С использованием средств автоматизации или Без использования средств автоматизации? - Форум по вопросам информационной безопасности

Все определения БД так или иначе сводятся к объекту, обладающему двумя характеристиками: форма – некая структура, упорядоченная по определённым правилам; содержание – некое информационное наполнение этой структуры. В рассматриваемом случае информационным наполнением являются ПДн.
Все выкладки «про базы данных» больше помогают найти ответ на вопросы: что есть информационная система (в частности ИСПДн) и где её границы как объекта защиты и объекта оценки? Вполне может быть, что внеся ясность в понятие информационной системы и получится ответить на главный вопрос этой ветки форума: С использованием средств автоматизации или Без использования средств автоматизации? Главное следует понимать: понятие базы данных частично связано с понятием ИСПДн, не говоря уже про процедуры обработки с или без средств автоматизации, границу между которыми мы пытаемся определить.

Судя по определению ИСПДн (данному в п. 9 ст. 3 ФЗ № 152), эта ИС не так уж сильно привязана ТОЛЬКО к понятию базы данных: «…а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств» (хотя здесь тоже есть абсурд – информационных технологий и технических средств, позволяющих осуществлять обработку… без использования таких средств).

Больше похоже, что понятие ИСПДн сильнее всего привязано к понятию обработки (вне зависимости от вида этой самой обработки). Причём последняя фраза «…или без использования таких средств» даёт понять, что ИСПДн может быть не только «электронной», а например «бумажной» или «речевой».
А вот обработка, на мой взгляд, как раз «перекрывает» всё, поскольку это любые действия (операции) с ПДн (см. определение п. 3 ст. 3 ФЗ № 152). Если принимать во внимание, что ПДн сами по себе не возникают, а являются результатом деятельности человека по выделению этих данных из числа всех других данных (скажем для целей идентификации человека, его индивидуализации от других), то для того, получить этот результат человеку нужно произвести некое действие (операцию). Т.о. производя любое действие (операцию) с ПДн человек автоматически уже производит обработку этих данных (не смотря используется ли при этом средство автоматизации или нет). В таком случае средство автоматизации является «инструментом» автоматизированной обработки ПДн. Следовательно, вид ПДн определяет способ обработки ПДн (с или без средств автоматизации): если для совершения действия (операции) с персональными данными требуется средство автоматизации (инструмент автоматизированной обработки), то такую обработку следует признать «с использованием средств автоматизации», ну а если нет, то значит «без таковых средств».

Отдельно хочется отметить, что хранение – это тоже вид обработки ПДн (см. определение в п. 3 ст. 3 ФЗ № 152). Причём следует помнить, что действие ФЗ № 152 не распространяется на отношения, возникающие при организации хранения, комплектования, учёта и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации (п. 2 ст. 2 ФЗ № 152).

Ну вроде разобрались что такое ИСПДн с использованием средств автоматизации, а что без использования таковых.
Например моя ситуация с получением загранпаспорта.
Заполняю бумажный бланк печатными буквами, иду в ФМС, подаю заявление, там ентот бланк сканируют, распознают и добавляют запись в БД - все-таки ИСПДн с использованием средств автоматизации (средства автоматизации целых два - сканер с помощью которого "автоматизируют" процесс сбора ПДн и сама ЭВМ, которая "автоматизированно" хранит ПДн и позволяет производить поиск, изменение и т.п. ).
Но с другой стороны у них остается мой заполненный бланк, который они в конце концов спускают в архив.
Так вот что интересно: сколько ИСПДн в данном случае у ФМС (одна или две)? Если одна, то включает ли она архивные документы, и почему? А если две, то "опять 25", можно сказать что куча бумажных документов - это есть база данных, противоречит и определению данному в ГК РФ "Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ)." (ст. 1260 ГК РФ, п.2)"

И определению из ПП РФ от 28 февраля 1996 г. № 226 "О государственном учете и регистрации баз и банков данных" "Под базой данных понимается совокупность организованных взаимосвязанных данных на машиночитаемых носителях "

И еще я не представляю каким определением "базы данных" пользоваться , которое я нашел в ГКРФ или из ПП?


