На днях, в Facebook разгорелась дискуссия о том, является или нет неопубликованное должным образом ПП-330 действующим. И вновь мы не пришли к единому мнению, как врядли можем прийти с российским законодательством, которое разрабатывается у нас не в соответствие с основами права и не опираясь на Конституцию, а согласно сиюминутным желаниям власть имущих. Эта дискуссия долгая и я не вижу смысла ее начинать. Поговорить я хотел о другом, а точнее продолжить тему, начатую в августе прошлого года. Речь пойдет об основах права.
Так уж сложилось, что тема законодательного обеспечения ИБ в России (кто-то недалекий называет ее никому ненужной "бумажной безопасностью") является очень важной. Иногда даже более важной, чем применение тех или иных технических мер. И риски за неисполнение нормативных документов существуют вполне серьезные - вплоть до прекращения деятельности организации, дисквалификации должностного лица (например, директора ИБ) или уголовного преследования руководителя компании. Поэтому знать законодательства не просто полезно, оно очень важно в деятельности большинства безопасников.
Но знание законодательства подразумевает не просто умение перечислить основные нормативно-правовые, регулирующие деятельность по защите информации (ФЗ-149, ФЗ-152, 382-П, ФЗ-256, ПКЗ-2005, 21-й приказ ФСТЭК и т.д.). Гароздо важнее знать основы права, которым, почему-то, в российских ВУЗах не учат. Даже если почитать различные учебники и пособия по теме "Правовое обеспечение защиты информации", которые можно найти в Интернете или на полках книжных магазинов, тема основ права там никак не затрагивается. Да, там упоминается Конституция, как основной закон, но, пожалуй, и все. В них ни слова не говорится о том, что такое правоотношение и какие субъекты и объекты правоотношений существуют в ИБ. В них ни слова не говорится о процедуре принятия нормативных актов, их иерархии, юридической силе, действии во времени и пространстве, недействительности и т.п. Почему-то эти пособия исходят из мысли, что все, что опубликовано в Консультанте+ или Гаранте является догмой; что регуляторы не могут ошибаться, а все выпущенные ими приказы действующие автоматически.
Проблема правового нигилизма нарастает. А учитывая ту активность, которую "бешеный принтер" наших законодателей развил в последнее время, ситуация само не рассосется. Будет только хуже. Поэтому стоит заняться самообразованием в данной области или сходить на какие-либо курсы, разъясняющие основы права, идеально если применительно к информационной безопасности.
Возвращаясь же к 330-му Постановления Правительства, по которому я уже высказывался по ссылкам выше, хочу вновь повторить, но уже со ссылками на нормативные акты, о которых, кстати, я писал в своей презентации с курса по законодательству в области ИБ. Норма об официальном опубликовании нормативных актов, касающихся отдельных вопросов обработки ПДн (статья 4.2 ФЗ-152) появилась в 2011-м году после принятия ФЗ-261 от 25.07.2011. ПП-330 у нас было принято в мае 2010 года. Я не буду говорить про то, что ФЗ имеет бОльшую юридическую силу, чем Постановление Правительства. Тут вопрос в другом. В основах права есть такой доктринальный принцип "lex posterior derogat priori" ("последующий закон отменяет предыдущие"). Он и должен применяться в данном случае. Если между датами принятия ПП-330 и ФЗ-261 еще можно было считать, что есть неопределенность (хотя у нас был уже ФЗ-294, если мне не изменяет память), с июля 2011-го года вопрос был снят. Любые нормативные акты, касающиеся обработки ПДн, должны быть официально опубликованы. Кстати за фразой "официально опубликованы" тоже скрывается множество нюансов, которые неплохо бы знать. Процедуры опубликования законов, постановлений Правительства, ведомственных приказов четко определены и прописаны. Отклонение от них означает недействительность нормативно-правового акта.
