Как полезно иногда читать «старые» законы — 2 или почему можно не использовать сертифицированные средства защиты?

Продолжаю тему, начатую в четверг… Пообщался я с коллегами, которые сейчас анализируют поправки в законодательство по информационной безопасности, и ткнули они меня в интересный пункт не только ФЗ-149, но и ГК РФ. Дальше я добавил к этим двум пунктам еще свои изыскания и получилось вот что:

  1. Ст.3 ФЗ-149 говорит нам, что недопустимо установливать нормативными правовыми актами какие-либо преимущества применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
  2. Ст.6.3 ФЗ-149 говорит, что только обладатель информации, если иное не предусмотрено федеральными законами, определяет порядок и условия доступа к информации.
  3. Ст.16.5 ФЗ-149 говорит, что ФСБ и ФСТЭК устанавливают требования по защите информации для государственных информационных систем. Про обязательность требований ФСБ и ФСТЭК для негосударевых ИС в законе ни слова.
  4. Ст.49.2 ГК РФ говорит о том, что «юридическое лицо может быть ограничено в правах лишь в случаях и в порядке, предусмотренных законом«.

И, наконец, смотрим на ст.16.6 ФЗ-149, которая гласит что «федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации«.

К какому выводу мы приходим? Правильно. Применение средств защиты (сертифицированных или несертифицированных) находится полностью в ведении обладателя информации, т.е. «лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам«.

Но у нас же есть Приказ 199 ФСТЭК, документы ФСБ и даже неуловимое Постановление Правительства 330?.. Безусловно есть. Только вот вышеприведенные ФЗ-149 и ГК РФ четко говорят, что любое ограничение (а использование сертифицированных СЗИ — это именно ограничение) должно быть указано в федеральном законе и никак иначе. А даже Постановление Правительства имеет меньшую юридическую силу, чем закон.

    Оцените статью
    Бизнес без опасности
    Есть что добавить? Добавьте!

    Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

    1. Baevsky

      Ура! про ГК я знал, но юристы разводили руками! Спасибо! Теперь нужны судебные прецеденты.

      Ответить
    2. ЕвгенийКР

      Отличная статья, с анализом законодательства

      Ответить
    3. Анонимный

      1,2 и 3 пункты не в тему, если внимательно читать и не притягивать за уши. ИМХО.

      4 пункт спорный — является ли ограничением в правах юрлица требование применять прошедшие оценку соответствия средства, ведь выбор все равно остается и возможность реализовать право обработки ПДн тоже?

      Ст. 16.6 ФЗ-149 интересней. Вот только лучше бы она звучала так "Только федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации".

      Кстати, подняв сейчас эту тему, как бы напоминаем регуляторам внести еще одну поправку в ФЗ-152 — об оценке соответствия средств защиты :).

      Ответить
    4. Baevsky

      Joky: Аргументируйте!

      Ответить
    5. Анонимный

      А какие аргументы здесь, кроме того что эти пункты перечислены? Я вот их прочитал и не вижу, каким образом они позволяют применять не сертифицированные средства?

      Но если хотите…

      п.1 Установить обязательность применения определенных инфотехнологии — это например написать, что все персданные обрабатывать только в терминальном режиме. Или например только в виртуалке, только в СУБД промышленного типа и т.п.

      А требование об оценке соответствия — это свойство, которое должно быть у любых инфотехнологий, которые будут применяться для защиты.

      п.2 Ну так иное и предусмотрено п.2 ст.19 ФЗ-152. В отношении остальной своей информации обладатель может делать, что хочет.

      п.3. Статья 16.5 ФЗ-149 говорит, что "ФСТЭК и ФСБ устанавливают требования для государственных информационных систем".
      Не более и не менее. Где здесь написано, что в другом законе за ними не может быть закреплено право и обязанность устанавливать требования для других информационных систем?

      Ответить
    6. ЕвгенийКР

      Joky: вообще-то более четкие требования установление для гос. учреждений… некомерч. организации, юр. л и физ. лица могут применять не сертифицированные средства, могут применять любые средств для защиты ПДН, в том числе ПО не российского производства.

      Ответить
    7. Анонимный

      ЕвгенийКР:
      Да могут конечно, я разве спорю…

      А еще каждое физлицо может в телескоп посмотреть на солнце. Правда всего два раза, но это ведь мелочи, правда? 🙂

      Ответить
    8. Алексей Т.

      ФСТЭК в последнее время пытается притянуть ПДн как раз в государственные информационные ресурсы, которые у нас также очень странно учитываются… В общем в мутной воде мы ловим рыбу. 🙂

      Ответить
    9. Алексей Лукацкий

      Joky: По п.3. Я же не написал, что не надо нигде и никогда использовать сертифицированные СЗИ. Надо. Только при условии, что это "надо" прописано в каком-либо законе. Так вот таких законов пока нет. А раз нет, то никаких ограничений на уровне нижестоящих нормативных актов быть не должно.

