на сайте/форуме? А, главное, к чему при этом персонификация личности, если она реально используется? Или вас смущает слова "прямо или косвенно относящиеся..."?

2 Student
Присоединюсь к точке зрения oko
"базЫ данных, обрабатываемые разными программами, несовместимыми между собой по целям" - это получится некий ЦОД, где ПО и железо могут быть связаны, а задачи относиться к разным заказчикам. Тогда несколько "админов" или операторов ПДн объединять в одну ИСПДн глупо.
А если все БД используются одной конторой, то вопрос только в грамотности формулировки в своих документах. Очень мало можно придумать НЕСОВМЕСТИМЫХ задач с ПДн в рамках одной организации

To oko
По порядку, не понимаю, почему Вы объединили бухов и кадров в одну цель: "Исполнение законодательства"? Давайте "почти" все испдн обьединим, та или иная создаётся во исполнение законодательства. Даже при создании сзпдн, надо указать на основании каких нпа она создана. Вообщем, странное объяснение.

Объединить, потому что категория:" иная". Ещё более странный и смешной аргумент. Соглашусь, если была ирония, которую не понял. В любом случае будет ирония, с какой бы "целью" оно не писалось, как создание испдн :)

Вы не знали, что телефон и почта - Пдн? Очень жаль, советую поискать письмо с разъяснениями Ркн, номер я конечно давать не буду. Сами найдёте. Хотя, там есть одна строчка, определяющая.

Не поняли, причём тут уч. записи? На большинстве сайтов, для заведения уч. записи, просят указать Фио, дату рождения, телефонный номер и почтовый адрес. Не знали? Очеоь жаль.

Не знали так же, что для рассылки нужно указать почтовый адрес, а иногда и фио? Тоже очень жаль, не всегда, бывает только почтовый адрес, а бывает, как в моем примере. Фио - это пдн, фио +почта - пдн. Не знали, что объем фио - пдн? Опять же к письму ркн, сами найдёте.

И из всего этого, я так и не услышал верного ответа. Советую, повнимательнее обратить внимание на: "цель обработки". Так вот, понятие цели, получается субъективное. А вы мне всё про по и бд...

2 student

"Даже при создании сзпдн, надо указать на основании каких нпа она создана"
А где такое написано, если не секрет?

"письмо с разъяснениями Ркн, номер я конечно давать не буду"
Письмо кому? Вам? Почитайте научно-практический комментарий РКН к закону 152-ФЗ. Ссылку не даю, сами найдете. Он, в отличие от письма, касается всех.

Ну и для комплекта: кто и как определяет цели обработки ПДн? И кто решает, какие цели совместимы, а какие нет?

И просьба: кроме слова "смешно" приводить более серьезные аргументы. А то смешно читать.

to Student
Ежели вы сами все так хорошо понимаете, то к чему вопросы?
Ежели нет - к чему понты?
В сухом остатке попытка перешутить/переспорить форумчанина. Не советую, ибо априори бессмысленное занятие...
По существу вторичных вопросов-сентенций:
1. Форумная фраза "в целях исполнения законодательства" != "Цель обработки ПДн в нашей ИСПДн - исполнение законодательства РФ". Вам же ясно сказали, формулировку указывает владелец (оператор) и никто иной. И как укажет, так и будет. Именно поэтому не следует городить огород, дробя БД, ИС и персонал до атомов. Целее будет общая конструкция, ага...
2. Иная категория - фактор, определяющий классификацию ИСПДн, а также первоочередный фактор в части принципиальных возможностей сбора конкретных ПДн. При заявленной "иной категории" не выйдет со сведениями о сексуальных наклонностях, биоритмах и проч. И, если по глупости руководства "справка о здоровье" попадает в "биометрию", бухов и кадры придется разделить. Что суть ересь, но о чем придется задуматься при вынесении решения, ага...
3. Не путайте ГИС и ИСПДн. Волевые решения государства, выраженные в ФЗ, постановлениях и проч. актах, распространяются на крайне малый спектр либо ИСПДн-однодневок (как было в период недавнего ЧМ-2018), либо ИСПДн-ГИС. И там уже иной коленкор, но вопрос-то был не об этом...
4. Извращенные вселенные с "мыло и абон.номер = ПДн" не по мою душу, не астроном и не писатель-фантаст. Если вы о ПП РФ 1197 от 13.09.2019, так там ИСПДн как бы конкретная. А если посылаете коллег к РКН... то неплохо было бы для начала сходить к ним с этим вопросом самостоятельно, чтобы получить ответ из первых уст, которым уже оперировать, ага...
5. Про сайты с ФИО, адресом и телефоном - это из разряда "если Вася прыгнет с моста...". Хотите ответа детального? Так и пишите: в причину лени или общей безалаберности мы тоннами собираем ФИО, адреса и контакты людей на своем сайте - что нам теперь делать в части защиты ПДн? В таком ракурсе есть, что обсудить; в противном - точка уже поставлена...
6. Про рассылки аналогично... с коротким комментарием про "ФИО = ПДн". Уже писал на форуме, что, видимо, Иванов Иван Иванович давно миллионер, отсудивший состояние у всех бюджетных учреждений со стандартными бланками, ага...

