12.10.2010

Как полезно иногда читать "старые" законы - 2 или почему можно не использовать сертифицированные средства защиты?

Продолжаю тему, начатую в четверг... Пообщался я с коллегами, которые сейчас анализируют поправки в законодательство по информационной безопасности, и ткнули они меня в интересный пункт не только ФЗ-149, но и ГК РФ. Дальше я добавил к этим двум пунктам еще свои изыскания и получилось вот что:
  1. Ст.3 ФЗ-149 говорит нам, что недопустимо установливать нормативными правовыми актами какие-либо преимущества применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
  2. Ст.6.3 ФЗ-149 говорит, что только обладатель информации, если иное не предусмотрено федеральными законами, определяет порядок и условия доступа к информации.
  3. Ст.16.5 ФЗ-149 говорит, что ФСБ и ФСТЭК устанавливают требования по защите информации для государственных информационных систем. Про обязательность требований ФСБ и ФСТЭК для негосударевых ИС в законе ни слова.
  4. Ст.49.2 ГК РФ говорит о том, что "юридическое лицо может быть ограничено в правах лишь в случаях и в порядке, предусмотренных законом".

И, наконец, смотрим на ст.16.6 ФЗ-149, которая гласит что "федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации".

К какому выводу мы приходим? Правильно. Применение средств защиты (сертифицированных или несертифицированных) находится полностью в ведении обладателя информации, т.е. "лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам".

Но у нас же есть Приказ 199 ФСТЭК, документы ФСБ и даже неуловимое Постановление Правительства 330?.. Безусловно есть. Только вот вышеприведенные ФЗ-149 и ГК РФ четко говорят, что любое ограничение (а использование сертифицированных СЗИ - это именно ограничение) должно быть указано в федеральном законе и никак иначе. А даже Постановление Правительства имеет меньшую юридическую силу, чем закон.

    21 коммент.:

    Baevsky комментирует...

    Ура! про ГК я знал, но юристы разводили руками! Спасибо! Теперь нужны судебные прецеденты.

    ЕвгенийКР комментирует...

    Отличная статья, с анализом законодательства

    Joky комментирует...

    1,2 и 3 пункты не в тему, если внимательно читать и не притягивать за уши. ИМХО.

    4 пункт спорный - является ли ограничением в правах юрлица требование применять прошедшие оценку соответствия средства, ведь выбор все равно остается и возможность реализовать право обработки ПДн тоже?

    Ст. 16.6 ФЗ-149 интересней. Вот только лучше бы она звучала так "Только федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации".

    Кстати, подняв сейчас эту тему, как бы напоминаем регуляторам внести еще одну поправку в ФЗ-152 - об оценке соответствия средств защиты :).

    Baevsky комментирует...

    Joky: Аргументируйте!

    Joky комментирует...

    А какие аргументы здесь, кроме того что эти пункты перечислены? Я вот их прочитал и не вижу, каким образом они позволяют применять не сертифицированные средства?

    Но если хотите...

    п.1 Установить обязательность применения определенных инфотехнологии - это например написать, что все персданные обрабатывать только в терминальном режиме. Или например только в виртуалке, только в СУБД промышленного типа и т.п.

    А требование об оценке соответствия - это свойство, которое должно быть у любых инфотехнологий, которые будут применяться для защиты.

    п.2 Ну так иное и предусмотрено п.2 ст.19 ФЗ-152. В отношении остальной своей информации обладатель может делать, что хочет.

    п.3. Статья 16.5 ФЗ-149 говорит, что "ФСТЭК и ФСБ устанавливают требования для государственных информационных систем".
    Не более и не менее. Где здесь написано, что в другом законе за ними не может быть закреплено право и обязанность устанавливать требования для других информационных систем?

    ЕвгенийКР комментирует...

    Joky: вообще-то более четкие требования установление для гос. учреждений... некомерч. организации, юр. л и физ. лица могут применять не сертифицированные средства, могут применять любые средств для защиты ПДН, в том числе ПО не российского производства.

    Joky комментирует...

    ЕвгенийКР:
    Да могут конечно, я разве спорю...

    А еще каждое физлицо может в телескоп посмотреть на солнце. Правда всего два раза, но это ведь мелочи, правда? :)

    Алексей Т. комментирует...

    ФСТЭК в последнее время пытается притянуть ПДн как раз в государственные информационные ресурсы, которые у нас также очень странно учитываются... В общем в мутной воде мы ловим рыбу. :-)

    Алексей Лукацкий комментирует...

    Joky: По п.3. Я же не написал, что не надо нигде и никогда использовать сертифицированные СЗИ. Надо. Только при условии, что это "надо" прописано в каком-либо законе. Так вот таких законов пока нет. А раз нет, то никаких ограничений на уровне нижестоящих нормативных актов быть не должно.

    Алексей Лукацкий комментирует...

