01.08.2011

Грядет новое четверокнижие?!

Помните ли вы, как появилось первое четверокнижие ФСТЭК? Сначала появилось 781-е постановление Правительства (17 ноября), в котором ФСТЭК и ФСБ предписывалось выпустить в трехмесячный срок нормативные документы по защите персданных. Потом требования пошло по инстанциям и когда оно спустилось до исполнителей оставалось совсем мало времени до выпуска нормативно-правовых актов (правда, ФСТЭК таковыми их не считала) с конкретизацией защитных мер. В итоге мы получили то, что получили. Кто-то даже говорил, что это чья-то диссертация. Ну да суть не в этом... Документы были выпущены в такой спешке, что потом операторы персданных долго разгребали последствия от их применения.

Сейчас, после выхода новой редакции ФЗ-152, регуляторы должны выпустить новые требования. Какими они будут? Хочется верить, что адекватными. Многие, с кем мне довелось пообщаться, говорят, что времени на разработку достаточно. Но так ли это?

С 1-го января 2012-го года начнутся проверки выполнения новых требований по безопасности, разрабатываемых ФСТЭК и ФСБ. Но чтобы проверки начались с 1-го января именно следующего года, ФСТЭК и ФСБ должны направить до 1-го ноября в прокуратуру план проверок с указанием правового основания для проведения проверочных мероприятий. Так следует из ФЗ-294 и 319-го приказа Генпрокуратуры. Правда, ситуация на практике обычно выглядит немного иначе. Например, к 1-му января в сводном плане проверок отсутствовали упоминания ФСБ, а совсем недавно на сайте ФСБ оказался план проверок, в котором присутствовало 265 организаций. Видимо внесение задним числом в план проверок - это из той же оперы, что и подмена одного законопроекта другим.

Но если все будет по-честному, то на разработку требований у регуляторов остается всего-то август, сентябрь и октябрь, т.е. 3 месяца. Немало, скажете вы. Ведь родили четверокнижие за такой срок. Не спорю, родить нормальный документ за этот срок реально. Только вот незадача... Защитные меры должны опираться на разрабатываемые Правительством уровни защищенности. А вот тут у меня зарождаются сомнения, способно ли Правительство разработать такие уровни с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности. Т.е. тут не одномерное пространство - "класс ИСПДн - список защитных мер", а многомерное. И все это за три месяца. Успеют ли?...

ЗЫ. Читающим этот пост коллегам из ФСТЭК предлагаю сотрудничество в деле разработки адекватных документов.

31 коммент.:

Сергей Б комментирует...

Во ФСТЭК и ФСБ уже давно идет разработка этих новых документов.

Albert комментирует...

Алексей, думается Ваша помощь в разработке не понадобится...

Алексей Лукацкий комментирует...

Сергей Б.: Да, я знаю. Только в ФСБ эти документы уже скоро как 2 года разрабатываются и проблема не в контенте, а в его согласовании.

Albert: Кому думается?

Сергей комментирует...

Уровень безопасности связан с моделью угроз (ч.11 ст. 19). Угрозы первичны и их должны разработать (ч. 5 ст. 19), причем по видам деятельности. Кроме банковской отраслевой модели ( и вроде связисты) других пока нет.

Алексей Лукацкий комментирует...

Есть еще модель у Минздрава, НАУФОР и НАПФ.

Сергей комментирует...

Это мизер. Если заглянуть в ОКВЭД...
А типовая модель уже не прокатит. Они еще сами толком не осознали куда вляпались. Был же вариант с отраслевым регулированием, не захотели. Нельзя объять необъятное.

Алексей Лукацкий комментирует...

Это не они вляпались ;-( Они просто выпустят то, что СМОГУТ и вляпаемся уже мы.

Алексей Т. комментирует...

А с чего Вы решили, что нужно новое 4-х книжие? ИМХО под новый ФЗ старые документы отлично ложаться - тут тебе и уровни защищенности (классы ИСПДн) и моделирование угроз. А ущерб субъекту это не ответственность ФСТЭК, пусть РКН разрабатывает. Я бы не стал ждать новых документов.

Алексей Лукацкий комментирует...

Алексею Т.: Я бы тоже не хотел новых документов, но увы... В новой нормативке нет понятия "классификация ИСПДн". Поэтому надо как минимум разрабатывать новый "приказ трех". Потом под него подкладывать 58-й приказ. А это непросто. Т.к. 58-й приказ плоский и не учитывает природу ПДн, технологии их обработки, особенности деятельности оператора.

Шауро Евгений комментирует...

Алексей,

А что мешает сделать аналитику этого N-мерного пространства и
получить на выходе M-уровней (читай классов)?!

Кстати, что там с вашими поправками в КоАП?
Минкомсвязь их взялась двигать или положила под сукно?

Albert комментирует...

Алексей: Думается мне. Я знаю, что там есть кому этим предметно заниматься.

Алексей Лукацкий комментирует...

Евгений: Ничто не мешает. Но кто-то это должен сделать за оставшиеся 3 месяца.

