С использованием средств автоматизации или Без использования средств автоматизации? - Форум по вопросам информационной безопасности

Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся В БАЗЕ ДАННЫХ, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств"

информационная система (ИС)— совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств

Мои вольнодумия привели к следующему - если нет БАЗЫ ДАННЫХ с ПДн, значит и нет ИСПДн, а раз нет ИСПДн то и ничего делать не нужно, хотя и в документах (договорах в формате "word" например) ПДн содержатся.

Интересно узнать что вообще такое база данных с точки зрения закона.

Допустим в учреждении содержатся база данных о пациентах (электронные мед. карточки), это уж точно подпадает под закон.
А если сделать так что каждому пациенту ставить в соответствие файл формата .doc, в котором и будут его ПДн. У нас получится много много файлов, и как только придет пациент на прием, мы открываем его файл и вносим туда информацию. А файлы можно отсортировать по папкам, использовать встроенный в Windows поиск по тексту (для удобства поиска пациента), да так что никакая база данных не потребуется! Куча файлов содержащих ПДн, но не база данных, а значит и не ИСПДн!
Убейте меня об стенку или докажите что я не прав!

Когда я у себя писал положение о защите ПДн, тоже столкнулся с этой проблемой, но порывшись в интернете нашел решение пролемы с введением определения "атоматизированного файла".Итак:

Неавтоматизированная обработка персональных данных - это совокупность таких действий с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, которые осуществляются при непосредственном участии человека;

Автоматизированная обработка персональных данных - это совокупность таких действий с автоматизированными файлами персональных данных, которые включают следующие операции, осуществляемые полностью или частично с помощью средств автоматизации: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение;

Автоматизированный файл персональных данных – любой комплекс данных о субъектах персональных данных, подвергающийся автоматизированной обработке;

Понимаете, Геннадий, здесь тонкий момент "при непосредственном участии человека".
Допустим персональные данные обрабатываются в АС из глоссария господина Малотавра - "это совокупность управляемого объекта и автоматических управляющих устройств,
в которых часть функций управления выполняет человек-оператор. Комплекс
технических, программных, других средств и персонала, предназначенный для
автоматизации различных процессов. В отличие от автоматической системы не
может функционировать без участия человека."

Тут нужно разграничить степень участия человека.
Например оператор нажал на кнопку в СУБД - поле записи удалилось, либо открыл интересующую его запись и внес изменения - чем не участие человека при обработке данных на ЭВМ?

Мне кажется акцент нужно делать на разделение носителей персональных данных, хотя ваше определение мне очень нравится.

Всем доброго дня :-)
Не думал, что будет так интересно рассмотрение такого «незамысловатого», на первый взгляд, вопроса. Но тем не менее… Смешивание разных терминов в законах и постановлениях будет «порождать» подобные дебаты у специалистов. Главное, что подобное обсуждение окончится только высказыванием собственных позиций, а на местах контролёры будут спрашивать по-своему и не угадаешь за ранее как именно.

Для г-на Рулевого:

> Раньше считал так: если ПДн обрабатываются на компе - значит с использованием средств автоматизации, если на бумажках - то без использование средств автоматизации.

Так или иначе, но эта позиция ближе к истине на мой взгляд. Объясню почему. ПП 687 не раскрывает понятия «средство автоматизации», поэтому приходится рассчитывать на своё понимание этого. Здесь стоит отметить, что прав был г-н Прохожий: есть два ГОСТИРОВАННЫХ русских термина - автоматические и автоматизированные. Вот от них и приходится исходить. Это, во-первых. А во-вторых, слово «средство» - некий материальный объект, инструмент автоматизации, позволяющий человеку осуществлять функции автоматизации.
Пресловутая формулировка «действия с персональными данными… осуществляются при непосредственном участии человека» больше показывает на то, что в действия по обработке осуществляются самим человеком без каких-либо «посредников» в виде неких средств.
Думаю, что это не менее пространно звучит, чем ПП 687, но вот пример: если кадровик заполняет карточки или охранник ведёт журнал – это они делают без средств автоматизации (если не рассматривать авторучку или карандаш в качестве посредника обработки ПДн). А вот если из архива берётся флэшка/диск, чтобы каким-либо образом обработать ПДн, человеку придётся использовать для обработки ПДн некую ПЭВМ и ПО (скажем Word) или СУБД.
Может в таком случае искать отличие между процедурами «с использованием средств автоматизации» и «без использования таких средств» в виде содержания/размещения ПДн? Грубо говоря: на бумажном носителе – значит без средств автоматизации (если не сканирование документа), на электронном носителе (флэшка, дискета, ЖМД, CD) – нужно средство автоматизации, позволяющее обработать этот носитель и ПДн на нём.
Причём, если говорить про речевую информацию, содержащую ПДн, то ситуация аналогичная.

Для Gennady:
Идея на счёт автоматизированного файла – ОЧЕНЬ интересная. Серьёзно. Незамысловатая, но интересная: заменить одно «разиновое» понятие другим «резиновым» и дать ему своё собственное определение – просто круто :-). Более всего интересно, какова реакция на такой «поворот событий» со стороны контролёров?

msergey,благодарю, Ваша точка зрения ближе к истине (а м.б. и есть истина, кто это знает), но давайте посмотрим на то что я уже раньше написал в 21629.
А вернемся мы к файлам содержащие персональные данные, такие как договоры, отчеты и прочее (например формата word, excel, txt), которые находятся в ЭВМ.
Напомню что "Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся В БАЗЕ ДАННЫХ, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств"

Ни одного определения БАЗЫ ДАННЫХ, кроме как в ГК РФ не нашел, цитирую:
"Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ)." (ст. 1260 ГК РФ, п.2).

