29.06.2011

Как регуляторы наплевали на распоряжение Гаранта Конституции

Выложили на сайте Госдумы НОВЫЙ текст законопроекта по персданным, который 1-го июля будут рассматривать во втором (и не дай, Президент, в третьем) чтении. Помимо коренной переработке 19-й статьи (даже не в том варианте, который я видел вчера), из текущего варианта пропали некоторые ранее уже согласованные моменты. Например, раньше обработка данных, подпадающих под 115-ФЗ, попадала в исключения, на которые не распространяется ФЗ-152. а сейчас это исключение исчезло ;-(

Но вернемся к ст.19. Давно я не видел столь грамотно проработанных текстов от наших регуляторов. Кто там их консультировал, интересно. Итак ключевые моменты статьи, растянувшейся на 8 (!) страниц:
  1. Оператор обязан защищать ПДн.
  2. Моделирование угроз теперь обязательно на уровне закона.
  3. Средства защиты должны пройти оценку соответствия в установленном порядке.
  4. Уровни защищенности и требования по защите устанавливает Правительство, а уже в следующем пункте Правительство делегирует это право ФСТЭК и ФСБ.
  5. Госорганы, органы власти, ЦБ, внебюджетные фонды имеют право создавать модели угроз. Они должны быть согласованы с ФСТЭК и ФСБ.
  6. Ассоциации, союзы и иные объединения операторов могут определить дополнительные угрозы. Но уменьшить ни-ни. Это угрозы тоже должны быть согласованы с ФСТЭК и ФСБ, но... в порядке, установленном Правительством. Заметили нюанс? Для госорганов такого порядка не надо. А раз у нас порядка, согласованного Правительством, нет, то... правильно, ассоциации и союзы имеют право, но не могут им воспользоваться. Регуляторы умывают руки - демократия налицо.
  7. Меры по защите не могут определять никто кроме ФСТЭК и ФСБ.
  8. В прежнем варианте контроль и надзор со стороны ФСТЭК и ФСБ был разрешен только в отношении госорганов. Но могли ли регуляторы упустить такую кормушку? Конечно же нет. И в текущем варианте ФСТЭК и ФСБ с учетом значимости и содержания ПДн решением Правительства могут быть наделены полномочиями по контролю и надзору негосударственных информационных систем.
Казалось бы новая статья ст.18.1 полностью соответствует Евроконвенции и дает право оператору самостоятельно определять состав и перечень мер, необходимых и достаточных для защиты персданных. Но регуляторы добавили маленький такой штришок и картина поменялась. Теперь оператор может все определять самостоятельно "если иное не предусмотрено настоящим федеральным законом".

Редко регуляторы от меня дожидаются похвалы, но сейчас я снимаю перед ними шляпу. Они предусмотрели почти все, чтобы занимательная арифметика трехлетней давности воплотилась в жизнь.

Честно говоря, данные поправки перечеркнули все те благие начинания, к которым были причастны многие читатели этого блога (включая и меня), входящие в разные рабочие группы и комитеты. Да, с точки зрения защиты прав оператора ПДн ситуация стала полегче, но с точки зрения защиты самих ПДн ситуация ухудшилась по сравнению с 58-м приказом. Теперь никаких виляний в сторону и попыток творческого подхода к чтению законов. Ситуация изменилась; и в худшую сторону.

ЗЫ. Сейчас именно тот случай, когда я уже не ратую за скорейшее принятие этого законопроекта. Лучше бы в пятницу его завернули и отложили до осени. Иначе принятый в спешке закон такого шороха всем даст, что мало не покажется.

51 коммент.:

Ригель комментирует...

Где принимают ставки, что третьего в пятницу не будет? Я бы поставил.

Алексей Лукацкий комментирует...

В любой букмекерской конторе.

Алексей Волков комментирует...

А что изменится-то? Вот тебе и революция. Смысл отраслевых стандартов полностью нивелирован, ущерб субъекту - полностью исключен, а все ЛООПДППО по идее попадают на лицензию по ТЗКИ, поскольку деятельность по защите ПДн они должны будут вести не на основе стандартов (идет четкий отсыл на статью 19) и не в собственных интересах (нуждах), а в интересах другого лица - со всеми вытекающими.

