Автор: Бобр | 22857 | 22.10.2010 07:59 |
Коллеги, всем привет, ситуация: в ИСПДн обрабатываеется ПДн.
Являются ли "персональные данные" в этом случае категорией информации, либо категорией является "конфиденциальная информация"? В общем, вопрос философский: ПДн - конфиденциальная информация, либо ПДн это ПДн (т.е. отдельная категория)? |
Автор: Mac | 22859 | 22.10.2010 10:12 |
Ответ на вопрос зависит от знания и понимания того, кому это предназначается ответ.
Ответ первый: законодатель определил, что информация бывает двух видов: открытая информация и информация ограниченного доступа. В свою очередь последняя подразделяется на гос. тайну и конфиденциальную информацию. ПДн относится к конфиденциальной. По самой сути - разницы между видами информации вообще нет никакой, и целей её использования. От того, что информация открыта или конфиденциальна она не перестаёт быть информацией. Не становится другим. Другое дело, что свойства отдельных видов несколько различаются (хотя категории одни и те же). Разница несуществанная. И защита информации за последние две-три тысячи лет не изменилась. Когда плотно занимаешься ИБ на орг. уровне понимаешь всю эту хрень. Это если вдаваться в философию. А вот второе: пришёл проверяющий, что не юрист, не философ, и у него в голове четыре извилины, которых ему достаточно, чтоб чуть ли не наизусть знать закон о ПДн, и вот для него вряд ли его "любимые" ПДн, будут с чем-то объединены. |
Автор: Некто | 22861 | 22.10.2010 10:28 |
От на этот случай стоит распечатать 188 указ, вставить в рамочку и показать "четырехизвилинному" с намёком на то, что законодательство РФ состоит не только из 152-ФЗ
|
Автор: msergey, ЛабТЗИ | 22862 | 22.10.2010 10:58 |
Являются ли ПДн конфиденциальной информацией с точки зрения категории информации уже поднимался на этом форуме, вот здесь:
Юридические доводы и аргументы очень интересные, но это если рассматривать ПДн через понятие КАТЕГОРИИ информации, рассматривая только з-ны «О персональных данных», «Об информации…». Но вот с точки зрения Системы технической защиты информации – ПДн является частью конфы!!! (отличается только объёмом предъявляемых к ней требованиями). Указ Президента № 188 не является главным для системы технической защиты информации, он только поддерживает эту систему. В жизни пока ещё не встречал, чтобы проверяющий контролёр отделял ПДн от конфы – при действующей системе технической защиты это будет полный бред!!! |
Автор: Бобр | 22863 | 22.10.2010 11:10 |
Так вот этот "Перечень сведений конфиденциального характера" указывает лишь на то что ПДн является информацией конфиденциального характера, т.е. под "конфиденциальными" здесь понимается "некая характерная черта" такой информации, а никак не КАТЕГОРИЯ.
Цель-пишу договор с нуля на приведение ИСПДн Заказчика к требованиям законодательства, в котором в качестве объекта указываю название ИСПДн, местонахождение и КАТЕГОРИЮ обрабатываемой на нем информации. В случае с аттестацией АС в договоре прописывается что обрабатывается КОНФИДЕНЦИАЛЬНАЯ информация либо информация содержащая сведения составляющие ГТ . Вот и задумался насчет ПДн, конфиденциальная ли это информация, или тупо ПДн (новая отдельная категория). |
Автор: Прохожий | 22864 | 22.10.2010 11:12 |
2mac
Цит: последняя подразделяется на гос. тайну и конфиденциальную информацию. Высказывание в корне неверно т.к. в состав категории конфиденциальная информация входит и информация, содержащая ГТ. Думаю имелось в виду последняя подразделяется на гос. тайну и информацию содержащую коммерческую и служебную и иные виды тайн. В России жесткие категории имеет только ГТ -С-СС-ОВ. Также дана робкая попытка назвать некоторые виды конфиденциальной информации в известном указе президента, имеющим временный статус до момента издания пп РФ или ФЗ РФ. И в этом указе сказано ПД - конфиденциальная информация Другие виды тайн категорируются произвольно по критериям задаваемым владельцем тайн. У буржуев критерии категорирования как правило задаются в НПА и их можно для себя брать как пример - мне лично нравятся нормы Австралазии там все разложено по полочкам по этому вопросу. 2Бобр - напишите свой внутренний НПА со своими категориями и от него пляшите и до момента появления законов или пп РФ никто вам не указ - можете категории назвать АВС... или 123... или как вам захочется но только верхних норм не нарушайте. |
Автор: Прохожий | 22872 | 22.10.2010 14:51 |
Насчет методики категорирования - вот один из вариантов на основе BS 7799
Повторю методика не единственная и не самая ... ... просто пример, раз уж такие сложности, кстати Информзащита лет так десять назад также разрабатывала свой документ по этому вопросу - там также три критерия конфиденциальность-целостность-доступность из состава существующих критериев |
Автор: malotavr | 22875 | 22.10.2010 18:18 |
> Высказывание в корне неверно т.к. в состав категории конфиденциальная информация входит и информация, содержащая ГТ.
+1 > В России жесткие категории имеет только ГТ -С-СС-ОВ При этом ничто не мешает из каких-либо соображений засекретить персональные данные. Например, ФИО и адрес проживания осведомителя являются его персональнвыми данными и одновременно составляют государственную тайну. |
Автор: msergey, ЛабТЗИ | 22876 | 22.10.2010 20:19 |
Засекретить, конечно, можно всё и ПДн в том числе. На мой взгляд в приведённом примере - ФИО и адрес проживание осведомителя - вопрос дважды спорный:
1) данная информация не столько государственная тайна, сколько больше подходит к служебной информации, определённой тайной следствия; 2) з-н "О персональных данных" на распространяется на гостайну (ч. 4 п. 2 ст. 1), т.е. если в ПДн "замешаны" со сведениями, составляющими гос.тайну, то они же ей и "поглощаются" и становятся неотделимы, иначе образно говоря ПДн вместе гостайной не принадлежат субъекту и перестают являться таковыми; 3) статус осведомителя для следствия и оперативной работы выше ПДн человека, которые являются "дополнением", частью информации об осведомителе (т.е. персональные данные у человека не включают сведения о его статусе осведомителя, но данные об осведомителе могут содержать в себе такие сведения как часть). Последнее высказывание является моей сугубо личной точкой зрения. З-н "о персональных данных" в ч. 7 ст. 10 хоть и не прямо, а косвенно, относит ПДн, обрабатываемых оперативными службами, к категории специальных. |
Автор: msergey, ЛабТЗИ | 22879 | 22.10.2010 20:41 |
Если рассматривать соотношение понятий "информация" и "категория" с философской точки зрения, то думается, что категория предполагает некое ранжирование, иерархию, уровень информации внутри её вида.
Так гостайна имеет внутри 3 категории: С, СС, ОВ. У персональных данных с категориями интереснее: "просто" ПДн, специальная категория ПДн, биометрические ПДН. Рассматривая Указ № 188 перечисленная в нём конфиденциальная информация слишком разная, чтобы пробовать ранжировать её между собой или определять уровень значимости одной по отношению к другой. |
Просмотров темы: 28842