Скептики могут возразить мне: "Эти ваши принципы фигня. В каком законе это все написано?" Ну фигня или не фигня, судить могут юристы. Но если уж речь зашла о нормативных актах, в которых это прописано, то в Постановлении Конституционного суда от 25.06.2001 № 9-П есть такой пассаж - "при расхождении норм действующего законодательства по одному и тому же вопросу применению подлежит норма, изданная позднее". В определении Конституционного Суда РФ от 10.11.2002 № 321-О отмечено, что "Согласно правовым позициям Конституционного Суда Российской Федерации к числу законодательных актов, утративших силу, следует относить акты не только формально отмененные, но и фактически недействующие в силу издания более поздних актов, которым они противоречат". И наконец, в Постановлении Конституционного Суда РФ от 29.06.2004 № 13-П написано, что "В отношении федеральных законов как актов одинаковой юридической силы применяется правило "lex posterior derogat priori" ("последующий закон отменяет предыдущие"), означающее, что даже если в последующем законе отсутствует специальное предписание об отмене ранее принятых законоположений, в случае коллизии между ними действует последующий закон; вместе с тем независимо от времени принятия приоритетными признаются нормы того закона, который специально предназначен для регулирования соответствующих отношений".
Иными словами, ПП-330 в части обязательной сертификации средств защиты персональных данных не применим ввиду его официального неопубликования. На опасения, что его могут опубликовать, хочу возразить, что если это не сделали за последние 3 с лишним года, то врядли и сделают. В МинОбороны, который был инициатором этого нормативного акта, сейчас не до того. Снять гриф с данного Постановления тоже непросто - процедуры снятия грифа с Постановления Правительства как бы нет.
ЗЫ. Отчасти именно из-за описанной проблемы с непониманием основ права я в прошлом году затеял разработку курса "Законодательство по информационной безопасности в России".
Так уж сложилось, что тема законодательного обеспечения ИБ в России (кто-то недалекий называет ее никому ненужной "бумажной безопасностью") является очень важной. Иногда даже более важной, чем применение тех или иных технических мер. И риски за неисполнение нормативных документов существуют вполне серьезные - вплоть до прекращения деятельности организации, дисквалификации должностного лица (например, директора ИБ) или уголовного преследования руководителя компании. Поэтому знать законодательства не просто полезно, оно очень важно в деятельности большинства безопасников.
Но знание законодательства подразумевает не просто умение перечислить основные нормативно-правовые, регулирующие деятельность по защите информации (ФЗ-149, ФЗ-152, 382-П, ФЗ-256, ПКЗ-2005, 21-й приказ ФСТЭК и т.д.). Гароздо важнее знать основы права, которым, почему-то, в российских ВУЗах не учат. Даже если почитать различные учебники и пособия по теме "Правовое обеспечение защиты информации", которые можно найти в Интернете или на полках книжных магазинов, тема основ права там никак не затрагивается. Да, там упоминается Конституция, как основной закон, но, пожалуй, и все. В них ни слова не говорится о том, что такое правоотношение и какие субъекты и объекты правоотношений существуют в ИБ. В них ни слова не говорится о процедуре принятия нормативных актов, их иерархии, юридической силе, действии во времени и пространстве, недействительности и т.п. Почему-то эти пособия исходят из мысли, что все, что опубликовано в Консультанте+ или Гаранте является догмой; что регуляторы не могут ошибаться, а все выпущенные ими приказы действующие автоматически.
Проблема правового нигилизма нарастает. А учитывая ту активность, которую "бешеный принтер" наших законодателей развил в последнее время, ситуация само не рассосется. Будет только хуже. Поэтому стоит заняться самообразованием в данной области или сходить на какие-либо курсы, разъясняющие основы права, идеально если применительно к информационной безопасности.
Возвращаясь же к 330-му Постановления Правительства, по которому я уже высказывался по ссылкам выше, хочу вновь повторить, но уже со ссылками на нормативные акты, о которых, кстати, я писал в своей презентации с курса по законодательству в области ИБ. Норма об официальном опубликовании нормативных актов, касающихся отдельных вопросов обработки ПДн (статья 4.2 ФЗ-152) появилась в 2011-м году после принятия ФЗ-261 от 25.07.2011. ПП-330 у нас было принято в мае 2010 года. Я не буду говорить про то, что ФЗ имеет бОльшую юридическую силу, чем Постановление Правительства. Тут вопрос в другом. В основах права есть такой доктринальный принцип "lex posterior derogat priori" ("последующий закон отменяет предыдущие"). Он и должен применяться в данном случае. Если между датами принятия ПП-330 и ФЗ-261 еще можно было считать, что есть неопределенность (хотя у нас был уже ФЗ-294, если мне не изменяет память), с июля 2011-го года вопрос был снят. Любые нормативные акты, касающиеся обработки ПДн, должны быть официально опубликованы. Кстати за фразой "официально опубликованы" тоже скрывается множество нюансов, которые неплохо бы знать. Процедуры опубликования законов, постановлений Правительства, ведомственных приказов четко определены и прописаны. Отклонение от них означает недействительность нормативно-правового акта.
