вторник, 15 января 2013 г.

Автоматизированно или нет?

Пока все ждут новых документов от ФСТЭК и ФСБ, в обсуждении существующего законодательства на просторах рунета наступило некоторое затишье. Но отсутствие нового - это не повод не пересматривать старое. Очередной раз пробежав глазами по 152-ФЗ, я увидел, что он не дает определения неавтоматизированной обработки ПДн. Ну и ничего, есть же ПП-687, которое как раз нам его и дает. Но понятие это достаточно размыто. И мне захотелось разобраться. Особенно в свете темы на портале ПДн:http://www.pd.rsoc.ru/inter-services/forum/dep46/topic2911/
Ну что, ж приступим. Хочу сразу сказать, что я позволил себе некоторую вольность и взгляд на ситуацию с другой стороны. Иногда это бывает полезным.
Для начала я выделил определения из 152-ФЗ, ПП-687. Плюс к этому взял определение вычислительной техники. В ГОСТах определения ВТ я не нашел, поэтому, посоветовавшись с юристами, взял определение из общедоступных словарей. В моем случае это Большой Энциклопедический Словарь.

ИсточникТерминОпределение
152 ФЗобработка персональных данныхлюбое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
152 ФЗавтоматизированная обработка персональных данныхобработка персональных данных с помощью средств вычислительной техники;
ПП-687неавтоматизированная обработка персональных данныхОбработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
ПП-687
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Большой Энциклопедический Словарьвычислительная техникасовокупность технических и математических средств (вычислительные машины, устройства, приборы, программы и пр.), используемых для механизации и автоматизации процессов вычислений и обработки информации. Применяется при решении научных и инженерных задач, связанных с большим объемом вычислений, в системах автоматического и автоматизированного управления, при учете, планировании, прогнозировании и экономической оценке, для принятия научно обоснованных решений, обработки экспериментальных данных, в информационно-поисковых системах и т. д.

Исходя из вышесказанного можно, для начала, заключить:
1. Принтеры, сканеры тоже являются вычислительной техникой. Это, на мой взгляд, вытекает из определения "вычислительная техника" в Большом Энциклопедическом Словаре:совокупность технических и математических средств (вычислительные машины, устройства, приборы, программы и пр.), используемых для механизации и автоматизации процессов вычислений и обработки информации.
Стоит отметить, что, вероятно, они попадают сюда только в комплекте с системным блоком и монитором. Но обратное-то, в принципе, нас и не интересует.
2. Исходя из определения автоматизированной обработки ПДн можно заключить, что автоматизированная  = с помощью средств вычислительной техники. Конечно, в рамках данных понятий:
Автоматизированная обработка ПДн=Обработка ПДн с помощью средств вычислительной техники.
Автоматизированная = с помощью средств вычислительной техники.
И также, логически, получается что в нашем случае средства автоматизации - это средства вычислительной техники.

Теперь рассмотрим определения обработки ПДн, автоматизированной обработки ПДн и неавтоматизированной обработки ПДн в виде таблицы:

12345
ДействиеОбработка ПДнАвтом-я Неавтом-я (СВТ)Неавтом-я (Без СВТ)
Сбор+++
Запись+++
Систематизация+++
Накопление+++
Хранение+++
Уточнение++
+
Извлечение+++
Использование++
+
Передача (152-ФЗ)++

Распространение (ПП-687)++
+
Обезличивание+++
Блокирование+++
Удаление (152-ФЗ)++

Уничтожение (152-ФЗ, ПП-687)++
+

Обратимся к неавтоматизированной обработке. Из определения вытекает, что для того, чтобы считать обработку ПДн неавтоматизированной, достаточно использовать, уточнять, распространять и уничтожать ПДн в отношении каждого субъекта при непосредственном участии человека. Следовательно остальные действия (Таблица, столбец 4) можно проводить и средствами СВТ.
А вот теперь можно ставить вопросы:
1. Допустим, ситуация когда мы храним скан-копии на ПК, вносим их туда через сканер, извлекаем через принтер. Все остальные действия с бумажными носителями и при непосредственном участии человека. На первый взгляд - неавтоматизированно. Ведь такие действия как
     -Уточнение (дописали на листе бумаги и пересканировали заново);
     -Использование (здесь все понятно, пользуемся распечатанными бумажными экземплярами);
     -Распространение (опять таки, бумажные копии);
     -Уничтожение (тоже все понятно, уничтожаем бумажные копии)
производятся при непосредственном участии человека и в отношении каждого субъекта ПДн отдельно.
Но:
В процесс уточнения входит также и сканирование. А это уже делает обработку ПДн автоматизированной.
И здесь никаким образом, на мой взгляд, нет противоречий ПП-687:
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

2. Автоматизированная = с помощью средств вычислительной техники.
И также, логически, получается что в нашем случае средства автоматизации - это средства вычислительной техники.
Так ли это?   

3. Что же все-таки считать непосредственным участием человека?

Резюмируя вышесказанное, скажу, что на мой взгляд нужно исключать подобное свободомыслие, включая в законы и подзаконные акты понятия, используемые в этих документах. По крайней мере, если они не заложены в ГОСТах. А определений "Средство(а) автоматизации" и "Вычислительная техника" я не нашел...


Комментариев нет:

Отправить комментарий