Закон регулирует отношения связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств.

Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Ответ. Любую комбинацию типа ФИО + номер одного из указанных документов, я бы отнес к категории 3, поскольку такая комбинация во-первых - уникальна, а во-вторых – однозначно идентифицирует субъекта. Любой из этих номеров, конечно же, уникален, но без ФИО никак человека не идентифицирует. Для идентификации понадобится база данных, содержащая список таких номеров и привязанные к ним ФИО. А вот если комбинация будет ФИО+ номер + еще номер, то это уже 2 категория персональных данных.

Ответ. Как Вы понимаете, всё, что у нас есть – это Приказ ФСБ/ФСТЭК/МинСвязи от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Весь вопрос в трактовке. Мы понимаем это так. Возьмем, к примеру, любую анкету. Идентифицировать субъекта можно по его ФИО + паспортные данные, или по ФИО+ адрес и год рождения (тогда это категория 3 ПДн). Все остальное, сведения об образовании, о местах работы, о размерах заработка, номера телефонов, других документов – все это дополнительная информация о субъекте (категория 2 ПДн). Иными словами мы подходим к вопросу категоризирования данных с точки зрения необходимости и достаточности. Если каких-то данных достаточно для идентификации субъекта и они остро необходимы для такой идентификации = категория 3. Всё, что идет сверху – дополнительная информация и категория 2.

Ответ очень простой – К3. Это классическая типовая система, где Хпд=3, поскольку данные только идентифицируют личность, а Хнпд=2, т.к. количество обрабатываемых записей – от 1000 до 100000.

Ответ. Такая система относится к ИСПДн класса К3 и требует точно такого же обращения, как и все остальные. Вам необходимо будет разработать нормативные документы, а также выполнить требования ФСТЭК по защите однопользовательской ИСПДн класса К3. Плюс, домашний ПК директора наверняка имеет выход в интернет, что требует также дополнительной защиты. Стоит обдумать вариант с бумажным ведением кадрового учета (хотя бы декларативно).

Как определить границы ИСПДн? Если в учреждении имеется много различный баз данных будет ли каждая база данных - ИСПДн или можно все базы данных в учреждении считать как единую ИСПДн учреждения? Соответственно если ИСПДн в учреждении много как определить границы (сетевое оборудование, сервера будут находиться одновременно в нескольких ИСПДн) и еще вопрос если ИСПДн много, аттестовать придется каждую в отдельности?

В требованиях по обеспечению безопасности ПД при их обработке в ИСПДн есть четкий регламент – разные ИСПДн должны быть отделены друг от друга межсетевыми экранами. В случае если у Вас все базы данных находятся в одном сегменте сети, то они все будут являться подсистемами единой ИСПДн. И будут классифицироваться по максимальному классу ИСПДн, входящей в состав общей. Другими словами, если у Вас 2 базы данных (подсистемы), классифицированных по классу К2 ИСПДн, и одна – классифицированная по классу К1 ИСПДн, то и вся общая единая ИСПДн будет соответствовать классу К1 с соответствующими требованиями по защите. С другой стороны, в федеральном законе №152 «О персональных данных» есть статья 5 «Принципы обработки персональных данных», один из которых звучит как
«недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных». Соответственно, нужно определить цели создания Ваших баз данных и, если для отдельных баз они будут несовместимы, то придется производить сегментирование и отделять их друг от друга.

На вопрос по аттестации – Вы будете аттестовывать информационную систему. Если у Вас ИСПДн будет много, то и аттестовывать придется их все. Если же они будут признаны подсистемами одной единой ИСПДн, то аттестуете ее одну.