Worm

Не удивлён, качеством ответа. Где написано, на каком основании создаётся испдн? Закон 152,на который вы ссылаетесь, хотя бы, я надеюсь, где указываете, в каких целях создана испдн, а следом и сзпдн, если нет других нпа. Цепочка же ясна, да? Если нет, я по подробнее опишу, special for you.
Вопрос, кому было написано письмо ркн, советую, погуглить. Нет, не мне. Ааа, ну официальный ответ ркн это ж бред. Ок.
Просьба приводить аргументы по серьёзнее, а то смешно читать. Ну не читайте, вас не заставляют. Ни читать, ни писать. В вашем почте я не увидел ничего полезного. На вопросы пояснил. Больше не интересен диалог с вами.

Oko

К чему я задаю такие вопросы? Задаю их юристам в области IT, хотя бы, а не просто получать ответы про категорию ПДн и объединение испдн по целям обработки из-за категории. К чему здесь вообще фраза: "Попытка переспорить форумчанина". Тем, что вы форумчанин, даёт право быть истинно верным в последнее инстанции всегда? *смех*. Прошу отдалиться от данного вопроса. И не тратить свои силы и нервы. Подожду достойный ответ. Раз уж вас так задело за живое, спор с форумчанином, подожду альтернативный ответ.

Опять мне про категорию пдн, вообще не показатель. Есть про цель, нет про категорию и она тут не причём. Нет, это не пп 1197. Путать гис и испдн, однодневки... Причём тут все это? Был вполне поставленный вопрос с точки зрения фз 152. Всё. Вообщем, завернули вы со своими ответами не туда, что даже не хочу разбираться. Даже ответ с бд и по больше понравился. Раз уж нравится тешить самолюбие, скажу, что вы правы, а я подожду более аргументированного и не агрессивного ответа, с чёткой позицией и без попыток "всезнайства", "переобуваясь" на ходу и уводя не туда. Я бы может быть писал что то дальше, да все выше описал. Вы сначала поищите, посмотрите, оцените, а потом пишите "что все эти письма бред, а вот если ты про вот то, то это бред.."

*в сторону*
Вот же придурки, вечно усложняющие жизнь не только себе, но и другим...

to Student
У юристов, любезнейший, и консультация платная, и форумы совсем другие...
По итогу нового словопотока, что же вам-таки не ясно? Раз уж завели тему, постарайтесь еще раз сформулировать вопрос. Без эмоций, переливания из пустого в порожнее, без споров и, главное, без приписывания собеседникам слов не их авторства (про софт и БД, в частности)...
Да, и еще одно. При таком яром радикализме в суждениях не удивлюсь, если ваш смартфон внезапно превратится в ИСПДн УЗ-3 в период получения и передачи рабочих контактов, ага...