Albert: Счастливый, Вы, человек ;)

ZZubra комментирует...

А кто читал пункт 2 статьи 3 ФЗ №261-ФЗ? Мне показалось, что у нас теперь два закона. Старая редакция и соответственно под законники - для тех, кто уже в "отношениях", а вот новая редакция - только для тех, кто собирается вступить в них. И для них будут новые под законники. Али не так? ;)

Алексей Лукацкий комментирует...

Одновременно две редакции одного закона действовать не могут

ZZubra комментирует...

Цитирую: Действие положений Федерального "закона" от 27 июля 2006 года N 152-ФЗ "О персональных данных" (в редакции настоящего Федерального закона) распространяется на правоотношения, возникшие с 1 июля 2011 года.

Вот и как это понимать???

Алексей Лукацкий комментирует...

Что правоотношения, появившиеся после 1-го числа, подпадают под данный ФЗ. Ст.4 ГК - закон обратной силы не имеет.

ZZubra комментирует...

Вот и я про то ж. Получаем две действующих редакции. Для тех кто "до" и для тех кто "после".

Алексей Лукацкий комментирует...

Это НОРМА ПРАВА. Новый закон не может распространяться на предыдущие правоотношения, если это не оговорено специально. В прежнем законе была аналогичная формулировка (в отношении ИСПДн).

ZZubra комментирует...

У меня конечно возник вопрос, а почему нельзя было это прямо в ФЗ специально написать, ну да ладно.

От этого суть СУЩЕСТВУЮЩЕЙ проблемы не изменилась. Все системы до 1 июля созданные и уже с данными должны соответствовать закону в старой редакции и под законникам как следствие.
Так это? Если не так, то почему и как?

ZZubra комментирует...

И вопрос ведь не по 18 и 19 статьям (((

Алексей Лукацкий комментирует...

1. Закон разбивается на 2 части - технику (защита ПДн) и оргвопросы (защита прав).

2. По первой части закон вступил в силу только сейчас, т.к. с момента принятия закона в 2006-м году эта статья то была отложена, то переносилась. Поэтому она вступила в силу только сейчас.

3. По второй части закон вступил в силу с 2007-го года. Вторая редакция - с 27-го июля 2011 года, но задним числом его распространили и на весь июль. Но только в части защиты прав. Это значит, что если тебя наказали за ведение списка должников без их согласия в прошлом году, то суд и РКН/прокуратура были правы. А вот с 1-го июля это уже ненаказуемо ;-)

Алексей Лукацкий комментирует...

А до 27 июля 2006 года ты вообще мог плевать на защиту прав субъектов ;-)

ZZubra комментирует...

Конечно НЕ мог! Главное не нарушать Конституцию!!!! У нее прямое действие и дополнительный ФЗ не нужен. Иначе УК - там нормы были.

Не-не-не! В предыдущих редакциях говорилось о правах и ИСПДн. Тут все вместе. Тут ФЗ в редакции.

Насчет наказаний - это в УК и КОАП написано. Но никак не ФЗ152. Так что не подходит. А в ФЗ152 - как и что выполнять - в разных редакциях по-разному.

ZZubra комментирует...

И граница между ними проведена.

Алексей Лукацкий комментирует...

Еще раз. Закон по персданным у нас ОДИН (в последней редакции). И действует СЕЙЧАС именно последняя редакция. А в правоотношениях с 26 июля 2006 года до 1 июля 2011 года ДЕЙСТВОВАЛА старая версия закона.

ZZubra комментирует...

>А в правоотношениях с 26 июля 2006 года до 1 июля 2011 года ДЕЙСТВОВАЛА старая версия закона.

ДЕЙСТВОВАЛА или ДЕЙСТВУЕТ? Ведь по ФЗ и ГК закон обратной силы не имеет и что уже сделано так и должно оставаться. А это процесс длящийся. Отношения-то не завершились.

ZZubra комментирует...

А хотите я Вам перечень всех косяков не 18 и 19 статей дам? Ну там про то, что теперь общедоступным данным надо конфиденциальность обеспечить или про неотчуждаемое право, которым теперь может распоряжаться иное физическое лицо?

ZZubra комментирует...

Кусочек есть тут (про статью 22.1): http://hayrov.blogspot.com/2011/07/blog-post_31.html?showComment=1312193315286#c5594325791684188929

Алексей Лукацкий комментирует...

давай список всех косяков

ZZubra комментирует...

Ок. Только немножко времени надо. Я только на список потратил всю субботу. Надо же еще приписать, что не так и с чем конфликтует. В уме уже понимаю, надо НАПИСАТЬ.

В списке было очень много. Но на 8, 12, 18 и 26 прочтениях многое стало на свои места, особенно с учетом изменения в одном месте, влекущим иное понимание в десятке других статей.

ZZubra комментирует...

Да и в консультанте общая редакция только сегодня появилась. А по ее прочтению - еще вылезло. Особенно с их сервисом сравнения редакций.