ФЗ-152 О персональных данных
18 февраля 2010 в 09:18

ФЗ-152 О персональных данных

В скором времени возникнет острая необходимость соблюдения ФЗ-152 О персональных данных, где существует классификация информационных систем по четырем классам. Интернет-системы должны относиться к четвертому классу, как общедоступные и/или обезличенные системы, но наличие ФИО переводит такие системы сразу во второй класс (позволяющие идентифицировать субъекта с наличием дополнительных персональных данных). Возникает вопрос: каким образом защитить интернет-системы от этого закона не выполняя требование об обязательной сертификации систем первого и второго классов? Системы третьего класс (позволяют только идентифицировать субъекта) подлежат добровольной сертификации.

505
  • Тема закрыта
Комментарии (13)
  • 18 февраля 2010 в 15:57 • #
    Виталия Лепехина

    Николай, системы 3 класса подлежат декларированию соответствия (если говорить терминами РД). А так, готова обсудить с Вами этот вопрос более подробно - задавайте вопросы, попробую помочь :)

  • 18 февраля 2010 в 17:55 • #
    Стружкин Николай

    Совершенно верно. Класс 3 либо сертифицируется, либо декларируется. Есть мысль, чтобы разделить систему на две части (1. обработка только ФИО и уникальный код, 2. обработка всех остальных данных, привязанных к этому коду). Получается, что первая часть (самостоятельная система) будет относиться к классу 3, а вторая часть (самостоятельная система) - к классу 4, как обработка обезличенной информации. В результате, если совместить эти системы (подсистемы) в единую систему, то получится класс 3.
    Теперь возникает вопрос: если я из второй подсистемы обращаюсь в базу данных первой подсистемы для получения ФИО, соответствующие заданным уникальным идентификаторам, останется ли данная система системой класса 3 или перейдет в статус класса 2? Мне кажется, что, согласно (я делаю системы для образовательной среды) письму Минобразования от 29.07.2009 №17-110 я рассуждаю правильно и могу спокойно продать учебному заведению такую систему с разъяснением о необязательной необходимости сертификации

  • 18 февраля 2010 в 18:01 • #
    Виталия Лепехина

    1. на самом деле, тут есть некоторые нюансы, которые очень четко прописаны во ФСТЭКовском четырехкнижие :) просто разделить базу нельзя, это должны быть разные ИСПДн.
    2. Технически - просто ФИО - это не персональные данные.

  • 18 февраля 2010 в 18:03 • #
    Стружкин Николай

    А не подскажите, где можно посмотреть на эти ФСТЭКовские документы?

  • 18 февраля 2010 в 18:26 • #
    Виталия Лепехина

    на сайте ФСТЭКа есть выписки из 4-хкнижия. А полный вариант есть у лицензиатов ФСТЭК

  • 18 февраля 2010 в 18:05 • #
    Стружкин Николай

    Но ведь есть понятие интегрированная система, которая рассматривается как единая многофункциональная система. Получается, что, если мы разделяем базы данных и можем выделить самостоятельные подсистемы (например, идентификационная и функциональная), то получаем такую интегрированную систему. Или я не прав?

  • 18 февраля 2010 в 18:27 • #
    Виталия Лепехина

    но мы же говорим о требованиях 152-фз

  • 18 февраля 2010 в 18:32 • #
    Стружкин Николай

    Верно. К нему есть различные постановления, где возникает понятие "Интегрированная система". В частности, Письмо минобра с указанием на эти Постановления. Сам Закон не определяет классификацию систем.

    Я попробую достать ФСТЭКовские документы - надеюсь, что они мне очень помогут

  • 18 февраля 2010 в 19:08 • #
    Виталия Лепехина

    классификацию систем определят приказ "трех" - фстэк, фсб и роскомнадзор № 55/86/20 от 13.02.2008
    Николай, может Вам проще к консалтерам обратиться?

  • 18 февраля 2010 в 17:36 • #
    Александр Лещинский

    Технически - не использовать имена/фамилии, юридически - указанныепользователем личные данные, пока они не верифицированы на корректность персональными данными не являются (тут я могу быть неточен, пусть поправят те, кто в теме).
    Т.е - ассоциировать физическое лицо Николай Стружкин с юзером с идентификатором https://professionali.ru/110449 юридически ничтожно

  • 18 февраля 2010 в 17:59 • #
    Стружкин Николай

    Но ведь Законом уже сразу говорится о том, что субъект в подписываемой анкете указывает перечень персональных данных к обработке. Де факто получается, что любая информация, которая может быть отнесена к субъекту, является персональными данными с разделением на идентифицирующую и прочую. К тому же, судя по дополнительным Постановлениям, ФИО является ключевой идентифицирующей составляющей субъекта. Если к ней добавить любой дополнительный уникальный код (паспорт, ИНН, студенческий билет, просто уникальный идентификатор) мы получаем информацию однозначно идентифицирующую субъекта. Могу ошибаться на счет уникального идентификатора, но в моем случае существуют данные, которые в жизни идентифицируют человека (паспорт, например)

  • 18 февраля 2010 в 19:00 • #
    Александр Лещинский

    Главное слово "в подписываемой"... В случае Сети никто (без дополнительных действий и средств) не должен утверждать, что личная информация аутентична и корректна.
    Николай, все перечисленные данные являются идентифицирующей информацией, но - только если ДОСТОВЕРНОСТЬ ЭТИХ ДАННЫХ ПОДТВЕРЖДЕНА.
    Номер паспорта (и все прочее)- персональные данные, если они вписаны в документ, заверены собственноручной (или ЭЦП) подписью, и при этом скорее всего предъявлен лично физический документ, подтверждающий эту инфорацию.
    В случае передачи таких данных (и их хранения) на любых ресурсах Сети - их достоверность не то что оспариваема, она просто не существует. Если я буду фигурировать (да хоть тут) как "Чачо Мучачос", боливиец и даже впишу номер водительского удостоверения по шаблону, принятому в Боливии - я Чачей не становлюсь. Мои данные, соотвественно - не персональные, а просто набор байтов. Физическим лицом, однозначно идентифицируемым, я станутолько после проведения определенных ОРД, и таки вних моя анкета - дело последнее
    Номер паспорта - да, но кто сказал, что я передам правду?!

  • 18 февраля 2010 в 19:20 • #
    Стружкин Николай

    Всем спасибо за ответы.