27.07.2011

Поправки в ФЗ-152: раунд второй

После нашего второго письма в сторону Президента с просьбой не пересылать его по подведомственности в Минкомсвязь в адрес «пяти экспертов» посыпались звонки из Минкомсвязи с просьбой разъяснить, что происходит и почему в Минкомсвязь идет такой поток запросов из Администрации Президента. Мы пояснили, что и как, и нас пригласили на встречу с целью обсуждения, как из обычных критиков законопроекта мы можем превратиться в экспертов, реально помогающих выполнить распоряжение Президента по ускорению решения вопроса с законодательством по персданным.

Представители "братства пяти" ;-) были на встрече, на которой не только прозвучало, что закон уже подписан (а было это в прошлый четверг), но и было предложено поработать над рекомендациями по реализации положений нового закона о персданных. Дабы отдельные ретивые апологеты гостайны не обвиняли нас в дешевом популизме и пиаре, мы решили поучаствовать в процессе (хотя не все из нас разделяют мой оптимизм, что через Минкомсвязь мы сможем поменять ситуацию с уже подписанным ФЗ).

Исходя из предпосылки, что закон уже не поменяют и надо жить с тем, что есть, мы решили подготовить некоторые предложения, которые хоть как-то могут исправить сложившую ситуацию. Наши предложения были следующие:
  1. Внести в КоАП и УК РФ ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.
  2. Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».
  3. Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР, РСС и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.
  4. Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.
  5. Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие фактов утечек ПДн субъектов.

Из Минкомсвязи достаточно оперативно последовал ответ, что это все лозунги и им нужно описание не того, ЧТО нужно сделать, а конкретное описание того, КАК это сделать (конкретные методики, формулировки статей). В течение дня мы подготовили и это. В частности, по формулировкам статей наш предварительный вариант такой - статью 13.11 изложить в следующей редакции:
«Статья 13.11. «Нарушение установленного законом порядка обработки персональных данных»
1. Нанесение ущерба субъекту персональных данных вследствие нарушения установленного законом порядка обработки информации о гражданах (персональных данных) влечет наложение административного штрафа
на граждан в размере от трех тысяч до десяти тысяч рублей;
на должностных лиц – от пятидесяти до ста тысяч рублей;
на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица – от ста до двухсот тысяч рублей или административное приостановление деятельности на срок до 90 суток;
на юридических лиц – от трехсот тысяч до пятисот тысяч рублей или административное приостановление деятельности на срок до 90 суток.

2. Неуведомление субъектов персональных данных по факту устранения нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных, влечет наложение административного штрафа
на граждан в размере от двух тысяч до пяти тысяч рублей;
на должностных лиц – от десяти до двадцати тысяч рублей;
на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица – от пятидесяти до ста тысяч рублей или административное приостановление деятельности на срок до 90 суток;
на юридических лиц – от ста тысяч до трехсот тысяч рублей или административное приостановление деятельности на срок до 90 суток».

Собственно мы посоветовали убрать порочную практику наказания за невыполнение буквы закона и перейти к практике наказание за реальное нанесение ущерба субъектам ПДн.

По 3-му пункту нашего предложения конкретика может быть получена только после формирования рабочей группы (рабочих групп) по разработке уровней защищенности и перечня требований по защите ПДн для различных отраслей экономики. В качестве первого шага, мы написали, что считаем необходимым признать уже разработанные отраслевые стандарты Банка России, НАПФ, НАУФОР, ИКС (НИР Тритон) в качестве перечня требований по защите ПДн в финансовой отрасли, для негосударственных пенсионных фондов, для участников фондового рынка и для операторов связи.

Наконец, по второму пункту, двое из подписантов открытого письма - Алексей Волков и Александр Бондаренко, поделились описанием методики оценки воздействия нарушений, связанных с обработкой ПДн, на примере уже существующего и апробированного в Великобритании документа.

Теперь мы ждем реакции на наши вполне конкретные предложения.


32 коммент.:

vsv комментирует...