    Ну натянуть ПДн на ГИР - это сильно ;-)

    Алексей Волков комментирует...

    Два юриста - три мнения :) Нужны судебные прецеденты. Спасибо Алексею за пост - поставлю себе на вооружение.

    ZZubra комментирует...

    А разве у нас прецендентная судейская система? Можно приводить неограниченное число случаев, когда по одинаковым делам выносятся разные решения.
    А еще, раз уж стали собирать законы в кучку, мало рассматривать только 2-3 федеральных закона. Надо хотя бы собрать все законы по теме.
    И последнее. Так ни от кого и не могу добиться пояснения законодательного выверта: ФЗ перекладывает (делегирует) определение порядка обработки персональных данных на орган исполнительной власти в конкретной ситуации. И как рассматривать подзаконный акт, который выпускает этот орган? Что требования установлены ФЗ или не ФЗ? Если второе - очень всем тяжело будет.

    marty комментирует...

    ПП300 ввело в действие положение об особенностях оценки соответсвия продукции .... Так вот в п.1 сказано: Настоящее положение не распространяется на продукцию (работы, услуги) используемую в целях защиты информации конфиденциального характера, не являющейся ГИС и (или) персональными данными, а так же на связанные с ней процессы.Следует ли из этого , что ПП300 не распространяется на СЗПДн?

    Алексей Лукацкий комментирует...

    Двойное отрицание. Убирайте два "не" и получаете, что ПП-330 именно на ГИР и ПДн и распространяется.

    Алексей Волков комментирует...

    Алексей, Ваш пост я направил трем юристам. Один из них согласился с Вашим мнением, второй - в отпуске и велел не мешать ему отдыхать :) ну а третий сказал буквально следующее:

    "Внимательно читайте определения и оценивайте смысловую нагрузку. Слова "установлена" и "предусмотрено", встречающиеся в 149-ФЗ относительно сертифицированных СЗИ, и слово "указано в ФЗ" - разные вещи: первые два не предполагают непосредственного указания в тексте ФЗ детализованных требований. Поэтому фраза "должно быть указано в федеральном законе и никак иначе" - не соответствует действительности. 152-ФЗ - федеральный закон, в нем если угодно "указано", что требования к технической защите ПДн определяют ФСБ и ФСТЭК - с юридической точки зрения, этого вполне достаточно для реализации положений 149-ФЗ - так как это означает, что требования "установлены" и "предусмотрены" в 152-ФЗ, с дальнейшей их расшифровкой в подзаконных актах. Любой суд скажет именно так."

    Вот такое мнение.

    Алексей Лукацкий комментирует...

    Ну то есть такая точка зрения имеет право на существование ;-) Уже неплохо.

    Алексей Волков комментирует...

    :) имеет, как и любая другая. Кстати, в 1 части, где в комментариях avetjan писал про статью 9 в отношении того, что якобы "149-ФЗ идет лесом, если дело касается ПДн" - это действительно так, ибо п. 9 ст. 9 "Ограничение доступа к информации" говорит нам: "Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных". Мы все учились по-немногу :)

    Алексей Лукацкий комментирует...

    А как использование СЗИ связано с порядком доступа к ПДн?

    Алексей Волков комментирует...

    Никак. В 1 части "старозаконной" серии речь шла об общедоступных данных ;)

    bmi комментирует...

    Хороший анализ, только зря Вы, господин хороший, умы смущаете. Проверять соответсвие ИСПДн предъявляемым требованиям придет не правозащитник, а регулятор, которому Ваши рассуждения представятся, по крайней мере, неубедительными.
    Имхо, Вы оказываете операторам ПДн медвежью услугу, провоцируя их на лишние конфликты с регулятором.
    Если Вы действительно хотите помочь, то обратитесь в суд с иском о признании не обязательности применения для защиты ИСПДн сертифицированных средств защиты, выиграйте его и операторы ПДн Вам до земли поклонятся, а лицензиаты регуляторов с удовольствием к ним присоединятся.
    А так, уж извините, от Ваших мыслей пользы то нет, вред один.....

    Алексей Лукацкий комментирует...

    bmi: Уважаемый, мне, честно говоря, все равно, что думают регуляторы, если они при этом нарушают законодательство, которое они же и призваны защищать. И если регулятор в лице ФСТЭК в Новосибирске может с трибуны заявлять, что на обновление антивируса нужна лицензия ФСТЭК, то мне жаль и регулятора и того, кто прислушивается к такому мнению регулятора.

    Что же касается обращения в суд, то вы путаете романо-германское право с англо-саксонским. Именно в последнем есть система прецедентов, когда однажды принятое решение влияет на все последующие. У нас же все по другому и принятое в отношении моего иска решение никак не влияет на все последующие. За исключением только одного случая - решение является разъяснением Верховного Суда (хотя с ними-то не все просто).