Продолжаю тему, начатую в четверг… Пообщался я с коллегами, которые сейчас анализируют поправки в законодательство по информационной безопасности, и ткнули они меня в интересный пункт не только ФЗ-149, но и ГК РФ. Дальше я добавил к этим двум пунктам еще свои изыскания и получилось вот что:
- Ст.3 ФЗ-149 говорит нам, что недопустимо установливать нормативными правовыми актами какие-либо преимущества применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
- Ст.6.3 ФЗ-149 говорит, что только обладатель информации, если иное не предусмотрено федеральными законами, определяет порядок и условия доступа к информации.
- Ст.16.5 ФЗ-149 говорит, что ФСБ и ФСТЭК устанавливают требования по защите информации для государственных информационных систем. Про обязательность требований ФСБ и ФСТЭК для негосударевых ИС в законе ни слова.
- Ст.49.2 ГК РФ говорит о том, что «юридическое лицо может быть ограничено в правах лишь в случаях и в порядке, предусмотренных законом«.
И, наконец, смотрим на ст.16.6 ФЗ-149, которая гласит что «федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации«.
К какому выводу мы приходим? Правильно. Применение средств защиты (сертифицированных или несертифицированных) находится полностью в ведении обладателя информации, т.е. «лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам«.
Но у нас же есть Приказ 199 ФСТЭК, документы ФСБ и даже неуловимое Постановление Правительства 330?.. Безусловно есть. Только вот вышеприведенные ФЗ-149 и ГК РФ четко говорят, что любое ограничение (а использование сертифицированных СЗИ — это именно ограничение) должно быть указано в федеральном законе и никак иначе. А даже Постановление Правительства имеет меньшую юридическую силу, чем закон.
Ура! про ГК я знал, но юристы разводили руками! Спасибо! Теперь нужны судебные прецеденты.
Отличная статья, с анализом законодательства
1,2 и 3 пункты не в тему, если внимательно читать и не притягивать за уши. ИМХО.
4 пункт спорный — является ли ограничением в правах юрлица требование применять прошедшие оценку соответствия средства, ведь выбор все равно остается и возможность реализовать право обработки ПДн тоже?
Ст. 16.6 ФЗ-149 интересней. Вот только лучше бы она звучала так "Только федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации".
Кстати, подняв сейчас эту тему, как бы напоминаем регуляторам внести еще одну поправку в ФЗ-152 — об оценке соответствия средств защиты :).
Joky: Аргументируйте!
А какие аргументы здесь, кроме того что эти пункты перечислены? Я вот их прочитал и не вижу, каким образом они позволяют применять не сертифицированные средства?
Но если хотите…
п.1 Установить обязательность применения определенных инфотехнологии — это например написать, что все персданные обрабатывать только в терминальном режиме. Или например только в виртуалке, только в СУБД промышленного типа и т.п.
А требование об оценке соответствия — это свойство, которое должно быть у любых инфотехнологий, которые будут применяться для защиты.
п.2 Ну так иное и предусмотрено п.2 ст.19 ФЗ-152. В отношении остальной своей информации обладатель может делать, что хочет.
п.3. Статья 16.5 ФЗ-149 говорит, что "ФСТЭК и ФСБ устанавливают требования для государственных информационных систем".
Не более и не менее. Где здесь написано, что в другом законе за ними не может быть закреплено право и обязанность устанавливать требования для других информационных систем?
Joky: вообще-то более четкие требования установление для гос. учреждений… некомерч. организации, юр. л и физ. лица могут применять не сертифицированные средства, могут применять любые средств для защиты ПДН, в том числе ПО не российского производства.
ЕвгенийКР:
Да могут конечно, я разве спорю…
А еще каждое физлицо может в телескоп посмотреть на солнце. Правда всего два раза, но это ведь мелочи, правда? 🙂
ФСТЭК в последнее время пытается притянуть ПДн как раз в государственные информационные ресурсы, которые у нас также очень странно учитываются… В общем в мутной воде мы ловим рыбу. 🙂
Joky: По п.3. Я же не написал, что не надо нигде и никогда использовать сертифицированные СЗИ. Надо. Только при условии, что это "надо" прописано в каком-либо законе. Так вот таких законов пока нет. А раз нет, то никаких ограничений на уровне нижестоящих нормативных актов быть не должно.