Алексей Волков комментирует...
Этот комментарий был удален автором.
Ригель комментирует...

Если смотреть на закон и не смотреть на РД регуляторов (что, конечно, сложно - я понимаю), то баланс интересов операторов и субъектов продолжает стремиться к нормали. Был вдруг перевес в пользу первых - вернули.

Алексей Лукацкий комментирует...

Алексей, ты пока не торопись. Все еще может поменяться. Как уже поменялось на этой неделе один раз.

Ригель, нет баланса ;-( Он есть в Конвенции, но не в ФЗ-152

Ригель комментирует...

Я в более широком смысле. Вот если абстрагироваться пока от конкретики РД, государство устанавливает минимальные требования, выше которых можно, ниже нет - это плохо? Как принцип.

Алексей Лукацкий комментирует...

Ну в США принцип иной - делай что хошь, но если по твоей вине нанесен ущерб субъектам, к тебе придут и накажут.

В Европе подход промежуточный. Защищаться должен. Но решай сам, как. Уполномоченный орган РЕКОМЕНДУЕТ, но не обязывает различные стандарты.

Ригель комментирует...
Этот комментарий был удален автором.
Ригель комментирует...

Примерил это на ПДД, занятно.

"В США государство не определяет, на какой сигнал ездить, а если что-то случается, нагревает на этом руки.

В Европе государство не рекомендует ездить на красный, но пусть все решают сами."

Пешеходу это должно нравиться?

Алексей Лукацкий комментирует...

Если его не давят, ему пофигу. А если давят, то он жалуется и нарушителю мало не покажется. А у нас накажут за непристегнутый ремень, а за наезд можно отмазаться ;-(

Ригель комментирует...

Это правильная претензия, но не к ФЗ (ПДД).

Ren комментирует...

От чтения данного документа остается какое-то мерзостное ощущение. Не хочется верить в то, что его могут принять в такой форме.

p.s. Там ещё Банк России пролез в 4 статью. Даст ли такая формулировка возможность игнорировать 19 статью?

Ren комментирует...

точнее не игнорировать, а вольно интерпретировать

Алексей Лукацкий комментирует...

В этом пункте ЦБ дается право создавать свою модель угроз, РАСШИРЯЮЩУЮ ФСТЭКовскую/ФСБшную. Про меры защиты там ни слова ;-( А вот меры по защите могут разрабатывать АРБ, союзы и другие объединения. Но ЦБ не относится ни к одним из них. Но зато он свой СТО проводит под закон об НПС. Так что хитросплетений масса ;-(

A комментирует...

Кто-нить ссылку то на законопроект может дать?

Алексей Волков комментирует...

Да здесь он... http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02

Третьего чтения не будет - во всех сопроводиловках идет "принять во втором".

Алексей, я и не тороплюсь - помирать нам рановато :) Но то, что опубликовано, повергает меня в определенное состояние, которое мне не нравится.

Ригелю отвечу у себя.

Андрей Абрамов комментирует...

Алексей, а где в тексте написано про оценку соответствия, в упор не вижу (пункт 3 поста)?

Андрей Абрамов комментирует...

Я взял текст с сайта госдумы, у Вас другой текст?
И про моделирование угроз не вижу...

Алексей Волков комментирует...

34-я страница. 3-й пункт, вносящий изменения в ст. 19.

Алексей Волков комментирует...

Все там есть, может, не то взяли?

Андрей Абрамов комментирует...
Этот комментарий был удален автором.
Андрей Абрамов комментирует...

простите, нашел... без 1/2 литра...

Ригель комментирует...

Моделирование угроз - это оценка рисков на самом деле. Оценка рисков - это единственный нормальный подход к обеспечению безопасности.
"Ай-яй-яй, какой ужас: государство не разрешает нам защищать ПДн, как вздумается левой ноге, а хочет обоснованного с т.зр. оценки рисков!".
Субъекты в моем лице [недоум]евают.

ZZubra комментирует...

РИГЕЛЬ - СУПЕР РЕСПЕКТ!!!!