      Ответить
    10. Алексей Лукацкий

      Ну натянуть ПДн на ГИР — это сильно 😉

      Ответить
    11. Unknown

      Два юриста — три мнения 🙂 Нужны судебные прецеденты. Спасибо Алексею за пост — поставлю себе на вооружение.

      Ответить
    12. ZZubra

      А разве у нас прецендентная судейская система? Можно приводить неограниченное число случаев, когда по одинаковым делам выносятся разные решения.
      А еще, раз уж стали собирать законы в кучку, мало рассматривать только 2-3 федеральных закона. Надо хотя бы собрать все законы по теме.
      И последнее. Так ни от кого и не могу добиться пояснения законодательного выверта: ФЗ перекладывает (делегирует) определение порядка обработки персональных данных на орган исполнительной власти в конкретной ситуации. И как рассматривать подзаконный акт, который выпускает этот орган? Что требования установлены ФЗ или не ФЗ? Если второе — очень всем тяжело будет.

      Ответить
    13. Анонимный

      ПП300 ввело в действие положение об особенностях оценки соответсвия продукции …. Так вот в п.1 сказано: Настоящее положение не распространяется на продукцию (работы, услуги) используемую в целях защиты информации конфиденциального характера, не являющейся ГИС и (или) персональными данными, а так же на связанные с ней процессы.Следует ли из этого , что ПП300 не распространяется на СЗПДн?

      Ответить
    14. Алексей Лукацкий

      Двойное отрицание. Убирайте два "не" и получаете, что ПП-330 именно на ГИР и ПДн и распространяется.

      Ответить
    15. Unknown

      Алексей, Ваш пост я направил трем юристам. Один из них согласился с Вашим мнением, второй — в отпуске и велел не мешать ему отдыхать 🙂 ну а третий сказал буквально следующее:

      "Внимательно читайте определения и оценивайте смысловую нагрузку. Слова "установлена" и "предусмотрено", встречающиеся в 149-ФЗ относительно сертифицированных СЗИ, и слово "указано в ФЗ" — разные вещи: первые два не предполагают непосредственного указания в тексте ФЗ детализованных требований. Поэтому фраза "должно быть указано в федеральном законе и никак иначе" — не соответствует действительности. 152-ФЗ — федеральный закон, в нем если угодно "указано", что требования к технической защите ПДн определяют ФСБ и ФСТЭК — с юридической точки зрения, этого вполне достаточно для реализации положений 149-ФЗ — так как это означает, что требования "установлены" и "предусмотрены" в 152-ФЗ, с дальнейшей их расшифровкой в подзаконных актах. Любой суд скажет именно так."

      Вот такое мнение.

      Ответить
    16. Алексей Лукацкий

      Ну то есть такая точка зрения имеет право на существование 😉 Уже неплохо.

      Ответить
    17. Unknown

      🙂 имеет, как и любая другая. Кстати, в 1 части, где в комментариях avetjan писал про статью 9 в отношении того, что якобы "149-ФЗ идет лесом, если дело касается ПДн" — это действительно так, ибо п. 9 ст. 9 "Ограничение доступа к информации" говорит нам: "Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных". Мы все учились по-немногу 🙂

      Ответить
    18. Алексей Лукацкий

      А как использование СЗИ связано с порядком доступа к ПДн?

      Ответить
    19. Unknown

      Никак. В 1 части "старозаконной" серии речь шла об общедоступных данных 😉

      Ответить
    20. bmi

      Хороший анализ, только зря Вы, господин хороший, умы смущаете. Проверять соответсвие ИСПДн предъявляемым требованиям придет не правозащитник, а регулятор, которому Ваши рассуждения представятся, по крайней мере, неубедительными.
      Имхо, Вы оказываете операторам ПДн медвежью услугу, провоцируя их на лишние конфликты с регулятором.
      Если Вы действительно хотите помочь, то обратитесь в суд с иском о признании не обязательности применения для защиты ИСПДн сертифицированных средств защиты, выиграйте его и операторы ПДн Вам до земли поклонятся, а лицензиаты регуляторов с удовольствием к ним присоединятся.
      А так, уж извините, от Ваших мыслей пользы то нет, вред один…..

      Ответить
    21. Алексей Лукацкий

      bmi: Уважаемый, мне, честно говоря, все равно, что думают регуляторы, если они при этом нарушают законодательство, которое они же и призваны защищать. И если регулятор в лице ФСТЭК в Новосибирске может с трибуны заявлять, что на обновление антивируса нужна лицензия ФСТЭК, то мне жаль и регулятора и того, кто прислушивается к такому мнению регулятора.

      Что же касается обращения в суд, то вы путаете романо-германское право с англо-саксонским. Именно в последнем есть система прецедентов, когда однажды принятое решение влияет на все последующие. У нас же все по другому и принятое в отношении моего иска решение никак не влияет на все последующие. За исключением только одного случая — решение является разъяснением Верховного Суда (хотя с ними-то не все просто).

      Ответить