Ну натянуть ПДн на ГИР — это сильно 😉
Два юриста — три мнения 🙂 Нужны судебные прецеденты. Спасибо Алексею за пост — поставлю себе на вооружение.
А разве у нас прецендентная судейская система? Можно приводить неограниченное число случаев, когда по одинаковым делам выносятся разные решения.
А еще, раз уж стали собирать законы в кучку, мало рассматривать только 2-3 федеральных закона. Надо хотя бы собрать все законы по теме.
И последнее. Так ни от кого и не могу добиться пояснения законодательного выверта: ФЗ перекладывает (делегирует) определение порядка обработки персональных данных на орган исполнительной власти в конкретной ситуации. И как рассматривать подзаконный акт, который выпускает этот орган? Что требования установлены ФЗ или не ФЗ? Если второе — очень всем тяжело будет.
ПП300 ввело в действие положение об особенностях оценки соответсвия продукции …. Так вот в п.1 сказано: Настоящее положение не распространяется на продукцию (работы, услуги) используемую в целях защиты информации конфиденциального характера, не являющейся ГИС и (или) персональными данными, а так же на связанные с ней процессы.Следует ли из этого , что ПП300 не распространяется на СЗПДн?
Двойное отрицание. Убирайте два "не" и получаете, что ПП-330 именно на ГИР и ПДн и распространяется.
Алексей, Ваш пост я направил трем юристам. Один из них согласился с Вашим мнением, второй — в отпуске и велел не мешать ему отдыхать 🙂 ну а третий сказал буквально следующее:
"Внимательно читайте определения и оценивайте смысловую нагрузку. Слова "установлена" и "предусмотрено", встречающиеся в 149-ФЗ относительно сертифицированных СЗИ, и слово "указано в ФЗ" — разные вещи: первые два не предполагают непосредственного указания в тексте ФЗ детализованных требований. Поэтому фраза "должно быть указано в федеральном законе и никак иначе" — не соответствует действительности. 152-ФЗ — федеральный закон, в нем если угодно "указано", что требования к технической защите ПДн определяют ФСБ и ФСТЭК — с юридической точки зрения, этого вполне достаточно для реализации положений 149-ФЗ — так как это означает, что требования "установлены" и "предусмотрены" в 152-ФЗ, с дальнейшей их расшифровкой в подзаконных актах. Любой суд скажет именно так."
Вот такое мнение.
Ну то есть такая точка зрения имеет право на существование 😉 Уже неплохо.
🙂 имеет, как и любая другая. Кстати, в 1 части, где в комментариях avetjan писал про статью 9 в отношении того, что якобы "149-ФЗ идет лесом, если дело касается ПДн" — это действительно так, ибо п. 9 ст. 9 "Ограничение доступа к информации" говорит нам: "Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных". Мы все учились по-немногу 🙂
А как использование СЗИ связано с порядком доступа к ПДн?
Никак. В 1 части "старозаконной" серии речь шла об общедоступных данных 😉
Хороший анализ, только зря Вы, господин хороший, умы смущаете. Проверять соответсвие ИСПДн предъявляемым требованиям придет не правозащитник, а регулятор, которому Ваши рассуждения представятся, по крайней мере, неубедительными.
Имхо, Вы оказываете операторам ПДн медвежью услугу, провоцируя их на лишние конфликты с регулятором.
Если Вы действительно хотите помочь, то обратитесь в суд с иском о признании не обязательности применения для защиты ИСПДн сертифицированных средств защиты, выиграйте его и операторы ПДн Вам до земли поклонятся, а лицензиаты регуляторов с удовольствием к ним присоединятся.
А так, уж извините, от Ваших мыслей пользы то нет, вред один…..
bmi: Уважаемый, мне, честно говоря, все равно, что думают регуляторы, если они при этом нарушают законодательство, которое они же и призваны защищать. И если регулятор в лице ФСТЭК в Новосибирске может с трибуны заявлять, что на обновление антивируса нужна лицензия ФСТЭК, то мне жаль и регулятора и того, кто прислушивается к такому мнению регулятора.
Что же касается обращения в суд, то вы путаете романо-германское право с англо-саксонским. Именно в последнем есть система прецедентов, когда однажды принятое решение влияет на все последующие. У нас же все по другому и принятое в отношении моего иска решение никак не влияет на все последующие. За исключением только одного случая — решение является разъяснением Верховного Суда (хотя с ними-то не все просто).