Защита персональных данных

Собственные и сторонние ИСПДн. Разбираемся в основных понятиях. Часть 2.

Хотя законодательством не установлено чёткое разделение на собственные и сторонние ИСПДн, такая классификация является условной и применяется в практике для удобства работы с этими системами.
Собственные и сторонние ИСПДн. Разбираемся в основных понятиях.       
Часть 2.
Иллюстрация: Астрал

Раскроем подробно понятия собственные и сторонние ИСПДн, так как именно здесь чаще всего возникают трудности в понимании.

Собственная ИСПДн представляет собой информационную систему, расположенную внутри организации, которая выступает в качестве оператора данной системы.

Сторонние ИСПДн – это внешние информационные системы, принадлежащие сторонним организациям, и используемые в рамках деятельности вашей компании.

Зачем нужно разграничение на ИСПДн собственные и сторонние

В отношении собственных ИСПДн оператор обязан реализовать организационные и технические меры для обеспечения защиты информации и безопасности ПДн.

При направлении уведомления в Роскомнадзор оператору необходимо включить сведения о местонахождении всех используемых баз ПДн, а также указать, кто именно обеспечивает технические средства для их хранения. Поэтому требуется подготовка — для сторонних ИСПДн следует выяснить местоположение ЦОД и ответственного за хранение данных (лицо, предоставляющее соответствующие технические ресурсы).

Разграничение необходимо для корректного отражения информации в локальных актах, касающихся обработки ПДн. Описание собственных ИСПДн будет шире по сравнению с внешними. В отношении собственных систем будут разработаны отдельные нормативные документы с целью внедрения организационных и технических мер. Сторонние ИСПДн будут фигурировать в локальных документах при описании осуществляемых с их использованием процессов обработки ПДн, а также при разграничении доступа к ПДн.

Для создания документов ЛНА необходимо учитывать особенности ИСПДн. Это важно с точки зрения определения уровня ответственности и правильного учёта и описания процессов движения ПДн внутри компании. В сервисе 152DOC предусмотрены все нюансы, связанные с ИСПДн, и вы сможете формировать документы правильно.

В таблице ниже показаны признаки, по которым можно определить, собственная ИСПДн или сторонняя. Не обязательно, чтобы все перечисленные признаки присутствовали одновременно. Для точного определения иногда достаточно одного или двух, чтобы понять, что это за ИСПДн. Здесь мы приводим возможные признаки, по которым можно сориентироваться.

Собственные ИСПДн

Сторонние ИСПДн

Цели создания и использования определяются оператором самостоятельно (либо совместно с другими лицами, но ведущая роль остаётся за оператором).

Цели создания ИСПДн принадлежат владельцу.

 

Хранение баз данных осуществляется самостоятельно.

Оператор всегда знает, где находится ЦОД.

Базы данных хранятся у третьего лица.

 

Оператор не всегда располагает информацией о местонахождении ЦОДа.

Оператор самостоятельно обеспечивает принятие мер по защите и обеспечению безопасности ПДн в ИСПДн, прописывает регламенты работы с ИСПДн.

Оператор не может повлиять на техническую защиту и обеспечение безопасности сторонних систем (оператор может даже и не располагать полной информацией о том, какие конкретно меры принимаются)

Использование полного функционала системы, доступ ко всей системе.

Как правило, у оператора обеспечен доступ с ограниченным функционалом (например, внесение какой-либо персональной информации в соответствующие формы/разделы ИСПДНн для последующей обработки третьим лицом).

Подключение к ИСПДн происходит на основании каких-либо документов (лицензионный договор или иное).

 

Оператор по собственному желанию может расширить функционал своей ИСПДн и изменить её структуру.

 

 

Оператор может использовать ИСПДн исключительно в рамках установленного функционала и по своему желанию не может его расширить (может только представить соответствующее предложения владельцу)

Оператор не может влиять на структуру этой ИСПДн.

 Но, в контексте договорных отношений между оператором и третьим лицом возможно разделение ответственности. Рассмотрев договор с третьей стороной, можно определить, кому принадлежит система.

Например, сайт в сети Интернет, где ЦОД не принадлежит оператору. Однако фактически оператор принимает решение о том, будет ли сайт обрабатывать ПДн, включая сбор, распространение ПДн, использование метрики и т. д. В данном контексте присутствует сторонняя ИСПДн, но функциональные возможности оператора шире. Именно оператор решает, будет ли сайт использоваться как ИСПДн или просто как информационная система, где ПДн не обрабатываются.

Таким образом, здесь может быть два варианта – ИСПДн рассматривается как внутренняя система оператора и как сторонняя система. Этот вопрос может быть урегулирован с владельцем ЦОДа в рамках соответствующего соглашения.

Примеры сторонних ИСПДн

Системы туроператоров, данные в которые вносит турагент: для туроператора ИСПДн – собственная, для турагента – сторонняя.

Системы онлайн-банка, используемые для начисления зарплаты работникам: работодатель, имея удалённый доступ к системе, передаёт посредством её ПДн сотрудников для начисления зарплаты, после чего уже банк обрабатывает данные. Для банка – собственная ИСПДн, для работодателя – сторонняя.

Системы платёжных агентов ЖКХ: оператор получает удалённый доступ к части ИСПДн расчётного центра, вносит определённые данные, а расчётный центр использует их для формирования начислений и квитанций на оплату.

Если вы работаете с сервисом 152DOC – это будет являться взаимодействием со сторонней ИСПДН. В рамках этого взаимодействия вы имеете доступ только к определённой части системы и не обладаете полным доступом ко всей ИСПДн. Владельцем является ООО «Цифровые документы», которое устанавливает правила использования данной информационной системы.

Понимание этих различий играет важную роль в обеспечении эффективного управления информацией с соблюдением законодательства и минимизацией потенциальных рисков.

Такая классификация упрощает процесс формирования уведомлений для Роскомнадзора и разработки внутренних документов. Представленные признаки помогут операторам быстро определить принадлежность к собственным или сторонним ИСПДн, что является важным элементом эффективного риск-менеджмента.

Реклама: ООО «АСТРАЛ-СОФТ», ИНН: 4027145240, erid: LjN8K816z

Начать дискуссию