Грядет новое четверокнижие?!

Помните ли вы, как появилось первое четверокнижие ФСТЭК? Сначала появилось 781-е постановление Правительства (17 ноября), в котором ФСТЭК и ФСБ предписывалось выпустить в трехмесячный срок нормативные документы по защите персданных. Потом требования пошло по инстанциям и когда оно спустилось до исполнителей оставалось совсем мало времени до выпуска нормативно-правовых актов (правда, ФСТЭК таковыми их не считала) с конкретизацией защитных мер. В итоге мы получили то, что получили. Кто-то даже говорил, что это чья-то диссертация. Ну да суть не в этом… Документы были выпущены в такой спешке, что потом операторы персданных долго разгребали последствия от их применения.

Сейчас, после выхода новой редакции ФЗ-152, регуляторы должны выпустить новые требования. Какими они будут? Хочется верить, что адекватными. Многие, с кем мне довелось пообщаться, говорят, что времени на разработку достаточно. Но так ли это?

С 1-го января 2012-го года начнутся проверки выполнения новых требований по безопасности, разрабатываемых ФСТЭК и ФСБ. Но чтобы проверки начались с 1-го января именно следующего года, ФСТЭК и ФСБ должны направить до 1-го ноября в прокуратуру план проверок с указанием правового основания для проведения проверочных мероприятий. Так следует из ФЗ-294 и 319-го приказа Генпрокуратуры. Правда, ситуация на практике обычно выглядит немного иначе. Например, к 1-му января в сводном плане проверок отсутствовали упоминания ФСБ, а совсем недавно на сайте ФСБ оказался план проверок, в котором присутствовало 265 организаций. Видимо внесение задним числом в план проверок — это из той же оперы, что и подмена одного законопроекта другим.

Но если все будет по-честному, то на разработку требований у регуляторов остается всего-то август, сентябрь и октябрь, т.е. 3 месяца. Немало, скажете вы. Ведь родили четверокнижие за такой срок. Не спорю, родить нормальный документ за этот срок реально. Только вот незадача… Защитные меры должны опираться на разрабатываемые Правительством уровни защищенности. А вот тут у меня зарождаются сомнения, способно ли Правительство разработать такие уровни с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности. Т.е. тут не одномерное пространство — «класс ИСПДн — список защитных мер», а многомерное. И все это за три месяца. Успеют ли?…

ЗЫ. Читающим этот пост коллегам из ФСТЭК предлагаю сотрудничество в деле разработки адекватных документов.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Сергей Борисов

    Во ФСТЭК и ФСБ уже давно идет разработка этих новых документов.

    Ответить
  2. Albert

    Алексей, думается Ваша помощь в разработке не понадобится…

    Ответить
  3. Алексей Лукацкий

    Сергей Б.: Да, я знаю. Только в ФСБ эти документы уже скоро как 2 года разрабатываются и проблема не в контенте, а в его согласовании.

    Albert: Кому думается?

    Ответить
  4. Сергей

    Уровень безопасности связан с моделью угроз (ч.11 ст. 19). Угрозы первичны и их должны разработать (ч. 5 ст. 19), причем по видам деятельности. Кроме банковской отраслевой модели ( и вроде связисты) других пока нет.

    Ответить
  5. Алексей Лукацкий

    Есть еще модель у Минздрава, НАУФОР и НАПФ.

    Ответить
  6. Сергей

    Это мизер. Если заглянуть в ОКВЭД…
    А типовая модель уже не прокатит. Они еще сами толком не осознали куда вляпались. Был же вариант с отраслевым регулированием, не захотели. Нельзя объять необъятное.

    Ответить
  7. Алексей Лукацкий

    Это не они вляпались ;-( Они просто выпустят то, что СМОГУТ и вляпаемся уже мы.

    Ответить
  8. Алексей Т.

    А с чего Вы решили, что нужно новое 4-х книжие? ИМХО под новый ФЗ старые документы отлично ложаться — тут тебе и уровни защищенности (классы ИСПДн) и моделирование угроз. А ущерб субъекту это не ответственность ФСТЭК, пусть РКН разрабатывает. Я бы не стал ждать новых документов.

    Ответить
  9. Алексей Лукацкий

    Алексею Т.: Я бы тоже не хотел новых документов, но увы… В новой нормативке нет понятия "классификация ИСПДн". Поэтому надо как минимум разрабатывать новый "приказ трех". Потом под него подкладывать 58-й приказ. А это непросто. Т.к. 58-й приказ плоский и не учитывает природу ПДн, технологии их обработки, особенности деятельности оператора.

    Ответить
  10. Евгений III

    Алексей,

    А что мешает сделать аналитику этого N-мерного пространства и
    получить на выходе M-уровней (читай классов)?!

    Кстати, что там с вашими поправками в КоАП?
    Минкомсвязь их взялась двигать или положила под сукно?

    Ответить
  11. Albert

    Алексей: Думается мне. Я знаю, что там есть кому этим предметно заниматься.

    Ответить
  12. Алексей Лукацкий

    Евгений: Ничто не мешает. Но кто-то это должен сделать за оставшиеся 3 месяца.