Про ущерб и штрафы.
Посмотрим, а как же с этими вопросами ”там”, у “них” (Эх, нет пророка в своем отечестве …). Как говорит в одной из своих публикаций Д. А. Тогер [tigger-66], «”Там”, конечно, тоже люди не безгрешны, но на их стороне большой опыт, большая консолидация и практика применения (в том числе и судебная)». Последуем разумному совету. Для начала, ка дела в Испании. Закон Испании предполагает, что «…субъект ПДн …, которому нанесен материальный ущерб …, имеет право на возмещение нанесенного ущерба. … ответственность определяется … в судебном порядке.» Датчане, поступили еще проще : «Оператор возмещает любые убытки, вызванные обработкой данных в нарушение положений закона…» Аналогично в Финляндии : «Ответственность за причиненный ущерб регулируется … Законом о возмещении ущерба». Этот можно продолжать, но побережем место. Как видно, в старушке Европе НЕ ГОВОРЯТ в своих Законах о ПДн как возмещать ущерб, а дают отсылку к действующим системам возмещения ущерба. А у нас? «Лица, виновные в нарушении требований настоящего ФЗ, несут предусмотренную законодательством РФ ответственность. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, … подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков». А в ГК РФ (ст. 15) как раз и говорится, что «Лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков». (Обратите внимание: не УЩЕРБА, а УБЫТКОВ. Убыток – выраженный в денежной форме ущерб, который причинен одному лицу противоправными действиями другого лица. Убыток включает: 1. Расходы, произведенные кредитором. 2. Утрату или повреждение имущества. 3. Доходы, которые он получил бы, если обязательство было бы выполнено должным образом (неполученная прибыль), 4. Расходы на восстановление нарушенных прав.) И в чем разница нашего от “тамошнего" законодательства? И зачем говорить, что «Закон не определяет ответственности за ущерб», когда это не так? Может быть и Испанское, Датское, Финское законодательство тоже не соответствует Конвенции? Плох не Закон О ПДн, а то, что обращений в суды нет. Не верят нашим судам? Возможно. Значит надо укреплять доверие к судебной системе, разъяснять людям права, оказывать содействие в решении вопросов компенсации ущерба (так, как это делает Общество защиты прав потребителей, организуя правовую поддержку обиженных покупателей). Вот это будет действенная помощь субъектам ПДн.
Вернемся к штрафам. Штрафы в сфере выполнения требований по обработке ПДн это не «ноу-хау» российских законодателей. Аналогичная система предусмотрена законами Испании, Дании, Финляндии и многих других, не буду подробно это описывать. Штраф, по своей сути, это санкции за невыполнение принятых (или установленных) обязательств и он никоем образом не связан с компенсацией ущерба. Обязательства оператора прописаны в законе, в том числе: принимать необходимые организационные и технические меры защиты. Поэтому и наказывают именно за невыполнение мер, а не за причиненный ущерб (ущерб компенсируется). Здесь состав правонарушения именно в том, что предписанные законом требования не выполнены. И это совсем не означает, что законодатель ставит исполнение требований превыше всего, наоборот, здесь защита интересов субъекта ПДн, обязывая (превентивно) оператора исполнять требования, что бы не было утечек и противоправных действий под угрозой штрафа. Надо бороться за увеличение штрафов, а не за привязку их к ущербу.

И еще, УК - ищет и наказывает виновного, поэтому и состав правонарушения привязан конкретно к личности. Нельзя по КУ осудить юридическое лицо! А ГК, в свою очередь, регулирует отношения между субъектами, которым может быть и юридическое лицо. И вопросы возмещения ущерба (убытков) это компетенция ГК РФ, но там она прописана...

Алексей Волков комментирует...

> Значит надо укреплять доверие к судебной системе, разъяснять людям права, оказывать содействие в решении вопросов компенсации ущерба (так, как это делает Общество защиты прав потребителей, организуя правовую поддержку обиженных покупателей).

Для этого нужно прежде всего создать методику оценки ущерба.

> Штрафы в сфере выполнения требований по обработке ПДн это не «ноу-хау» российских законодателей.

Зато сами требования - ноу-хау.

> Надо бороться за увеличение штрафов, а не за привязку их к ущербу.

Одно дело - штраф за отсутствие защиты, и другое - штраф за отсутствие определенной модели сертифицированного СЗИ как средства защиты.

vsv комментирует...

А. Волкову.

"Для этого нужно прежде всего создать методику оценки ущерба"

Согласен, неполохо бы!

"Одно дело - штраф за отсутствие защиты, и другое - штраф за отсутствие определенной модели сертифицированного СЗИ как средства защиты."

А где у нас в КоАП (а штрафы все только через КоАП) статья про сенртифицированные СЗИ?
Ст. 13.11. "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах" или 13.12 Нарушение правил защиты информации" (там, кстати в п. 2 говорится: "Использование несертифицированных информационных ситем, баз и банков данных ..." Не СЗИ, а именно ИС. Это явная ошибка: ИС просертифицировать нельзя. Вот и поле для работы: правильно причесать эту статью...)

Борис комментирует...

Уважаемые эксперты в области ИБ, Вы слишком далеки от российской действительности. Смотреть на запад это безусловно хорошо, но понимать что происходит в свой стране гораздо важнее. Часто Вы проводили аудиты ИБ в замкадье? Знаете ли Вы как воспринимают закон там, что он собой привнёс? Сомневаюсь. Много ли будет судебных исков от граждан с правосознанием нынешнего уровня?

avetjan комментирует...

Борис +1
Но как однажды справедливо заметил автор блога: "Слушают того, кто говорит"...

avetjan комментирует...
Этот комментарий был удален автором.
Алексей Волков комментирует...

> А где у нас в КоАП (а штрафы все только через КоАП) статья про сенртифицированные СЗИ?

Сергей Викторович, не лукавьте. Есть штрафы за неисполнение требований, в требованиях есть оцененные СЗИ, и де-факто (а скоро будут и де-юро) они только обязательно сертифицированные.

Борису: я вообще-то из заМКАДья, и по России-матушке с аудитами езжу каждые 2 месяца, так что с этим все в порядке.

Борис комментирует...

Алексей Волков пишет...
Борису: я вообще-то из заМКАДья, и по России-матушке с аудитами езжу каждые 2 месяца, так что с этим все в порядке.

И часто Вы проводили аудит в организациях которые 2ой раз слышат о ЗоПДн? Если да, то должны знать, что на принятие мер по безопасности их в большинстве своем толкнул страх перед проверками регуляторов или указание сверху, по схожим мотивам. Про размер штрафов они и знать не знают, но раз будут проверять-нужно делать.
Это Россия, блин.

Борис комментирует...

Алексей Волков пишет...
Борису: я вообще-то из заМКАДья, и по России-матушке с аудитами езжу каждые 2 месяца, так что с этим все в порядке.

И часто Вы проводили аудит в организациях которые 2ой раз слышат о ЗоПДн? Если да, то должны знать, что на принятие мер по безопасности их в большинстве своем толкнул страх перед проверками регуляторов или указание сверху, по схожим мотивам. Про размер штрафов они и знать не знают, но раз будут проверять-нужно делать.
Это Россия, блин.

Сергей Викторович, не лукавьте. Есть штрафы за неисполнение требований, в требованиях есть оцененные СЗИ, и де-факто (а скоро будут и де-юро) они только обязательно сертифицированные.

Давайте поговорим через 5 лет, почему это до сих пор не работает (с)

vsv комментирует...

А. Волкову:
Да, в требованиях есть оцененные СЗИ, но КТО сказал о конкретных типах этих СЗИ? Оцененные (и это, в принципе правильно, я уже об этом как-то писал: сам по себе ни субъект, ни оператор, ни даже РКН не в состоянии оценить на сколько выполняются тем или иным средством функции безопасности и они все ВЫНУЖДЕНЫ прибегать к услугам экспертов, которые могут провести такую оценку.) это не значит плохие. Тем более, что МНОГИЕ производители УЖЕ прошли такую процедуру оценки. Давайте лучше бороться за создание правильной системы оценки (кроме сертификации), двайте писать регламенты декларирования, процедуру оценки при вводе в эксплуатацию и прочее. Пользы будет больше, да и закон в этой части может, как ни странно помочь...

Алексей Волков комментирует...

Борису: так задача как раз и состоит в том, чтобы заработало.

Алексей Волков комментирует...

> может, как ни странно помочь...

Может и давайте, если не будет в подзаконнике написано "обязательная сертификация". А он уже есть - ПП330, хоть Вы и сторонник того, что он на ПДн не распространяется. Осталось только гриф снять.

Борис комментирует...

Коллеги, Вы же все прекрасно понимаете ситуацию с регулятором из 5 букв, ну не будет этих штрафов.

Алексей Волков комментирует...

Это неизвестно. Сейчас непонятно, кто вообще будет это все проверять. Может, даже РКН. Или другая трехбуквенная контора.

Сергей комментирует...

Алексей, а что в этот раз убережет законопроект от попадания в руки регуляторов перед 3-м чтением?

Алексей Лукацкий комментирует...

