10.09.2014

Заложники наименований

Вчера, когда я написал про новый приказ ФСБ по защите ПДн, Алексей Волков не согласился со мной в той части, что раз приказ называется "...с использованием средств криптографической защиты информации...", то и касается он только тех, кто эти средства использует. В другом месте вспомнили старый баян о том, что иностранные средства шифрования и не СКЗИ вовсе по версии ФСБ (правда, обосновать эту позицию так и не смогли). И в итоге получилось как с юристами - "два эксперта - три мнения" :-) Я не планирую вступать с Алексеем в полемику; каждый все равно останется при своем. Просто хочу вспомнить несколько примеров, которые показывают, что не стоит так безоглядно смотреть на название и танцевать от него в принятии решении о том, на что распространяется или не распространяется нормативный акт.

Первый пример связан со старым ПП-687, название которого звучит как "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Многие специалисты в свое время "повелись" на название и посчитали, что ПП-687 касается только неавтоматизированной, т.е. ручной обработки ПДн. Однако, в самом тексте было сказано немного иное, а именно - "Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных,осуществляются при непосредственном участии человека". Иными словами, если 4 упомянутых действия осуществлялись при непосредственном участии человека (а обычно так и есть), то такая обработка могла считаться осуществляемой без использования средств автоматизации. Специально для недоверчивых в тексте ПП-687 было добавлено - "Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее".

Но пойдем дальше. Вспомним ПП-1119, а точнее историю его появления. Первоначально вместо одного ПП-1119 планировалось принять два постановления, в одном из которых говорилось не о типе угроз как сейчас, а о категории нарушителей. Это понятие было ближе к авторам постановления (8-му Центру ФСБ) и они хотели использовать именно его. Однако когда проект ПП-1119 ушел в Администрацию Правительства оттуда пришел ответ, что использовать словосочетание "категория нарушителя" нельзя и его надо менять на "тип угрозы", упоминаемое в ФЗ-152.

Третий пример касается практики проведения проверок Роскомнадзором. В одном из известных мне случаев при проверке сотрудник РКН затребовал предусмотренную ст.18.1 ФЗ-152 политику в отношении обработки персональных данных. В ответ ему было представлено Положение об обработке персональных данных. И вот тут последовала странная реакция - требование представить не положение об обработке, а политику в отношении обработки. Попытки объяснить, что это одно и тоже успехом не увенчались и в акте проверки было написано замечание, которое, правда, было быстро устранено, но эта глупая привязка к термину из ФЗ сама по себе показательна.

Наконец, последний пример касается пресловутой "защиты информации", которая фигурирует в названии многих документов ФСТЭК. Например, в приказе №31 по защите АСУ ТП. Мы прекрасно понимаем, что документы ФСТЭК касаются не только и не столько информации, сколько систем, в которых эта информация циркулирует и обрабатывается. Но в названии упоминать "системы" нельзя, т.к. ФСТЭК является заложником очередного термина "федеральный орган, уполномоченный в области защиты конфиденциальной информации". ФСТЭК по версии законодателей (а также юристов Правительства и Администрации Президента) не защищает информационные или автоматизированные системы - она защищает информацию. Поэтому юристы ФСТЭК тратят много усилий на то, чтобы скрыть в тексте приказов то, что понятно любому специалисту - защищать информацию без защиты систем, в которых она обрабатывается, бессмысленно. Именно поэтому в названии многих документов ФСТЭК говорится о защите только информации и только внутри документов это понятия ширится и захватывает еще и сами системы.

