14.07.2011

Действия ФСБ имеют далеко идущие последствия

И вот наконец законопроект о приведении терминологии в области ИТ подписан Гарантом Конституции. Изменения поверхностные. Например, вместо "сеть Интернет" теперь "информационно-телекоммуникационная сеть Интернет". Вместо "страница Банка России" теперь "официальный сайт Банка России". Вместо "сети общего пользования" теперь "сети, доступ к которым не ограничен определенным кругом лиц".

Вместо "конфиденциальная информация" теперь "информация, в отношение которой установлено требование об обеспечении ее конфиденциальности". Хотя в некоторых законах термин "конфиденциальная информация" зачем-то поменяли на "информацию ограниченного доступа". Зачем для одного старого термина вводить два новых? Но могу догадаться. Например, последний вариант появляется в законе "О связи". Что это значит? Что к операторам связи теперь нельзя применить требование о наличии лицензии на осуществление деятельности по защите конфиденциальной информации (ФЗ-128 и ПП-504). ФЗ-128 поменяли, а ПП-504 если и будут менять, то только в соответствие с ФЗ-128. Т.е. ухудшить ситуацию для операторов связи уже нельзя. Не зря Минкомсвязь приложила руку к этому законопроекту. Когда хотят, свою выгоду видят и блюдют. Аналогичная "информация ограниченного доступа" появляется и в законе "Об обязательном страховании гражданской ответственности владельцев транспортных средств". Видимо и страховщики тоже подсуетились. Также от конфиденциальности ушли организаторы сельскохозяйственной переписи, ФМС и борцы с коррупцией.

Но есть и достаточно интересные фрагменты. Сами по себе они очень правильны и корректны, но... в совокупности с другими законами выглядят специфически. Например, в законе "О ценных бумагах", п.12 ст.44 теперь должен читаться следующим образом: "обмениваться информацией, в отношении которой установлено требование об обеспечении ее конфиденциальности, в том числе персональными данными, с соответствующим органом (организацией) иностранного государства на основании соглашения с таким органом (организацией), предусматривающего взаимный обмен этой информацией, при условии, что законодательством государства соответствующего органа (организации) предусмотрен не меньший уровень защиты предоставляемой информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, чем предусмотренный законодательством Российской Федерации уровень защиты предоставляемой информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, а в случае, если отношения по обмену информацией регулируются международными договорами Российской Федерации, - в соответствии с условиями данных договоров. Информация, полученная в соответствии с указанными соглашениями, может предоставляться в государственные органы, в том числе правоохранительные, только с согласия соответствующего органа (организации) иностранного государства, предоставившего эту информацию, или на основании судебного акта". Что значит эта длинная фраза? Толкуется она просто - передавать персональные данные зарубежным организациям теперь нельзя. А все потому, что обсуждаемый последние дни законопроект по персданным установил нереальный уровень защиты персданных в российских организациях. Ни в одной стране мира нет требования использования сертифицированных средств защиты для ПДн. Т.е. во всех странах уровень защиты ниже, чем у нас.

Закон вступает в силу через 10 дней после официального опубликования.

20 коммент.:

avetjan комментирует...

> передавать персональные данные зарубежным организациям теперь нельзя. <...> во всех странах уровень защиты ниже, чем у нас.

Смело))) Впереди планеты всей.
Правильной дорогой идем, товарищи!

Mikhail комментирует...

А когда 152-ой будет на рассмотрении у гаранта?

Алексей Лукацкий комментирует...

До 27-го июля должен подписать

vit комментирует...

Это получается, что в зарубежные облака вынести данные вообще нельзя, так как их уровень защиты по определению "ниже"?

vlad комментирует...

Обнять и плакать. Алексей, вы еще напишите, что ни в одной стране мира кроме России нет требований по сертификации СЗИ по требованиям РД ФСТЭК и ФСБ... Кончайте уже истерить.

Baevsky комментирует...

>vlad
А в чем у Лукацкого истерика-то?
Не вижу в упор. Об этом уже много лет говорится. Всё ждали-ждали - и дождались.

Вадим комментирует...

> Вместо "конфиденциальная информация" теперь "информация, в отношение которой установлено требование об обеспечении ее конфиденциальности".

Скорее всего, это сделали, чтобы "попасть" в терминологию 149-го ФЗ, в котором, в отличие от его предшественника 24-го ФЗ, исчез термин "конфиденциальная информация" и было введено понятие "конфиденциальность информации". Для чего это сделали, до сир пор понять не могу. Была нормальная формулировка из ПКЗ-2005 - ясно и понятно любому здравомыслящему человеку, но потребовалось в очередной раз изобретать кривой велосипед.

Алексей Лукацкий комментирует...

Вадиму: Понятно для чего - все-таки надо приводить все к единому знаменателю. Но почему для некоторых очень денежноемких ФЗ этот термин заменили на другой, не совпадающий с ФЗ-149?

Алексей Лукацкий комментирует...

vlad: Я лучше поистерю сейчас, чем кусать локти потом

Вадим комментирует...

Здесь две картинки из моих снов: первая - авторы далеки от темы; вторая - сделано умышлено - Вы уже озвучили по поводу лицензирования деятельности по ТКЗИ.

Вадим комментирует...

Алексею: Хотя по поводу наличия лицензии регулятор всё равно может ткнуть в ПКЗ-2005 и растолкует, что конфиденциальная информация - информация ограниченного доступа, не содержащая сведений, составляющих ГТ, так что речь об одном и том же и давай-ка лицензию на ТЗКИ.

toparenko комментирует...

>Вадим пишет...
Алексею: Хотя по поводу наличия лицензии регулятор всё равно может ткнуть в ПКЗ-2005

Не ткнет т.к. ПКЗ именно, что 2005 года - т.е. до принятия нового трехглавого.
Тут подзаконный акт не приведен в соответствие с более поздним законом т.ч. в суде этот аргумент можно будет продавливать только админресурсом.

Вадим комментирует...

> подзаконный акт не приведен в соответствие с более поздним законом

А какое здесь несоответствие? В разных законах приведены разные половинки определения одного и того же, а в ПКЗ это прописано как одно целое. И несмотря на призыв Волчинской забыть про УП 1111, для суда это действующий документ. И те же персданные в соответствии с ним - сведения конфиденциального характера, а по 152-ФЗ доступ к ним должен быть ограничен - соответственно, сведения ограниченного доступа. Так что вряд ли суд будет рассматривать два этих определения отдельно, да и до суда вряд ли дойдёт.
Насчёт 2005 года - ПКЗ правилось в 2010-м, так что достаточно свежее.

vsv комментирует...

А Лукацкому:
"А все потому, что обсуждаемый последние дни законопроект по персданным установил нереальный уровень защиты персданных в российских организациях. Ни в одной стране мира нет требования использования сертифицированных средств защиты для ПДн. Т.е. во всех странах уровень защиты ниже, чем у нас."

Алексей, согласен с тем. что исерить не надо. Да и лукавить тоже. Вы же не хуже других понимаете, что уровень защиты ПДн определяется составом технических требований к механизмам защиты, а не требованием оценки соотвествия (а не сертификации!). А разве обычный обыватель (читай субъект Пдн) способен самостоятельно оценить наличие и правильность реаолизации механизмов защиты в той или иной систем?

Алексей Лукацкий комментирует...

Вадим: Интересно, как это обычный приказ может изменять трактовку закона? Ведь в новом ФЗ одному термину четко даны два разных толкования в разных местах. Т.к. основная задача данного ФЗ - уточнение терминологии, то в суде это замечательно можно использовать. Раз законодатели разделили КИ и ИОД, значит это нужно было ;-)

Toparenko также прав. Старые нормативные акты должны быть приведены в соответствие с новым ФЗ.

Ну и наконец, ПКЗ не имеет никакого отношения к ПП-504 ;-) За ПКЗ отвечает ФСБ, за ПП-504 - ФСТЭК.

Алексей Лукацкий комментирует...

Вадим: У вас игра слов, приводящая к неверному результату ;-) ФЗ-152 не говорит об ограничении доступа к ПДн. Он говорит о защите прав субъектов и защите ПДн, а не о ограничении доступа к ним.

И опять же - ПКЗ-2005 не имеет отношения к ТЗКИ.

Вадим комментирует...

> У вас игра слов, приводящая к неверному результату ;-) ФЗ-152 не говорит об ограничении доступа к ПДн.

Алексей, тогда поясните, если нетрудно, в чём разница "принятия мер
для защиты ПДн от неправомерного или случайного доступа к ним" и "ограничения доступа к ПДн".

Алексей Лукацкий комментирует...

Технически разницы может и нет. Но юридически из разделяет пропасть.

Вадим комментирует...

> Раз законодатели разделили КИ и ИОД, значит это нужно было ;-)

И всё-таки полагаете, что РАЗДЕЛИЛИ? Даже из этого, по Вашему, не следует, что КИ и ИОД - одно и то же?
"6) доступ к информации - возможность получения информации и ее использования;
7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя"

Ладно, оставим до прихода регуляторов и суда ;)

Вадим комментирует...

Алексей, прочитал ещё раз на досуге. Теперь всё стало по своим местам.

> Зачем для одного старого термина вводить два новых?
> Но почему для некоторых очень денежноемких ФЗ этот термин заменили на другой, не совпадающий с ФЗ-149?
> Ведь в новом ФЗ одному термину четко даны два разных толкования в разных местах.

Термин "КИ" не заменили, а окончательно избавились от него в пользу ИОД и "информации, в отношение которой установлено требование об обеспечении ее конфиденциальности" (сокращу до ИТК) именно в соответствии с терминологией 149-ФЗ, так как:

5.2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Т.е. в зависимости от категории доступа те же ПДн могут быть либо общедоступными, либо ИОД - третьего не дано. Поэтому отнести их целиком к ИОД нельзя - используется термин ИТК (опять же, определение конфиденциальности в 149-фз есть). Этим термином убивается ещё одно противоречие: не все виды тайн попадают под определение ИОД по 149-ФЗ (например, та же служебная тайна - пока нет ФЗ), но режим конфиденциальности в отношении такой информации должен соблюдаться.
Так что термины не новые - всё исправлено именно в соответствии со 149-ФЗ.
Причём по 149-ФЗ "обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами" (т.е. ИОД). Таким образом, ИОД - это всегда ИТК, а вот ИТК не всегда ИОД. Так что от конфиденциальности ещё никто не уходил ;)
Теперь остаётся поменять в "пропущенных" 99(128)-ФЗ и ПП-504 термин "КИ" на "ИТК" и всё.