deHack.ru » Вопросы и ответы » Вопрос №15 от 20.07.2011

Вопрос №15 от 20.07.2011

Вопрос: Согласно Приказа "Об утверждении Порядка проведения классификации информационных систем персональных данных" Хнпд = 2, когда в ИС одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн ИЛИ(!) персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; Хотелось бы обратить внимание на "ИЛИ" в определении категории 2 Хнпд! Получается, что в кадровых ИС государственных органов Хпд будет как правило не ниже 2, что в свою очередь определит класс ИС как К2. Вывод: все кадровые ИС госорганов - с классом не ниже К2! Однако пришел Роскомнадзор с проверкой и возникла дискуссия...Вопрос к представителю Роскомнадзора: а какой класс ИС у вашей конторы? Ответ: К3!... Как это понимать, неквалифицированный специалист? И основной вопрос: правильно ли трактуется нормативный документ для госоргана? Заранее благодарен за комментарий! P.S. Ваш он-лайн классификатор по оценке класса ИС тоже работает без учета того, что категория 2 Хпдн задается в количественных рамках субъектов ПДн (это корректно) ИЛИ(!)… а вот дальше скажем сокращенно «экономика РФ, госорган в пределах муниципального образования». Полагаю надо сделать еще одно поле выбора из списка с вытекающим алгоритмом определения класса ИС для госорганов. (Аноним)

Ответ:  спасибо за указание на ошибку на нашем сайте!

по вопросам... в целом их классификация верная. я полагаю данное "ИЛИ" можно трактовать по разному. или вы обрабатываете ПДн менее 1000 субъектов, или ПДн обрабатываются в пределах одной организации. можно сказать - кто на что горазд. например, наш РКН имеет штат менее 1000 субъектов, при категории ПДн - 2. вывод - класс К3. нужно понять в чем разница между "организацией" и "государственным органом", и к кому относится РКН. а трактовать законы и нормативные документы может только МинЮст. к сожалению коментариев к данному приказу нет.

Но на самом деле парадокс заключается в другом. возьмем два варианта ИСПДн. в первой имеются ПДн второй категории и количество менее 1000, что дает нам класс К3. во второй будет тоже вторая категория ПДн, но субъектов от 1000 до 100 000, что даст класс К2. вопрос: почему в первом случае потеря (утечка, модификация и т.д.) ПДн субъектов может привести к  "незначительным негативным последствиям..." (при К3), а во втором (К2) к "негативным последствиям для субъектов ПДн"? ведь категория ПДн одинаковая (вторая), и ущерб для конкретного субъекта будет одинаковым по логике. Может быть РКН руководствуется цитатой Сталина "одна смерть - трагедия, один миллион - статистика" ?

Другие вопросы

kvv - 05:09:35 21-07-2011
В том то и дело, что РКН (Роскомнадзор), он же ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ - ни что иное как государственный орган! Действует на основании Положения утвержденного Постановлением Правительства РФ, выполняет государственные функции...Значит и у вашего РКН будь там хоть 5 субъектов ПДн (они же штатный состав), если есть кадровая ИС - получается класс ее будет К2!
kira - 06:29:03 21-07-2011
kiraа сами то они как прокоментировали данный момент?
kvv - 06:18:10 26-07-2011
смешно сказать...cами прокомментировали (неофициально конечно), что подразумевалось в нормативном акте одно, получилось другое, похоже на опечатку...:)
kira - 06:30:16 26-07-2011
kiraне удивительно, у нас всё так делается)
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе