Первый пример связан со старым ПП-687, название которого звучит как «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Многие специалисты в свое время «повелись» на название и посчитали, что ПП-687 касается только неавтоматизированной, т.е. ручной обработки ПДн. Однако, в самом тексте было сказано немного иное, а именно — «Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных,осуществляются при непосредственном участии человека«. Иными словами, если 4 упомянутых действия осуществлялись при непосредственном участии человека (а обычно так и есть), то такая обработка могла считаться осуществляемой без использования средств автоматизации. Специально для недоверчивых в тексте ПП-687 было добавлено — «Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее«.
Но пойдем дальше. Вспомним ПП-1119, а точнее историю его появления. Первоначально вместо одного ПП-1119 планировалось принять два постановления, в одном из которых говорилось не о типе угроз как сейчас, а о категории нарушителей. Это понятие было ближе к авторам постановления (8-му Центру ФСБ) и они хотели использовать именно его. Однако когда проект ПП-1119 ушел в Администрацию Правительства оттуда пришел ответ, что использовать словосочетание «категория нарушителя» нельзя и его надо менять на «тип угрозы», упоминаемое в ФЗ-152.
Третий пример касается практики проведения проверок Роскомнадзором. В одном из известных мне случаев при проверке сотрудник РКН затребовал предусмотренную ст.18.1 ФЗ-152 политику в отношении обработки персональных данных. В ответ ему было представлено Положение об обработке персональных данных. И вот тут последовала странная реакция — требование представить не положение об обработке, а политику в отношении обработки. Попытки объяснить, что это одно и тоже успехом не увенчались и в акте проверки было написано замечание, которое, правда, было быстро устранено, но эта глупая привязка к термину из ФЗ сама по себе показательна.
Наконец, последний пример касается пресловутой «защиты информации», которая фигурирует в названии многих документов ФСТЭК. Например, в приказе №31 по защите АСУ ТП. Мы прекрасно понимаем, что документы ФСТЭК касаются не только и не столько информации, сколько систем, в которых эта информация циркулирует и обрабатывается. Но в названии упоминать «системы» нельзя, т.к. ФСТЭК является заложником очередного термина «федеральный орган, уполномоченный в области защиты конфиденциальной информации». ФСТЭК по версии законодателей (а также юристов Правительства и Администрации Президента) не защищает информационные или автоматизированные системы — она защищает информацию. Поэтому юристы ФСТЭК тратят много усилий на то, чтобы скрыть в тексте приказов то, что понятно любому специалисту — защищать информацию без защиты систем, в которых она обрабатывается, бессмысленно. Именно поэтому в названии многих документов ФСТЭК говорится о защите только информации и только внутри документов это понятия ширится и захватывает еще и сами системы.
Аналогичная ситуация и с ФСБ, которую все привыкли ассоциировать с СКЗИ. И поэтому во многих распоряжениях Президента или Правительства, на основе которых и создаются ведомственные приказы, фигурируют вполне конкретные названия документов, которые мы с вами и видим после их регистрации в Минюсте. Эти названия, зачастую неотражающие реального содержания (или отражающие его неполностью), предписаны сверху и поэтому поменять их практически нереально. Попробовать-то можно, но себе дороже. Именно по этой причине, названия некоторых документов ФСТЭК или ФСБ не всегда совпадают с их содержанием. Это не значит, что регулятор ошибся или вышел за рамки своего поля деятельности. Нет. Регулятор действует в рамках имеющегося распоряжение гаранта Конституции или премьер-министра, но при этом является заложником наименований, которые либо уже используются в каком-то нормативном акте, либо упомянуты в непубличном распоряжении, и отойти от них нельзя.
Отсюда простой вывод. Не всегда стоит ориентироваться только на название документа — надо внимательно читать то, что написано внутри него. Лично я по-прежнему считаю, что 378-й приказ ФСБ касается любого оператора ПДн, а не только тех, кто использует СКЗИ. СКЗИ — это только одна часть приказа регулятора. Вторая касается раскрытия вопросов, которые оставались неотвеченными в ПП-1119. 378-й приказ дает на них ответ. Поэтому в этой части он имеет отношение ко всем.
ЗЫ. Кстати, хочу напомнить, что невзирая на все, что написано в 378-м приказе ФСБ, проверить его исполнение ФСБ имеет право (по закону) только в отношении государственных и муниципальных операторов ПДн. Коммерческие операторы ПДн остаются пока вне поля регулирования ФСБ и ФСТЭК — их может проверить только прокуратура.
Леша, внутри него есть пункт 2, в котором для непонятливых или сомневающихся написано еще раз, для кого этот документ предназначен. Остальные могут не читать.
Алексей, хотел уточнить а на основании чего (какого закона)это высказывание:
"ЗЫ. Кстати, хочу напомнить, что невзирая на все, что написано в 378-м приказе ФСБ, проверить его исполнение ФСБ имеет право (по закону) только в отношении государственных и муниципальных операторов ПДн. Коммерческие операторы ПДн остаются пока вне поля регулирования ФСБ и ФСТЭК — их может проверить только прокуратура."
ФЗ-152 определяет, что ФСБ и ФСТЭК определяют меры по защите ПДн в пределах своих полномочий. Соответственно, каждый из приказов (21-й и 378-й) и реализует полномочия регуляторов: защита некриптографическими средствами — ФСТЭК, криптографическими — ФСБ.
То, что проверяющие из ФСБ иногда не видят границ своих полномочий — другой вопрос 🙂
А п.2. четко говорит: "Настоящий документ предназначен для операторов, использующих СКЗИ для обеспечения безопасности персональных данных при их обработке в информационных системах".
Что бы Вы посоветовали опрератору, не использующему СКЗИ, к которому заявились проверяющие из ФСБ?
to Роман Рузнов: см. ФЗ-152, ст.9 ч.8.
Может и не имеют прав, но кто решится слишком уж резко бодаться с ФСБ.
Александр и Алексей, можно попросить у вас определение СКЗИ?
ПОЛОЖЕНИЕ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО […] ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, […], Утв. ПП №303 от 16.04.2012
"2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:
а) средства шифрования — […];
б) средства имитозащиты — […];
в) средства электронной подписи;
г) средства кодирования — […];
д) средства изготовления ключевых документов — […];
е) ключевые документы — […];
ж) аппаратные шифровальные (криптографические) средства — […];
з) программные шифровальные (криптографические) средства — […];
и) программно-аппаратные шифровальные (криптографические) средства — […]." (см. ориг.).
В п. 3 Положения сказано, что оно "… не распространяется на деятельность с использованием: …
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной; …".
Но из этого не следует, что такие средства не являются СКЗИ.
Я хотел бы, чтобы Алексей и Александр ткнули пальцем, где написано, что страна происхождения за пределами России перестает делать средство криптографическим