Одного не пойму.
1. Разрабатывался закон о полиции. Сделели всенародное обсуждение - т.к. касается прав всего народа. ОК.
2. Законопроект об образовании - аналогично.
3. закон о персональных данных, стоящий в Конституции рядом с двумя предыдущими требованиями (безопасность, ограничение прав, образование) даже никто всенародно пообсуждать не предлагает. Чай бояться лоббисты народа...

Сергей комментирует...

Оторвать регуляторов от кормушки очень сложно. Декларация о рыночной экономике - бред, почему не используют рыночные механизмы в ЗоПДн? Это деньги, регуляторов и интеграторов. Свой кусок они не отдадут.

Шауро Евгений комментирует...

Про гаранта конституции, надо полагать, имелось в виду его указание разрулить тему к 1 августу?

Алексей Волков комментирует...

ZZubra: а скажите, какой-то толк от всех этих обсуждений был? Отвечу за Вас - не был.

Алексей Волков комментирует...

Оценка рисков - хороший подход к обеспечению безопасности. Но в прадигме "защита данных ради данных" это бессмысленно. Основной критерий оценки рисков - вероятность утечки/искажения/уничтожения - остался неизменным, и прописан в законе. А должен быть - ущерб субъекту.

Вред и ущерб - не одно и то же. И потом - этот вред встречается вскользь, а обязательные методы защиты - строго установлены. Нафига тут моделирование - даже сами разработчики не знают. Наверное, чтоб создать иллюзию ИБ.

Шауро Евгений комментирует...

Вот его указание "Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных."

ZZubra комментирует...

Вот тут Алексей Вы не правы. Те правки в ФЗ о полиции какие я написал приняли. Хоть и немножко изменив формулировку.
И к изменениям в закон об образовании в связи с ЕГЭ удалось приложить руку.
Так что не надо отпихивать субъекта от возможности влиять на реализацию его конституционных прав.

Алексей Волков комментирует...

ZZubra: Может быть. Но разве от поправок стало лучше? Решились все проблемы и с полицией, или с ЕГЭ? Они позволяют думать что мы влияем на процесс путем принятия незначительных косметических поправок, не меняющих сути. Мы – радуемся. Ваши поправки привнесли свщественную новизну в сложившуюся систему?

Алексей Волков комментирует...

Шауро Евгению: Устранение необоснованных обременений. Ключевое слово – необоснованных. То есть если обоснованны – то можно. Чьи обоснования наиболее веские? Ясен пень. Так что это поручение – прогон.

Шауро Евгений комментирует...

Лучше бы закон отложили на год как с сделали ТО. А после выборов страна вернется к обсуждению.

pushkinist комментирует...

мне вот не очень понятно, вот эти все лоббисты-либералисты у них вообще никакой власти нет чтоли? или как?

Сергей комментирует...

Спешка принятия закона вызвана опасением регуляторов, что ДАМ умерит их аппетиты.

Ригель комментирует...

Алексей Волков писал:
> Основной критерий оценки рисков - вероятность

Переверни страницу, второй - опасность ))

e1am0 комментирует...

У меня может и глупый вопрос, но для собственника-владельца основной - чего стоит забить болт на этот закон для предприятия, пдн в котором только от работников и посетителей в бюро пропусков?

Алексей Лукацкий комментирует...

pushkinist: В Правительстве есть такой лоббист, что либералы вместе взятые отдыхают ;-(

Сергею: Есть шансы, что ДАМ умерит. Главное, пораньше.

Ригелю: Ты прав, но... результат моделирования в текущем варианте никого не волнует. Перечень защитных мер УЖЕ разработан и предлагается как обязательный. Ты можешь только его расширить, но не уменьшить.

e1am0: Ничего не стоит. Многие так и делают. Но многие все-таки законопослушны.

doom комментирует...

>e1am0: Ничего не стоит. Многие так и делают.

Не соглашусь. Это будет очень классный повод для наезда на контору, который может привести к последствиям вплоть до закрытия - поэтому если есть явные конкуренты либо недоброжелатели среди органов власти, то лучше не рисковать. Хотя понятно, что никому не охота просто "для галочки" покупать какие-нибудь Secret Net'ы пусть даже и в небольшом количестве.