Сергей Викторович, я даже не знаю, как трактовать вашу фразу "А где у нас в КоАП (а штрафы все только через КоАП) статья про сенртифицированные СЗИ?
Ст. 13.11. "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах" или 13.12 Нарушение правил защиты информации" (там, кстати в п. 2 говорится: "Использование несертифицированных информационных ситем, баз и банков данных ..." Не СЗИ, а именно ИС. Это явная ошибка: ИС просертифицировать нельзя".

Мы один КоАП смотрим? п.2 данной статьи звучит как "2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)". А ТАКЖЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ!!!

Алексей Лукацкий комментирует...

Сергей Викторович, опять лукавите. Производителей прошедших процедуру оценку по схеме "серия" единицы. А именно такая схема нужна для реализации требований ФЗ-152. И проблема в том, что для западного производителя это практически невозможно по нашему законодательству. Он вынужден привлекать ИЛ и ОС, чтобы решить проблему, высосанную из пальца, т.к. у большинства западных вендоров продукт УЖЕ сертифицирован по "Общим критериям", но ТАМ... А признавать мы тамошние сертификаты не хотим.

Я уже не говорю про непрозрачность требований по сертификации. Почему продукт, сертифицируемый в течение 10 лет по 3-му классу МСЭ, вдруг ни с того ни с сего, оказывается непригодным для сертификации по 3-му классу. Правда, регулятор дает такое распоряжение лабораториям устно и отказывается подтвердить это письменно. Зарубежом такое немыслимо.

Алексей Волков комментирует...

Сергею: ничто. Ну так что теперь, сидеть сложа лапки и двигать ж... пока тебя нагибают?

Сергей комментирует...

2 Волков
Опять лукавите (С) Лукацкий
Всех нагнули если уж в вашей терминологии изъясняться в 2006 году, истерику подняли почему то только сегодня
если у коллектива лоббистов "облегченного" закона не получилось пройти одним путем то со стороны забавно наблюдать как этот же коллектив пытаются еще раз пройти им же
хуже граблей могут быть только детские грабли

Алексей Лукацкий комментирует...

Закон 2006-го года не требовал сертификации и аттестации. Попытка это сделать в четверокнижии была отбита. А теперь ее просто вынесли на уровень выше.

Алексей Волков комментирует...
Этот комментарий был удален автором.
Алексей Волков комментирует...

Сергею: А Вы что предлагаете?

Сергей комментирует...

2 Алексей Лукацкий
Как не предлагал?
применение СКЗИ было прописано жестко, а по ПКЗ 2005 им надо руководствоваться для защита ПДн
Далее под эти ФЗ приняты док-ты, в частности ПП, которое гласит, что СЗИ проходят оценку соответствия в установленном порядке
2 Алексей Волков
я бы предложил не истерить на пустом месте а например задуматься как реализовывать то, чего не избежать

Сергей комментирует...

2 Алексей Лукацкий
А в каком месте новый ФЗ требует аттестации?

Сергей Б комментирует...

Может ли Правительство в по вопросу в пункте 3 не определять конкретные требования для определенных видов деятельности, а сослаться что определение требований для данного вида деятельности производится отраслевыми объединениями?

По 4-ому пункту в перечень видов деятельности попадающих под контроль со стороны Регуляторов надо отнести те, по которым массово утекли и продаются базы ПДн

Алексей Волков комментирует...

> не истерить на пустом месте

То есть Вы считаете наши действия пустой истерикой?

Гаврилин Алексей комментирует...

Столько рассуждений...
Но складывается впечатление, что самое главное все упустили.
А ведь самое главное, то что несколько человек, обладая обычными правами граждан могут сделать так, что их услышат.
Уважаемые коллеги я искренне рад за ваш малый, но важный успех.

Алексей Лукацкий комментирует...

Сергей, ПП-781 говорило об оценке соответствия, но ФЗ-149, имеющий бОльшую юридическую силу, говорил обратное.

ПКЗ-2005 вообще говорит, что именно владелец определяет правила применения СКЗИ, а не ФСБ.

А аттестация - это "оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных".

vsv комментирует...

А. Лукацкому.
Алексей извини, что сразу не ответил, однако когда-то и поработать надо...

На "Мы один КоАП смотрим? п.2 данной статьи звучит как "2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)". А ТАКЖЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ!!!"