Аналогичная ситуация и с ФСБ, которую все привыкли ассоциировать с СКЗИ. И поэтому во многих распоряжениях Президента или Правительства, на основе которых и создаются ведомственные приказы, фигурируют вполне конкретные названия документов, которые мы с вами и видим после их регистрации в Минюсте. Эти названия, зачастую неотражающие реального содержания (или отражающие его неполностью), предписаны сверху и поэтому поменять их практически нереально. Попробовать-то можно, но себе дороже. Именно по этой причине, названия некоторых документов ФСТЭК или ФСБ не всегда совпадают с их содержанием. Это не значит, что регулятор ошибся или вышел за рамки своего поля деятельности. Нет. Регулятор действует в рамках имеющегося распоряжение гаранта Конституции или премьер-министра, но при этом является заложником наименований, которые либо уже используются в каком-то нормативном акте, либо упомянуты в непубличном распоряжении, и отойти от них нельзя.

Отсюда простой вывод. Не всегда стоит ориентироваться только на название документа - надо внимательно читать то, что написано внутри него. Лично я по-прежнему считаю, что 378-й приказ ФСБ касается любого оператора ПДн, а не только тех, кто использует СКЗИ. СКЗИ - это только одна часть приказа регулятора. Вторая касается раскрытия вопросов, которые оставались неотвеченными в ПП-1119. 378-й приказ дает на них ответ. Поэтому в этой части он имеет отношение ко всем.

ЗЫ. Кстати, хочу напомнить, что невзирая на все, что написано в 378-м приказе ФСБ, проверить его исполнение ФСБ имеет право (по закону) только в отношении государственных и муниципальных операторов ПДн. Коммерческие операторы ПДн остаются пока вне поля регулирования ФСБ и ФСТЭК - их может проверить только прокуратура.

7 коммент.:

Алексей Волков комментирует...

Леша, внутри него есть пункт 2, в котором для непонятливых или сомневающихся написано еще раз, для кого этот документ предназначен. Остальные могут не читать.

Роман Рузов комментирует...

Алексей, хотел уточнить а на основании чего (какого закона)это высказывание:
"ЗЫ. Кстати, хочу напомнить, что невзирая на все, что написано в 378-м приказе ФСБ, проверить его исполнение ФСБ имеет право (по закону) только в отношении государственных и муниципальных операторов ПДн. Коммерческие операторы ПДн остаются пока вне поля регулирования ФСБ и ФСТЭК - их может проверить только прокуратура."

Александр Германович комментирует...

ФЗ-152 определяет, что ФСБ и ФСТЭК определяют меры по защите ПДн в пределах своих полномочий. Соответственно, каждый из приказов (21-й и 378-й) и реализует полномочия регуляторов: защита некриптографическими средствами - ФСТЭК, криптографическими - ФСБ.

То, что проверяющие из ФСБ иногда не видят границ своих полномочий - другой вопрос :)

А п.2. четко говорит: "Настоящий документ предназначен для операторов, использующих СКЗИ для обеспечения безопасности персональных данных при их обработке в информационных системах".
Что бы Вы посоветовали опрератору, не использующему СКЗИ, к которому заявились проверяющие из ФСБ?

to Роман Рузнов: см. ФЗ-152, ст.9 ч.8.

SK комментирует...

Может и не имеют прав, но кто решится слишком уж резко бодаться с ФСБ.

Алексей Лукацкий комментирует...

Александр и Алексей, можно попросить у вас определение СКЗИ?

FD комментирует...

ПОЛОЖЕНИЕ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО [...] ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, [...], Утв. ПП №303 от 16.04.2012
"2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:
а) средства шифрования - [...];
б) средства имитозащиты - [...];
в) средства электронной подписи;
г) средства кодирования - [...];
д) средства изготовления ключевых документов - [...];
е) ключевые документы - [...];
ж) аппаратные шифровальные (криптографические) средства - [...];
з) программные шифровальные (криптографические) средства - [...];
и) программно-аппаратные шифровальные (криптографические) средства - [...]." (см. ориг.).
В п. 3 Положения сказано, что оно "... не распространяется на деятельность с использованием: ...
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной; ...".
Но из этого не следует, что такие средства не являются СКЗИ.

Алексей Лукацкий комментирует...

Я хотел бы, чтобы Алексей и Александр ткнули пальцем, где написано, что страна происхождения за пределами России перестает делать средство криптографическим