С использованием средств автоматизации или Без использования средств автоматизации? - Форум по вопросам информационной безопасности

Коллеги, всем приветы!
Меня терзают смутные сомнения насчет четкого и однозначного разграничения обработки персональных данных с использованием средств автоматизации или без использования средств автоматизации.
Раньше считал так: если ПДн обрабатываются на компе - значит с использованием средств автоматизации, если на бумажках - то без использование средств автоматизации.
Сейчас задумался, а так ли это на самом деле, если почитать постановление правительства вдучмчиво.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель. (ПП 687)

Давайте по делу - если мы сбросили персональные данные (базу данных) на диск/флешку, а диск/флешку положили в архив то можно считать что произошло изменение способа обработки с "использованием средств автотизации" на "без использования средств автоматизации", т.к. дальнейшие действия с персональными данными (использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека - т.е. человек должен пойти в архив, взять диск, открыть базу, найти интересующего субъекта, ну и что-то сделать с перс. данными (распечатать документ с ПДн, удалить, изменить ПДн) и т.п.

Если я не прав то прошу объяснить в чем.

Также интересует вопрос такой: если на компе находятся документы формата Word, txt - грубо говоря договоры или отчеты, содержащие персональные данные клиентов то каким способом обрабатываются персональн6ые данные - с использованием средств автоматизации или без использования средств автоматизации? И Точку зрения желательно доказать, т.е. ответить на вопрос "почему?"!
И является ли такая система ИСПДн, и вообще информационной системой?

Напомню определение ИСПДн в рамках ФЗ-152 "информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств"
Дело в том что

СОбственно стала вникать и тоже задалась вопросом -файлы,набранные в ворде с приказами к примеру о приеме на работу, об увольнении сотрудников просто лежат на жестком диске. Машина аттестована и все сделано как надо. Вопрос -относить ли это к ИСПДн или это можно считать бес использования средств автоматизации,ведь все что происходит с этими документами -непосредственно при участии человека... Законодатели ......думай называется как хочешь... а к истине я думаю все равно не придем,потому что в законодательстве нет ответа на этот вопрос...сколько б мы тут не спорили...

Как я считаю файлы на жестком диске набранные в ворде (с приказами о приеме на работу и прочее) не являются даже информационной системой т.к. ФЗ № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» даёт следующее определение: «информационная система (ИС)— совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств».

А вот еще материал из википедии:
"В узком смысле информационной системой называют только подмножество компонентов ИС в широком смысле, включающее базы данных, СУБД и специализированные прикладные программы."

"В любом случае основной задачей ИС является удовлетворение конкретных информационных потребностей в рамках конкретной предметной области. Современные ИС де-факто немыслимы без использования баз данных и СУБД, поэтому термин «информационная система» на практике сливается по смыслу с термином «система баз данных».

Тут просто нужны конкретные примеры, что считать ИСПДн с использованием средств автоматизации, а что считать ИСПДн без использования средств автоматизации.

Я смотрю немало коллег читают эту тему, но кто-нибудь может дать ответ на мои вопросы? Никого не буду торопить, да и сам подумаю, но на них должен бы найтись ответ...

Рулевой - вы так и не прочитали топик - ЗОПД не работает.
Там это все обсуждалось ранее.
По сути - есть два ГОСТИРОВАННЫХ русских термина - автоматические и автоматизированные.
А у пиндосов свои нормы, которые неграмотно переведены на русский и при переводе эти две семантические позиции перепутаны и слиты и на выходе то о чем Вы спрашиваете.
Скажите спасибо переводчикам и думакам

Вот у меня есть таки выписки из глоссария с терминами по тематике - может поможет разобраться чтобы не рыться в словарях и гостах?
АВТОМАТИЗАЦИЯ, АВТОМАТИЗИРОВАТЬ [automation, to automate (глагол)]
Использование автоматических устройств для управления какими-либо
процессами или выполнения каких-либо действий (в том числе реализации
некоторых функций, операций и т. п.).
Внедрение автоматических устройств в средства реализации каких-либо
процессов или замена этих средств на автоматы.
Комплекс мероприятий, направленных на повышение производительности труда
человека посредством замены части этого труда работой машин.