--
Но вопрос с кучей файлов (формата doc,excel,txt) хранящихся в ЭВМ мы так и не решили, понятно что обрабатываются они "с использованием средств автоматизации", однако является ли эта куча файлов ИСПДн, в частности базой данных в контексте закона (а не наших "жизненных" представлений)?
Напомню, что "Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся В БАЗЕ ДАННЫХ, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств"
--
Вопрос с гос. архивом (а точнее с его оцифровкой) я уже как-то поднимал в одной из веток:
http://www.itsec.ru/forum.php?sub=5035&from=-1.
Как я понимаю, если мы госархив переведем в электронный вид, следовательно подпадем под 152 закон т.к. сфера действия "настоящего Федерального закона не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации" (в этом исключении имеются ввиду определенно "бумажные документы", или я ошибаюсь?)

Вся прелесть в том, что закон ни в каком месте не привязан к виду носителя информации: бумага, железка, пластмасса, дерево и т.д. и т.п. Вся привязка идёт к самой информации, а про то, на чём эта информация будет содержаться ничего не говорится. Поэтому – включаем воображение и вперёд :-)

Выше я уже пытался обратить внимание, что определение ИСПДн состоит из 2-х частей:
1 – «информационная система, представляющая собой совокупность персональных данных, содержащихся в БАЗЕ ДАННЫХ»
и
2 – «а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств»

Т.е. определять ИСПДн только по критерию «наличия базы данных» будет не совсем корректно. Обрабатывать ПДн можно и не только в БД, но и отдельно, обособленно, индивидуально, т.е. не структурировано (!) От этого обработка не перестанет быть обработкой, она ей останется, просто будет иметь не системный характер (как в случае БД), а произвольный «безсистемный».

Да все все все понятно.
Вы сейчас говорите "человеческим языком", и я Вас понимаю, но я (не юрист, а жаль) захотел покопаться в дебрях законодательства, и для себя понять "что есть что". Как выяснилось - ни начала ни конца здесь нет, а истина все равно где-то рядом. Да, без фантазии тут не обойтись. Думаю здесь можно припомнить "широту и глубину красок русского языка" со знаком минус.
И в трактовке определений нужно уже применять не только лингвистический анализ, но и учитывать интонацию с которым законодатель произносит эти слова))

Так что если у кого-то находятся чьи-то персональные данные, то он уже их обрабатывает (хотя бы собрал и хранит), и следовательно этот кто-то уже оператор т.е. "организует и (или) осуществляет обработку ПДн, а также определяет цели и содержание обработки ПДн"

Но вот почему ПДн должны находиться именно в ИСПДн мне совсем непонятно!!! А ведь все требования написаны именно для построения системы защиты для ИСПДн (а не для ПДн).

В общем с ИСПДн дело совсем не клеится, в самом определении говорится что ИСПДн - это информационная система, а что такое информационная системы все мы знаем: «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств». И что такое база данных мы тоже знаем, хотя бы из ГКРФ "Базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ)".

Прихожу к выводу что ИСПДн, в которых обработка данных ведется без использования средств автоматизации не существует в природе.
Нужен тщательный психическо-лингвистический анализ закона.

Я хочу сказать что само определение в ПП РФ № 687 звучит абсурдно, сами прочтите "Обработка персональных данных, СОДЕРЖАЩИХСЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ либо извлеченных из такой системы (далее - персональные данные), считается осуществленной БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ (НЕАВТОМАТИЗИРОВАННОЙ), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека."

В общем непонятна часть определения, а именно: как ПДн могут обрабатываться в ИСПДн (ведь ИСПДн по определению должна быть автоматизированной, либо частично автоматизированной, но все равно должны использоваться ЭВМ или другие "автоматизированные механизмы" обработки) да еще и без использования средств автоматизации!!!

Тут конечно есть одно маленькое НО, которое спасает "определение" - "ЛИБО ИЗВЛЕЧЕННЫХ ИЗ ЭТОЙ СИСТЕМЫ", над ним и можно загрузиться.