    Albert: Счастливый, Вы, человек 😉

    Ответить
  13. ZZubra

    А кто читал пункт 2 статьи 3 ФЗ №261-ФЗ? Мне показалось, что у нас теперь два закона. Старая редакция и соответственно под законники — для тех, кто уже в "отношениях", а вот новая редакция — только для тех, кто собирается вступить в них. И для них будут новые под законники. Али не так? 😉

    Ответить
  14. Алексей Лукацкий

    Одновременно две редакции одного закона действовать не могут

    Ответить
  15. ZZubra

    Цитирую: Действие положений Федерального "закона" от 27 июля 2006 года N 152-ФЗ "О персональных данных" (в редакции настоящего Федерального закона) распространяется на правоотношения, возникшие с 1 июля 2011 года.

    Вот и как это понимать???

    Ответить
  16. Алексей Лукацкий

    Что правоотношения, появившиеся после 1-го числа, подпадают под данный ФЗ. Ст.4 ГК — закон обратной силы не имеет.

    Ответить
  17. ZZubra

    Вот и я про то ж. Получаем две действующих редакции. Для тех кто "до" и для тех кто "после".

    Ответить
  18. Алексей Лукацкий

    Это НОРМА ПРАВА. Новый закон не может распространяться на предыдущие правоотношения, если это не оговорено специально. В прежнем законе была аналогичная формулировка (в отношении ИСПДн).

    Ответить
  19. ZZubra

    У меня конечно возник вопрос, а почему нельзя было это прямо в ФЗ специально написать, ну да ладно.

    От этого суть СУЩЕСТВУЮЩЕЙ проблемы не изменилась. Все системы до 1 июля созданные и уже с данными должны соответствовать закону в старой редакции и под законникам как следствие.
    Так это? Если не так, то почему и как?

    Ответить
  20. ZZubra

    И вопрос ведь не по 18 и 19 статьям (((

    Ответить
  21. Алексей Лукацкий

    1. Закон разбивается на 2 части — технику (защита ПДн) и оргвопросы (защита прав).

    2. По первой части закон вступил в силу только сейчас, т.к. с момента принятия закона в 2006-м году эта статья то была отложена, то переносилась. Поэтому она вступила в силу только сейчас.

    3. По второй части закон вступил в силу с 2007-го года. Вторая редакция — с 27-го июля 2011 года, но задним числом его распространили и на весь июль. Но только в части защиты прав. Это значит, что если тебя наказали за ведение списка должников без их согласия в прошлом году, то суд и РКН/прокуратура были правы. А вот с 1-го июля это уже ненаказуемо 😉

    Ответить
  22. Алексей Лукацкий

    А до 27 июля 2006 года ты вообще мог плевать на защиту прав субъектов 😉

    Ответить
  23. ZZubra

    Конечно НЕ мог! Главное не нарушать Конституцию!!!! У нее прямое действие и дополнительный ФЗ не нужен. Иначе УК — там нормы были.

    Не-не-не! В предыдущих редакциях говорилось о правах и ИСПДн. Тут все вместе. Тут ФЗ в редакции.

    Насчет наказаний — это в УК и КОАП написано. Но никак не ФЗ152. Так что не подходит. А в ФЗ152 — как и что выполнять — в разных редакциях по-разному.

    Ответить
  24. ZZubra

    И граница между ними проведена.

    Ответить
  25. Алексей Лукацкий

    Еще раз. Закон по персданным у нас ОДИН (в последней редакции). И действует СЕЙЧАС именно последняя редакция. А в правоотношениях с 26 июля 2006 года до 1 июля 2011 года ДЕЙСТВОВАЛА старая версия закона.

    Ответить
  26. ZZubra

    >А в правоотношениях с 26 июля 2006 года до 1 июля 2011 года ДЕЙСТВОВАЛА старая версия закона.

    ДЕЙСТВОВАЛА или ДЕЙСТВУЕТ? Ведь по ФЗ и ГК закон обратной силы не имеет и что уже сделано так и должно оставаться. А это процесс длящийся. Отношения-то не завершились.

    Ответить
  27. ZZubra

    А хотите я Вам перечень всех косяков не 18 и 19 статей дам? Ну там про то, что теперь общедоступным данным надо конфиденциальность обеспечить или про неотчуждаемое право, которым теперь может распоряжаться иное физическое лицо?

    Ответить
  28. ZZubra

    Кусочек есть тут (про статью 22.1): http://hayrov.blogspot.com/2011/07/blog-post_31.html?showComment=1312193315286#c5594325791684188929

    Ответить
  29. Алексей Лукацкий

    давай список всех косяков

    Ответить
  30. ZZubra

    Ок. Только немножко времени надо. Я только на список потратил всю субботу. Надо же еще приписать, что не так и с чем конфликтует. В уме уже понимаю, надо НАПИСАТЬ.

    В списке было очень много. Но на 8, 12, 18 и 26 прочтениях многое стало на свои места, особенно с учетом изменения в одном месте, влекущим иное понимание в десятке других статей.

    Ответить
  31. ZZubra

    Да и в консультанте общая редакция только сегодня появилась. А по ее прочтению — еще вылезло. Особенно с их сервисом сравнения редакций.

    Ответить