СИСТЕМА [system]
В широком значении термина — образующая единое целое совокупность
материальных и/или нематериальных объектов, объединенная некоторыми общими
признаками, свойствами, назначением или условиями существования,
жизнедеятельности функционирования и т. п.

АВТОМАТИЧЕСКАЯ СИСТЕМА [automatic system]
Совокупность управляемого объекта и автоматических управляющих устройств,
функционирующая самостоятельно, без участия человека.

АВТОМАТИЗИРОВАННАЯ СИСТЕМА (AC) [automated system]
Совокупность управляемого объекта и автоматических управляющих устройств,
в которых часть функций управления выполняет человек-оператор. Комплекс
технических, программных, других средств и персонала, предназначенный для
автоматизации различных процессов. В отличие от автоматической системы не
может функционировать без участия человека.

ВЫЧИСЛИТЕЛЬНАЯ СИСТЕМА [computer system]
Совокупность ЭВМ и средств программного обеспечения, предназначенная для
выполнения вычислительных процессов, а также любая автоматизированная
система, основанная на использовании ЭВМ.

Локальная (изолированная) система [stand-alone system]
— Автоматизированная (в том числе информационная) система предприятия или
организации, работающая в автономном режиме .
— Вычислительная система, управляемая с одного терминала.
АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО, РАБОЧАЯ СТАНЦИЯ (АРМ) [workstation]
1. Индивидуальный комплекс технических и программных средств,
предназначенный для автоматизации профессионального труда специалиста и
обеспечивающий подготовку, редактирование, поиск и выдачу (на экран и
печать) необходимых ему документов и данных. АРМ может быть реализован в
виде автономной автоматизированной системы на ПЭВМ или являться терминалом
автоматизированной системы.
2. Узел локальной вычислительной сети, пригодный для работы пользователя в
диалоговом (интерактивном) режиме.

ТЕРМИНАЛ [terminal]
1. Устройство, предназначенное для взаимодействия пользователя или опера

тора с ЭВМ или автоматизированной системой, включающее в свой состав
средства ввода (например, клавиатуру) и вывода (экран монитора, печатающее
устройство и др.) данных.
2. В сетях ЭВМ — устройство, являющееся источником или получателем
пересылаемых в сети данных.
3. В системах связи — оконечное устройство сети приема-передачи данных.
4. В кабельных системах — главный распределительный пункт зданий,
соединенных магистральными каналами, промежуточный распределительный пункт
(распределительный пункт так называемой вертикальной системы).
Терминалы классифицируются по назначению (терминал пользователя,
редакторский терминал, игровой терминал), по принципу действия
(интерактивный терминал, акустический терминал ), по способу использования
(групповой терминал, индивидуальный терминал), по месту расположения
(локальный терминал, напрямую подсоединенный к ЭВМ, и удаленный терминал —
терминал, связанный с ЭВМ через каналы связи и модем) и т. д.

СИСТЕМА УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ (СУБД) [DataBase Management System -
DBMS]
Комплекс программных и лингвистических (языковых) средств,
предназначенных для реализации функций создания, ведения и эксплуатации баз
данных многими пользователями. Структура и организация СУБД определяются
используемой моделью данных. СУБД является частью автоматизированной
информационной системы. Общие сведения о наиболее распространенных
средствах программного обеспечения СУБД см. [558, 574, 575].

