21.9.12

Какова логика наших регуляторов при разработке нормативных актов?!

Вчера было опубликовано новое Постановление Правительства от 18 сентября 2012 года № 940 "Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю".

Те, кто его читал, задались вопросом - а на кой оно вообще нужно? Ну какой здравомыслящий оператор будет делать что-то еще, сверх того, что нам приготовят регуляторы? Ведь врядли они пойдут на встречу и разработают некий базовый минимум методов и способов защиты персональных данных. Вспоминая и приказ №58 и проекты Постановлений Правительство по требованиям в области безопасности ПДн надеяться на это не приходится. Да и регуляторы не могут не понимать этого. Но зачем оно тогда вообще появилось?

С другой стороны, я уже писал про ФЗ "О безопасности ТЭК", в котором есть 11-я статья про информационную безопасность объектов ТЭК. 5 мая 2012 года Правительство выпускает аж целых 3 постановления по безопасности:
  • № 458 "Об утверждении Правил по обеспечению безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса"
  • № 459 "Об утверждении Положения об исходных данных для проведения категорирования объекта топливно-энергетического комплекса, порядке его проведения и критериях категорирования"
  • № 460 "Об утверждении Правил актуализации паспорта безопасности объекта топливно-энергетического комплекса".
Но там ни слова про информационную безопасность - она явно выведена из под их действия. На ИнфоБЕРЕГе этот вопрос был задан представителю МинЭнерго. Он ответил прямо - мол, не было задания разрабатывать соответствующие Постановления и вообще нормативную базу по ИБ объектов ТЭК. А как же 11-я статья? - спросили его. Он ничтоже сумняшеся ответил, что раз в 11-й статье не говорится, что защита объектов ТЭК должна строится по требованиям, разрабатываемым Правительством, то и разрабатывать эти требования никто не будет. А на вопрос, как тогда защищать АСУ ТП, представитель МинЭнерго ответил, что по требованиям ФСТЭК и ФСБ.

Тут надо, к слову, отметить, что никто в России не хочет брать на себя ответственность за регулирование безопасности ТЭК. Представитель МинЭнерго рассказал, что за паспортизацию объектов ТЭК отвечает МинЭнерго. При паспортизации применения классификации чрезвычайных ситуаций МЧС. Требования по безопасности для тех же линейных объектов ТЭК будет разрабатывать МЧС, а вот контроль за выполнением требований никто на себя из трех брать не захотел и по последней договоренности эту задачу повесят на МВД. Правда, тут вообще анекдот. Когда МинЭнерго хотело эту задачу взять на себя (в самом начале обсуждения темы), оно запросило увеличение численности на 140 человек, но им отказали. Зато когда эта тема повисла на МВД, то тем оказалось нужно 20000 человек для надзора... и им, похоже, дадут нанять этих 20000 полицейских (вот куда пойдут не прошедшие переаттестацию ;-).

Но вернемся к теме поста. Итак, мы видим, что нормативные акты у нас пишут, только если есть прямое распоряжение в законе. По ТЭК его нет и никаких требований по информационной безопасности у нас тоже пока нет. И врядли будет (до первого серьезного прецедента). А вот по ПДн ситуация с точностью наоборот. В законе написано, что проекты моделей угроз ассоциация должны быть согласованы с ФСТЭК и ФСБ в порядке, разработанном Правительством, и вот такой порядок появился. А то, что он никому не нужен, это мало кого волнует; требование есть - надо выполнять.

Исходя из этой логики у нас, помимо постановлений по уровням защищенности и требованиям по безопасности ПДн, должно появиться еще одно Постановление Правительства - о порядке получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг.

2 коммент.:

Михаил Новокрещенов комментирует...

Вот он - родной русский бюрократизм во всей своей красе :)

Neskazhui комментирует...

Логика понятна: сделаешь непредусмотренное - обвинят в своеволии; не сделаешь предусмотренного - обвинят в бездействии.