Алексей Лукацкий комментирует...

Закрыть контору за это нельзя. Можно максимум, приостановить деятельность, и то - это крайний случай и то, по части ФСТЭК/ФСБ. На моей памяти такого не было ни разу. Ни один суд такого решения не примет - очень уж оно спорное. И оспаривается легко.

Алексей Волков комментирует...

Второе чтение Резника - завтра. http://www.duma.gov.ru/news/273/87088/

pushkinist комментирует...

"это будет очень классный повод для наезда на контору, который может привести к последствиям вплоть до закрытия - поэтому если есть явные конкуренты либо недоброжелатели среди органов власти, то лучше не рисковать."

таких классных поводов кроме персональных данных 9000+, и те проще в сто раз.
ни разу за это никого не закрывали

Шауро Евгений комментирует...

Когда у них там рабочий день заканчивается, чтобы понять статус по документу.
Гарант то сейчас во Владике с айфоном.

AnsNet комментирует...

Алексею Волкову
С каких это пор критерий риска - вероятность? Риск - это вероятный ущерб. И попробуйте его посчитать количественно.Только субъективно - низкий, средний, высокий. Или в диссертациях - "страшные" формулы с некорректными условиями применения.

Алексей Лукацкий комментирует...

Ущерб считается элементарно. Только у безопасников исходных данных нет. Они есть у финансистов, с которыми безопасники не умеют дружить или договариваться

AnsNet комментирует...

А вообще - у Вас замечательный блог. Жаль, раньше он мне не попался.

Алексей Лукацкий комментирует...

Ну он не единственный. Вот тут (http://zlonov.ru/%D0%B1%D0%BB%D0%BE%D0%B3%D0%B8/) еще много ссылок на российские блоги.

Борис Сухинин комментирует...

Я так понимаю, законопроект принят в 3 чтении и направлен в СФ (http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02).

Особо понравилась ст. 19 (ссылаюсь на вариант к 3 чтению):
ч. 2, п. 2 -- модель угроз случайно выпала;
ч. 2, пп. 3, 4 -- видимо, подразумевается сертификация и *аттестация*;
ч. 9 -- "без права ознакомления" -- на это интересно будет посмотреть.

Вопрос к Алексею Лукацкому: "Ущерб считается элементарно" -- как можно оценить ущерб, нанесенный субъекту персональных данных? Для меня, например, разглашение медицинской информации (да хоть всей карточки) никакого особого ущерба не нанесет (ну разве что моральный), а для кого-то ущерб может оказаться весьма существенным.

Алексей Лукацкий комментирует...

Так ущерб нельзя считать "вообще". Считать надо в каждом конкретном случае. В вашем случае он равен нулю. Кто-то посчитает, что ущерб равен миллиону рублей. Моральный ущерб практически никогда не обосновывается, в отличие от материального.

Но, если честно, про ущерб я писал неприменительно к ПДн. По ПДн я всегда считал и считаю, что ущерба субъекту почти нет (за редким исключением).

vitaal комментирует...

Алексей, добрый день!
Приведу свое мнение о толковании новых статей ФЗ:
Статья 18.1. закрепляет свободу Оператора в отношении перечня мер. Иное предусматривается только ФЗ. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
Далее, здесь же устанавливается, что Правительство устанавливает перечень мер необходимых для муниципальных и государственных операторов.
Название статьи 18.1 и нормы, содержащиеся в ней, имеют общий характер по отношению к статье 19 и ее нормам, которые являются специальными.
Следовательно, п. 3, п. 4 ст. 19 регулируют действия Правительства исключительно в рамках полномочий, установленных статьей 18.1., а именно в отношении государственных и муниципальных операторов.
И еще один аргумент: если иное устанавливается ФЗ, то в ФЗ же прямо должно об этом прописываться. При отсылочном характере нормы в ФЗ на иные нормативные акты, на мой взгляд, она вступает в противоречие с нормой об исключительной обязательности требований, содержащихся именно в ФЗ.