Некоторые разновидности СУБД
Настольная СУБД [desktop DBMS] — СУБД, предназначенная для работы в
автономном (локальном) режиме. Наиболее распространенное программное
обеспечение настольных СУБД — dBase, Paradox, FoxPro, Access, MSDE
(Microsoft Systems Data Engine).
Серверная СУБД [server DBMS] — СУБД, предназначенная для работы в
системах типа "клиент-сервер". Наиболее распространенные СУБД этого типа —
Oracle, Informix, DB2, Sybase, Microsoft SQL Server.
Объектная СУБД [Object DataBase Management System — ODBMS] — СУБД,
построенная на так называемом объектном подходе к структуре БД, который
предполагает использование

продолжение...
Объектная СУБД [Object DataBase Management System — ODBMS] — СУБД,
построенная на так называемом объектном подходе к структуре БД, который
предполагает использование моделей, близких к реальным представлениям их
сущности у разработчиков. Типы данных определяются разработчиком и не
ограничиваются каким-либо набором предопределенных типов. При этом данные о
каждом объекте и методе его описания помещаются в хранилище как единое
целое. В основе разработки объектных СУБД лежит использование объектного
программирования. В 1992 г. ведущие разработчики объектных СУБД образовали
группу по выработке и согласованию стандартов — ODMG (Object Database
Management Group).
Система управления распределенными базами данных (СУРБД) [Distributed
DataBase Management System] — СУБД, предназначенная для организации доступа
пользователей к распределенной базе данных.
Интегрированная система обработки данных (ИСОД) [Integrated Data
Processing System] — функциональная подсистема интегрированной
информационной системы
Система переработки текста [text processing (revision) system] —
автоматическая или автоматизированная система, предназначенная для
преобразования текста на естественном языке в текст на этом же или другом
языке, связанный семантическими отношениями с исходным текстом. Типичными
функциями системы переработки текстов являются "машинный перевод",
(автоматическое) индексирование, установление семантического соответствия
при информационном поиске и др.
Система сбора данных [data collection system] — система телеобработки
данных, обеспечивающая прием данных и их обработку без выдачи результатов в
обратном направлении.
Система телеобработки данных [teleprocessing system] — взаимосвязанный
комплекс технических, программных средств и процедур обмена данными,
обеспечивающий телеобработку данных, то есть их обработку на расстоянии,
удаленном от источника их получения или дальнейшего использования.
ИНТЕГРИРОВАННАЯ СИСТЕМА [integrated system]
1. Автоматизированная система (в широком значении термина), обеспечивающая
различные (в том числе информационные, вычислительные и/или другие)
потребности пользователей и поддерживающая единый порядок взаимодействия с
пользователями, включая и способы представления данных.
2. Автоматизированная система, в которой данные перерабатываются по единой
схеме на основе единых для различных прикладных задач исходных правил. Это
позволяет оптимизировать как технологическую схему обработки данных, так и
их использование. Частными составляющими интегрированных систем являются
организационно-технологический принцип "одноразовой обработки данных для
многоразового и многофункционального их использования", а также
интегрированные базы данных.
АВТОМАТИЗИРОВАННАЯ СИСТЕМА УПРАВЛЕНИЯ, АСУ [automated control system]
В расширенном значении термина — комплекс программных, технических,
информационных, лингвистических, организационно-технологических средств и
персонала, предназначенный для управления различными объектами.
В специальном значении термина — человеко-машинная система, основанная на
комплексном использовании экономико-математических методов и технических
средств обработки информации для решения задач планирования и управления
различными объектами производственно-хозяйственной деятельности (отрасли,
предприятия, фирмы, организации и т. п.).

Автоматизированный [automated] — технический объект, устройство, система
или процесс, в котором используются автоматы или другие средства
автоматизации. В отличие от понятия автоматический в работе указанных
средств или в выполняемом ими процессе предполагается участие человека.
АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ДАННЫХ [automated data processing]
Выполнение комплекса операций над данными с помощью ЭВМ.
Автоматизированная обработка данных является неотъемлемой частью
современной информационной технологии. В автоматизированных информационных
системах процесс обработки может быть условно разделен на два этапа:
1. Получение исходных данных и их первичное преобразование (первичная
обработка).
2. Подготовка выходных результатов (вторичная обработка).