Даже если верить этому определению то мои вордовские файлы, хранящиеся на жестком диске ЭВМ, не являются БАЗОЙ ДАННЫХ. Да, они могут быть найдены (средствами поиска в виндовс) и обработаны (самим вордом), но они не систематизированы т.е. отсутствуют связи между элементами, явной структуры как таковой нетути (все файлы свалены в один каталог".

Вот некий материал из википедии о базах данных для размышления:

"Существует множество других определений, отражающих скорее субъективное мнение тех или иных авторов о том, что означает этот термин в их понимании, однако общепризнанная единая формулировка отсутствует. Наиболее часто используются следующие отличительные признаки:

1. База данных хранится и обрабатывается в вычислительной системе. Таким образом, любые внекомпьютерные хранилища информации (архивы, библиотеки, картотеки и т. п.) базами данных не являются.
2. Данные в базе данных логически структурированы (систематизированы) с целью обеспечения возможности их эффективного поиска и обработки в вычислительной системе.
Структурированность подразумевает явное выделение составных частей (элементов), связей между ними, а также типизацию элементов и связей, при которой с типом элемента (связи) соотносится определённая семантика и допустимые операции[6].
3. База данных включает метаданные, описывающие логическую структуру БД в формальном виде (в соответствии с некоторой метамоделью).
В соответствии с ГОСТ Р ИСО МЭК ТО 10032-2007, «постоянные данные в среде базы данных включают в себя схему и базу данных. Схема включает в себя описания содержания, структуры и ограничений целостности, используемые для создания и поддержки базы данных. База данных включает в себя набор постоянных данных, определенных с помощью схемы. Система управления данными использует определения данных в схеме для обеспечения доступа и управления доступом к данным в базе данных»[2].

Из перечисленных признаков только первый является строгим, а другие допускает различные трактовки и различные степени оценки. Можно лишь установить некоторую степень соответствия требованиям к БД.

В такой ситуации не последнюю роль играет общепринятая практика. В соответствии с ней, например, не называют базами данных файловые архивы, Интернет-порталы или электронные таблицы, несмотря на то, что они в некоторой степени обладают признаками БД. Принято считать, что эта степень в большинстве случаев недостаточна (хотя могут быть исключения)."

Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ)." (ст. 1260 ГК РФ, п.2)
----
Хотя с другой стороны "систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ" можно полагать что практически любая база данных с ПДн либо текстовый файл содержащий ПДн может быть прочтен соответствующей этому файлу программой. Следовательно любой файл, содержащие в себе ПДн - уже база данных.
--
В общем трактовать можно как угодно...
Но в любом случае наши законы настолько гибкие что выполнять или не выполнять их - не требование государства, а желание (волеизъявление) самого субъекта права быть "примерным, правильным".

Извиняюсь за сумятицу в суждениях!
В Общем база данных - это , любая совокупность самостоятельных материалов (например договоры, содержащие ПДн), систематизированных таким образом чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ) (находются эти файлы средствами поиска виндовс, обрабатываются соответствующим приложением), кхм, что еще надо?

У меня пока не сформировалось свое мнение насчет автоматизированных файлов - что-то корявенько и невнятно.
Бумажная папка со сшиванием заранее продырявленных документов и возможностью открывания некоторых документов с помощью закладок - яркий пример плохо-автоматизированного файла.
Цитирую заново
АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ДАННЫХ [automated data processing]
Выполнение комплекса операций над данными с помощью ЭВМ.
Автоматизированная обработка данных является неотъемлемой частью современной информационной технологии. В втоматизированных информационных системах процесс обработки может быть условно разделен на два этапа:
1. Получение исходных данных и их первичное преобразование (первичная обработка).
2. Подготовка выходных результатов (вторичная обработка).

Некоторые разновидности автоматизированной обработки данных
Первичная обработка включает операции сбора данных, их первичного учета, индексирования, ввода, перезаписи в формы (форматы), удобные для выполнения машинных операций, проверку полноты и точности записи данных и их
соответствия определенным форматам или правилам представления, проверку на дубль.
Вторичная обработка включает внутренние преобразования форматов данных (например, из формата хранения в формат поиска, оммуникативный формат и т. п.), поиск данных, их сортировку, группировку и перегруппировку,
редактирование и/или преобразование полученных данных, подготовку и заполнение выходных форм.
Частными операциями автоматизированной обработки данных являются также обработка текста, бесклавиатурный ввод и обработка
изображения документа.

Обработка текста [word processing] — все виды операций над текстовыми материалами, выполняемые с использованием ЭВМ, включая клавиатурный и бесклавиатурный ввод, редактирование, форматные преобразования, вывод на печать или экран, копирование, хранение, пересылку и др.

Может все-же автоматизированная обработка?
Хотя по тексту пп 687 некие шероховатости.
Это вообще область от МЕНТОВ-"ПОНТОВ" "Форензика" - сыск с использованием средств автоматизации и в самих средствах автоматизации

http://db.inforeg.ru/db/basis/postan.html
дано определение базы данных
Постановление Правительства Российской Федерации от 28 февраля 1996 г. № 226
"О государственном учете и регистрации баз и банков данных"
(в ред. Постановления Правительства РФ от 02.03.2005 № 101)
2. Под базой данных понимается совокупность организованных взаимосвязанных данных на машиночитаемых носителях.

Под банком данных понимается совокупность баз данных, а также программные, языковые и другие средства, предназначенные для централизованного накопления данных и их использования с помощью электронных вычислительных машин.

3. Государственной базой данных в настоящем Временном положении называется база данных, созданная, приобретенная или накапливаемая за счет или с привлечением средств федерального бюджета.

4. Государственные базы данных подлежат обязательному государственному учету и регистрации.

термины Гост О8
http://dbases.ru/cgi-bin/catalog/catalog.cgi?i=48411&l=