Скептики могут возразить мне: "Эти ваши принципы фигня. В каком законе это все написано?" Ну фигня или не фигня, судить могут юристы. Но если уж речь зашла о нормативных актах, в которых это прописано, то в Постановлении Конституционного суда от 25.06.2001 № 9-П есть такой пассаж - "при расхождении норм действующего законодательства по одному и тому же вопросу применению подлежит норма, изданная позднее". В определении Конституционного Суда РФ от 10.11.2002 № 321-О отмечено, что "Согласно правовым позициям Конституционного Суда Российской Федерации к числу законодательных актов, утративших силу, следует относить акты не только формально отмененные, но и фактически недействующие в силу издания более поздних актов, которым они противоречат". И наконец, в Постановлении Конституционного Суда РФ от 29.06.2004 № 13-П написано, что "В отношении федеральных законов как актов одинаковой юридической силы применяется правило "lex posterior derogat priori" ("последующий закон отменяет предыдущие"), означающее, что даже если в последующем законе отсутствует специальное предписание об отмене ранее принятых законоположений, в случае коллизии между ними действует последующий закон; вместе с тем независимо от времени принятия приоритетными признаются нормы того закона, который специально предназначен для регулирования соответствующих отношений".
Иными словами, ПП-330 в части обязательной сертификации средств защиты персональных данных не применим ввиду его официального неопубликования. На опасения, что его могут опубликовать, хочу возразить, что если это не сделали за последние 3 с лишним года, то врядли и сделают. В МинОбороны, который был инициатором этого нормативного акта, сейчас не до того. Снять гриф с данного Постановления тоже непросто - процедуры снятия грифа с Постановления Правительства как бы нет.
ЗЫ. Отчасти именно из-за описанной проблемы с непониманием основ права я в прошлом году затеял разработку курса "Законодательство по информационной безопасности в России".
7 коммент.:
Можно ли тогда считать Приказ ФАПСИ № 152 отмененным из-за принятия ПКЗ-2005?
Алексей, а как же быть с информационным сообщением ФСТЭК "о работах в области оценки соответствия.."(http://fstec.ru/component/attachments/download/350)
Какова его юридическая сила?
Я не Алексей и даже не юрист, однако тоже немного изучал тему иерархии нормативных документов. И могу точно сказать, что такого нормативного акта как "информационное сообщение ФСТЭК" не существует. А разъяснения со стороны ФСТЭК о действительности или применимости Постановления Правительства - для юриста это нонсенс. Ведь ФСТЭК даже не высылает по запросу этого постановления, отмазываясь тем, что мол "это не наш уровень, спрашивайте в правительстве"!
И еще добавлю, что если они хотят установить требования о сертификации - так и установили его в приказе №17! Вот на него запросто могут давать разъяснения об особенностях его применения.
Т.е. висит оно на сайте регулятора как муляж камеры видеонаблюдения в автобусе... Пугает только. Организационная мера защиты от регулятора :)
ФСТЭК высказал свою позицию. Я высказал свою. Они примерно равнозначны :-)
Чисто по человечески хочется понять регулятора, почему он так делает, почему оставляет место для творчества в таком критичном вопросе как оценка соответствия средств защиты?... Почему-то не укладывается в голове мозаика.
Как раз регулятор был бы и рад расставить все по своим местам, но ему не дают это сделать эксперты (и я среди них), которые поднимают вой, что оценка соответствия != сертификация. Вот для госов вопросов нет - там знак равенства. А для коммерческих операторов - нет. Но написать прямо, что не сертификация - нельзя. Поэтому и пишут оценка соответствия в установленном порядке
Отправить комментарий