Не стоит грузиться. Ведь ИСПДн должна «служить» человеку, а не человек ИСПДн-у. Т.е. цель у человека создавая ИСПДн решать определённые задачи, но никак не наоборот (создавать, «наращивать» объём каких-то данных чтобы было): информационная система должна не только получать данные, но и отдавать их человеку -> «ЛИБО ИЗВЛЕЧЕННЫХ ИЗ ЭТОЙ СИСТЕМЫ».
Объясню на примерах:
1) ЖЭК ведёт БД о своих проживающих. По запросу жильцов может предоставляться выписка из так называемого лицевого счёта о составе проживающей семьи – чем не пример извлечения из системы ПДн?
2) в местной больнице, скажем, проходишь очередную проверку флюорографии с паспортом и по месту жительства или вакцинацию там же. Затем приходишь за справкой, они проверяют по базе (сводные данные там же) и делают тебе справку – чем не пример ещё одного извлечения ПДн?
3) В бухгалтерию за справкой 2-НДФЛ каждому приходилось обращаться…
В общем, примеров ИЗВЛЕЧЕНИЯ ИЗ СИСТЕМЫ можно привести много.

Но ведь сама ИСПДн по сути своей (и по определению в ФЗ) уже есть с "использованием средств автоматизации".
Ко всем вашим примерам вопрос один: Вы хотите заявить что указанные в примерах ИСПДн являются "без использования средств автоматизации"???
Я не признаю само название "ИСПДн без использования средств автоматизации", и вижу в качестве содержимого этого понятия чисто "бумажный комплект документов" (архив, или еще какое хранилище), "ИСПДн" и "без использования средств автоматизации" несовместимые понятие.
В качестве примера, который более-менее укладывается в голове можно привести следующее: Пусть есть бумажный архив документов с ПДн, и чтобы найти нужный документ в архиве будет стоять ЭВМ, на ЭВМ будет располагаться БД, в которой будет строгое соответствие: номер документа(название)-местонахождение: полка, стеллаж, папка). Но еще раз отмечу что в этой БД не должно быть никаких ПДн субъекта!!!
Либо вообще пример без ПК, как раньше в старых поликлиниках, когда приходишь, называешь свою фамилию регистратору, она смотрит на полку с соответствующей буквой фамилии и выдает тебе на руки карточку - вот это "хранилище" и есть "без использования средств автоматизации".
--
В общем в этом есть сложность особенно при определении границ - где заканчивается автоматизация, а где начинается "ручная работа".
--
А в ваших примерах в базах данных, хранящихса на ЭВМ из которых делаются всякие "бумажные выписки" уже присутствуют ПДн , следовательно это уже ИСПДн, причем с использованием "средств автоматизации" (на ЭВМ происходит обработка).

Вообще, приведённые мною примеры касались вопроса «извлечения из системы». Они не были направлены на поиск границы начала ИСПДн.

На абсурдность по поводу определения «ИСПДн… без использования средств автоматизации» я указывал выше (см. 21669, второй абзац).

Подолью масла в огонь на данну тему http://dementeeva.blogspot.com/2010/08/blog-post.html читаем ниже комментарии и приходим к выводу,что даже представители Роскомнадзора по разному понимают понятие С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ. А пока в товарищах согласья нет ... уповаем на несовершенство законодательства...
Хотели как лучше,а получилось как всегда...

Уважаемые!
Вы уже атомизировали методом последовательного разбиения все понятия.
Все поняли - нормы пишут НЕпрофессионалы а ДУМАки и прочие ЛОБбисты и ОколоЗлоумышленные Инсайдеры для своих целей.
ФЗ 152 писан для вступления в ВТО - Не для защиты прав граждан.
РКН - Права граждан не защищает и не имеет такой цели из-за крайнего непрофессионализма и ложного целеполагания.
(ёксМинистр культуры Калмыкии - самое то для решения подобной задачи)
Денег на ИБ и ФЗ152 Кудрин никогда НЕ даст.
И чего отсюда проистекает?
....
Ваша то цель какова - самообразование?
Поиск трудно-достижимой ИСТИНЫ?
Натянуть регуляторов?
Есть некий сайт с форумом по изменению ФЗ 152 - но я Не знаю стоит ли вообще читать эти тяни-толкайные предлжения.
Для начала надо определиться
Для чего ФЗ152 потом понять куда тянуть и для достижения каких целей?

ФЗ 152 - НЕ работал и не заработает никогда.
Пока не помер...пардон! ( НЕ отодвинут от корыта-кормушки) последний Хреф-КУдрин-Сердюков-Чубаец и далее по списку ...
На не дадут они!
И зачем посуду ломать?...