Да тот же КоАП, только читаем по-разному. НА СЕГОДНЯ У НАС НЕТ ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ, закон требует оценки соотвествия. Не надо забегать вперед и додумывать за регуляторов. Пока тенденции изменения подхода в этом вопросе у регуляторов я не наблюдал...

На "Сергей Викторович, опять лукавите. Производителей прошедших процедуру оценку по схеме "серия" единицы. А именно такая схема нужна для реализации требований ФЗ-152. И проблема в том, что для западного производителя это практически невозможно по нашему законодательству. Он вынужден привлекать ИЛ и ОС, чтобы решить проблему, высосанную из пальца, т.к. у большинства западных вендоров продукт УЖЕ сертифицирован по "Общим критериям", но ТАМ... А признавать мы тамошние сертификаты не хотим."

Ну, во-первых не посхеме "серия", а по схеме "аттестация производства". Ну, почему же, сейчас УЖЕ есть опыт сертификации именно поэтой, последнй схеме (я имею ввиду западных производителей)
Нельзя пройти? Можно, только для того, чтобы получить сертификат с нужным классом, надо представить и код продукта, а некоторые западные производители (не буду показывать пальцем), этого делать не хотят, а сертифика хотят. Так не бывает. На западе, при сертификации код же предоставлется!
Не признаем западные сертификаты? Да, ПОКА не признаем, но ведь и НАШИ на западе не признают! (хотя переговоры уже шли многократно). Признание это дорога в двух направлениях. Точно так же как не везде на западе признают наши дипломы об оразовании и ученые степени (даже у Президента), а учат у нас не хуже.
Непрозрачность требований? Открытая неправда! Требования для МЭ ОТКРЫТЫ и лежат в Интернете. Что там непрозрачного? Протокл испытаний ИЛ всегда представлет заявителю, если функции безопасности реализованы и оттестированы - они обязательно должны найти отражение в протоколе. Да еще и методику испытаний обязательнот согласовывают с заявителем. Вам не нравится росийская ситема сертификации, но нравится западная? Замечательно! Но при ченм здесь закон о ПДн?

Борис комментирует...

Может немного не по теме, но возникают мысли о хацкерах, ддосе и стебе на регулятором
http://s015.radikal.ru/i331/1107/77/5399dba31236.png

doom комментирует...

2 vsv

Признание сертификатов системы ОК прописано четко и прозрачно.
Есть две формы договора - признание сертификатов, выданных странами-участниками международной системы сертификации (одностороннее признание) - это более простая форма, так как от нас ничего не требуется.

И второй вариант - участие в международной системе сертификации, что потребует от нашего ФСТЭКа прохождения аккредитации (как органа по сертификации в своей системе сертификации СрЗИ) - мне кажется, не сдюжит ФСТЭК международные стандарты.

Алексей Лукацкий комментирует...

Сергей Викторович, давайте по пунктам.

1. По поводу обязательной сертификации. Ну кому как не вам, как бывшему сотруднику ФСТЭК, знать о позиции регулятора и о том, как он принуждает всех к сертификации средств защиты (если конечно, между заказчиком и регулятором нет прослойки).

Вы правы, что часто закон говорит об оценке соответствия в установленном порядке. Правда, многие представители регулятора, да и лицензиаты тоже, считают, что оценка соответствия и подтверждение соответствия - это одно и тоже. Декларирование у нас по ИБ невозможно. Остается только две формы сертификации - добровольная и обязательная. Вот и говорит ФСТЭК - форму оценку выбирайте сами, но сертификат должен быть.

Если же смотреть шире и смотреть какие формы оценки соответствия у нас установлены, то опять же мы приходим только к сертификации. Иных форм пока просто не разработано.

Если же вы ратуете за потребителя, то что мешает вам выйти с инициативой во ФСТЭК с просьбой выпустить официальное разъяснение о том, что сертификация не нужна и все неправильно понимают действующую нормативную базу?

2. По поводу признания сертификатов. Кому как не вам знать причины этого. Это не их вина, что они не признают. Это наша вина - мы не вступили в члены тех стран, которые признают сертификаты. У нашего СовБеза есть, якобы, сомнения, что Общие критерии - это хорошо.

3. Ну а что касается непрозрачности, то я мог бы привести пример вашей компании, которая успешно сертифицировала один из популярных межсетевых экранов по 3-му классу на протяжении лет пяти, а буквально месяц назад отказалась это делать, ссылаясь на устное распоряжение ФСТЭК. И вы говорите о прозрачности?