Действия ФСБ имеют далеко идущие последствия

И вот наконец законопроект о приведении терминологии в области ИТ подписан Гарантом Конституции. Изменения поверхностные. Например, вместо «сеть Интернет» теперь «информационно-телекоммуникационная сеть Интернет». Вместо «страница Банка России» теперь «официальный сайт Банка России». Вместо «сети общего пользования» теперь «сети, доступ к которым не ограничен определенным кругом лиц».

Вместо «конфиденциальная информация» теперь «информация, в отношение которой установлено требование об обеспечении ее конфиденциальности». Хотя в некоторых законах термин «конфиденциальная информация» зачем-то поменяли на «информацию ограниченного доступа». Зачем для одного старого термина вводить два новых? Но могу догадаться. Например, последний вариант появляется в законе «О связи». Что это значит? Что к операторам связи теперь нельзя применить требование о наличии лицензии на осуществление деятельности по защите конфиденциальной информации (ФЗ-128 и ПП-504). ФЗ-128 поменяли, а ПП-504 если и будут менять, то только в соответствие с ФЗ-128. Т.е. ухудшить ситуацию для операторов связи уже нельзя. Не зря Минкомсвязь приложила руку к этому законопроекту. Когда хотят, свою выгоду видят и блюдют. Аналогичная «информация ограниченного доступа» появляется и в законе «Об обязательном страховании гражданской ответственности владельцев транспортных средств». Видимо и страховщики тоже подсуетились. Также от конфиденциальности ушли организаторы сельскохозяйственной переписи, ФМС и борцы с коррупцией.

Но есть и достаточно интересные фрагменты. Сами по себе они очень правильны и корректны, но… в совокупности с другими законами выглядят специфически. Например, в законе «О ценных бумагах», п.12 ст.44 теперь должен читаться следующим образом: «обмениваться информацией, в отношении которой установлено требование об обеспечении ее конфиденциальности, в том числе персональными данными, с соответствующим органом (организацией) иностранного государства на основании соглашения с таким органом (организацией), предусматривающего взаимный обмен этой информацией, при условии, что законодательством государства соответствующего органа (организации) предусмотрен не меньший уровень защиты предоставляемой информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, чем предусмотренный законодательством Российской Федерации уровень защиты предоставляемой информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, а в случае, если отношения по обмену информацией регулируются международными договорами Российской Федерации, — в соответствии с условиями данных договоров. Информация, полученная в соответствии с указанными соглашениями, может предоставляться в государственные органы, в том числе правоохранительные, только с согласия соответствующего органа (организации) иностранного государства, предоставившего эту информацию, или на основании судебного акта«. Что значит эта длинная фраза? Толкуется она просто — передавать персональные данные зарубежным организациям теперь нельзя. А все потому, что обсуждаемый последние дни законопроект по персданным установил нереальный уровень защиты персданных в российских организациях. Ни в одной стране мира нет требования использования сертифицированных средств защиты для ПДн. Т.е. во всех странах уровень защиты ниже, чем у нас.

Закон вступает в силу через 10 дней после официального опубликования.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    > передавать персональные данные зарубежным организациям теперь нельзя. <…> во всех странах уровень защиты ниже, чем у нас.

    Смело))) Впереди планеты всей.
    Правильной дорогой идем, товарищи!

    Ответить
  2. Mikhail

    А когда 152-ой будет на рассмотрении у гаранта?

    Ответить
  3. Алексей Лукацкий

    До 27-го июля должен подписать

    Ответить
  4. vit

    Это получается, что в зарубежные облака вынести данные вообще нельзя, так как их уровень защиты по определению "ниже"?

    Ответить
  5. vlad

    Обнять и плакать. Алексей, вы еще напишите, что ни в одной стране мира кроме России нет требований по сертификации СЗИ по требованиям РД ФСТЭК и ФСБ… Кончайте уже истерить.

    Ответить
  6. Baevsky

    >vlad
    А в чем у Лукацкого истерика-то?
    Не вижу в упор. Об этом уже много лет говорится. Всё ждали-ждали — и дождались.

    Ответить
  7. Вадим

    > Вместо "конфиденциальная информация" теперь "информация, в отношение которой установлено требование об обеспечении ее конфиденциальности".

    Скорее всего, это сделали, чтобы "попасть" в терминологию 149-го ФЗ, в котором, в отличие от его предшественника 24-го ФЗ, исчез термин "конфиденциальная информация" и было введено понятие "конфиденциальность информации". Для чего это сделали, до сир пор понять не могу. Была нормальная формулировка из ПКЗ-2005 — ясно и понятно любому здравомыслящему человеку, но потребовалось в очередной раз изобретать кривой велосипед.

    Ответить
  8. Алексей Лукацкий

    Вадиму: Понятно для чего — все-таки надо приводить все к единому знаменателю. Но почему для некоторых очень денежноемких ФЗ этот термин заменили на другой, не совпадающий с ФЗ-149?

    Ответить
  9. Алексей Лукацкий

    vlad: Я лучше поистерю сейчас, чем кусать локти потом

    Ответить
  10. Вадим

    Здесь две картинки из моих снов: первая — авторы далеки от темы; вторая — сделано умышлено — Вы уже озвучили по поводу лицензирования деятельности по ТКЗИ.

    Ответить
  11. Вадим

    Алексею: Хотя по поводу наличия лицензии регулятор всё равно может ткнуть в ПКЗ-2005 и растолкует, что конфиденциальная информация — информация ограниченного доступа, не содержащая сведений, составляющих ГТ, так что речь об одном и том же и давай-ка лицензию на ТЗКИ.