Некоторые разновидности автоматизированной обработки данных
Первичная обработка включает операции сбора данных, их первичного учета,
индексирования, ввода, перезаписи в формы (форматы), удобные для выполнения
машинных операций, проверку полноты и точности записи данных и их
соответствия определенным форматам или правилам представления, проверку на
дубль.
Вторичная обработка включает внутренние преобразования форматов данных
(например, из формата хранения в формат поиска, коммуникативный формат и т.
п.), поиск данных, их сортировку, группировку и пере

окончание
Вторичная обработка включает внутренние преобразования форматов данных
(например, из формата хранения в формат поиска, коммуникативный формат и т.
п.), поиск данных, их сортировку, группировку и перегруппировку,
редактирование и/или преобразование полученных данных, подготовку и
заполнение выходных форм. Частными операциями автоматизированной обработки
данных являются также обработка текста, бесклавиатурный ввод и обработка
изображения документа.
Обработка текста [word processing] — все виды операций над текстовыми
материалами, выполняемые с использованием ЭВМ, включая клавиатурный и
бесклавиатурный ввод, редактирование, форматные преобразования, вывод на
печать или экран, копирование, хранение, пересылку и др.
Бесклавиатурный ввод — автоматизированный ввод данных в ЭВМ без
использования клавиатурных работ (см. "Оптический ввод", "Графический
ввод", "Речевой ввод").
Обработка изображения документа [DIP — Document Image Processing] — ввод
в ЭВМ документа путем сканирования, то есть считывания его изображения с
использованием сканера, и последующая обработка полученной записи в целях
получения требуемого формата ее представления и качества.
Диалоговая (интерактивная) обработка [interactive processing] — обработка
данных (текстовых, табличных и других материалов), выполняемая с
использованием диалогового ввода данных в ЭВМ. Является основным режимом
работы автоматизированных систем.
Пакетная обработка (запросов/данных), пакетный режим (обработки данных)
[batch processing] — обработка, выполняемая путем объединения
соответствующих материалов в пакет, и его передача в ЭВМ в виде задания.
Пользователь не может влиять на результаты работы ЭВМ до завершения полного
цикла обработки задания. Данный режим является эффективным для обработки
хорошо подготовленных персоналом автоматизированной системы задач,
требующих значительных затрат машинного времени на их выполнение.
АВТОМАТИЗИРОВАННАЯ СИСТЕМА ОБРАБОТКИ ДАННЫХ (АСОД) [electronic data processing system] — система обработки данных, основанная на использовании электронных вычислительных машин (в отличие от систем, где обработка данных ручная). Возможны два принципа организации такой обработки. В первом случае информация собирается и обрабатывается специально для решения каждой задачи, во втором — для решения различных задач наряду с переменной (специфической для каждой задачи) информацией используются общие нормативно-справочные (условно-постоянные) данные. В последнем случае система называется интегрированной. Часто интегрированными системами называются те, в которых не только исходная информация для разных задач общая, но и результаты решения одних задач используются для решения других (см. Интегрированная система обработки данных).
АСОД применяются в планировании и управлении (автоматизированные системы планирования, управления), в научных исследованиях (автоматизированные системы сбора и обработки экспериментальных данных и системы автоматизации испытаний), в библиотечном деле и информационных службах (см. Информационно-поисковые системы), в проектировании (системы автоматизированного проектирования и конструкторских работ) и других областях.
В статистических публикациях применяется также близкий термин — АСОИ (автоматизированные системы обработки информации), под которым обычно понимаются системы, не обязательно связанные собственно с управлением теми или иными объектами (предприятиями, организациями, технологическими процессами

А наше правительство в своих постановлениях думает почемуто по другому. Примерно так что число пи равняется 4 (в америкосии даже закон такой есть в калифорнии :))