    Ответить
  12. Анонимный

    >Вадим пишет…
    Алексею: Хотя по поводу наличия лицензии регулятор всё равно может ткнуть в ПКЗ-2005

    Не ткнет т.к. ПКЗ именно, что 2005 года — т.е. до принятия нового трехглавого.
    Тут подзаконный акт не приведен в соответствие с более поздним законом т.ч. в суде этот аргумент можно будет продавливать только админресурсом.

    Ответить
  13. Вадим

    > подзаконный акт не приведен в соответствие с более поздним законом

    А какое здесь несоответствие? В разных законах приведены разные половинки определения одного и того же, а в ПКЗ это прописано как одно целое. И несмотря на призыв Волчинской забыть про УП 1111, для суда это действующий документ. И те же персданные в соответствии с ним — сведения конфиденциального характера, а по 152-ФЗ доступ к ним должен быть ограничен — соответственно, сведения ограниченного доступа. Так что вряд ли суд будет рассматривать два этих определения отдельно, да и до суда вряд ли дойдёт.
    Насчёт 2005 года — ПКЗ правилось в 2010-м, так что достаточно свежее.

    Ответить
  14. vsv

    А Лукацкому:
    "А все потому, что обсуждаемый последние дни законопроект по персданным установил нереальный уровень защиты персданных в российских организациях. Ни в одной стране мира нет требования использования сертифицированных средств защиты для ПДн. Т.е. во всех странах уровень защиты ниже, чем у нас."

    Алексей, согласен с тем. что исерить не надо. Да и лукавить тоже. Вы же не хуже других понимаете, что уровень защиты ПДн определяется составом технических требований к механизмам защиты, а не требованием оценки соотвествия (а не сертификации!). А разве обычный обыватель (читай субъект Пдн) способен самостоятельно оценить наличие и правильность реаолизации механизмов защиты в той или иной систем?

    Ответить
  15. Алексей Лукацкий

    Вадим: Интересно, как это обычный приказ может изменять трактовку закона? Ведь в новом ФЗ одному термину четко даны два разных толкования в разных местах. Т.к. основная задача данного ФЗ — уточнение терминологии, то в суде это замечательно можно использовать. Раз законодатели разделили КИ и ИОД, значит это нужно было 😉

    Toparenko также прав. Старые нормативные акты должны быть приведены в соответствие с новым ФЗ.

    Ну и наконец, ПКЗ не имеет никакого отношения к ПП-504 😉 За ПКЗ отвечает ФСБ, за ПП-504 — ФСТЭК.

    Ответить
  16. Алексей Лукацкий

    Вадим: У вас игра слов, приводящая к неверному результату 😉 ФЗ-152 не говорит об ограничении доступа к ПДн. Он говорит о защите прав субъектов и защите ПДн, а не о ограничении доступа к ним.

    И опять же — ПКЗ-2005 не имеет отношения к ТЗКИ.

    Ответить
  17. Вадим

    > У вас игра слов, приводящая к неверному результату 😉 ФЗ-152 не говорит об ограничении доступа к ПДн.

    Алексей, тогда поясните, если нетрудно, в чём разница "принятия мер
    для защиты ПДн от неправомерного или случайного доступа к ним" и "ограничения доступа к ПДн".

    Ответить
  18. Алексей Лукацкий

    Технически разницы может и нет. Но юридически из разделяет пропасть.

    Ответить
  19. Вадим

    > Раз законодатели разделили КИ и ИОД, значит это нужно было 😉

    И всё-таки полагаете, что РАЗДЕЛИЛИ? Даже из этого, по Вашему, не следует, что КИ и ИОД — одно и то же?
    "6) доступ к информации — возможность получения информации и ее использования;
    7) конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя"

    Ладно, оставим до прихода регуляторов и суда 😉

    Ответить
  20. Вадим

    Алексей, прочитал ещё раз на досуге. Теперь всё стало по своим местам.

    > Зачем для одного старого термина вводить два новых?
    > Но почему для некоторых очень денежноемких ФЗ этот термин заменили на другой, не совпадающий с ФЗ-149?
    > Ведь в новом ФЗ одному термину четко даны два разных толкования в разных местах.

    Термин "КИ" не заменили, а окончательно избавились от него в пользу ИОД и "информации, в отношение которой установлено требование об обеспечении ее конфиденциальности" (сокращу до ИТК) именно в соответствии с терминологией 149-ФЗ, так как:

    5.2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

    Т.е. в зависимости от категории доступа те же ПДн могут быть либо общедоступными, либо ИОД — третьего не дано. Поэтому отнести их целиком к ИОД нельзя — используется термин ИТК (опять же, определение конфиденциальности в 149-фз есть). Этим термином убивается ещё одно противоречие: не все виды тайн попадают под определение ИОД по 149-ФЗ (например, та же служебная тайна — пока нет ФЗ), но режим конфиденциальности в отношении такой информации должен соблюдаться.
    Так что термины не новые — всё исправлено именно в соответствии со 149-ФЗ.
    Причём по 149-ФЗ "обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами" (т.е. ИОД). Таким образом, ИОД — это всегда ИТК, а вот ИТК не всегда ИОД. Так что от конфиденциальности ещё никто не уходил 😉
    Теперь остаётся поменять в "пропущенных" 99(128)-ФЗ и ПП-504 термин "КИ" на "ИТК" и всё.

    Ответить