Как регуляторы наплевали на распоряжение Гаранта Конституции

Выложили на сайте Госдумы НОВЫЙ текст законопроекта по персданным, который 1-го июля будут рассматривать во втором (и не дай, Президент, в третьем) чтении. Помимо коренной переработке 19-й статьи (даже не в том варианте, который я видел вчера), из текущего варианта пропали некоторые ранее уже согласованные моменты. Например, раньше обработка данных, подпадающих под 115-ФЗ, попадала в исключения, на которые не распространяется ФЗ-152. а сейчас это исключение исчезло ;-(

Но вернемся к ст.19. Давно я не видел столь грамотно проработанных текстов от наших регуляторов. Кто там их консультировал, интересно. Итак ключевые моменты статьи, растянувшейся на 8 (!) страниц:

  1. Оператор обязан защищать ПДн.
  2. Моделирование угроз теперь обязательно на уровне закона.
  3. Средства защиты должны пройти оценку соответствия в установленном порядке.
  4. Уровни защищенности и требования по защите устанавливает Правительство, а уже в следующем пункте Правительство делегирует это право ФСТЭК и ФСБ.
  5. Госорганы, органы власти, ЦБ, внебюджетные фонды имеют право создавать модели угроз. Они должны быть согласованы с ФСТЭК и ФСБ.
  6. Ассоциации, союзы и иные объединения операторов могут определить дополнительные угрозы. Но уменьшить ни-ни. Это угрозы тоже должны быть согласованы с ФСТЭК и ФСБ, но… в порядке, установленном Правительством. Заметили нюанс? Для госорганов такого порядка не надо. А раз у нас порядка, согласованного Правительством, нет, то… правильно, ассоциации и союзы имеют право, но не могут им воспользоваться. Регуляторы умывают руки — демократия налицо.
  7. Меры по защите не могут определять никто кроме ФСТЭК и ФСБ.
  8. В прежнем варианте контроль и надзор со стороны ФСТЭК и ФСБ был разрешен только в отношении госорганов. Но могли ли регуляторы упустить такую кормушку? Конечно же нет. И в текущем варианте ФСТЭК и ФСБ с учетом значимости и содержания ПДн решением Правительства могут быть наделены полномочиями по контролю и надзору негосударственных информационных систем.

Казалось бы новая статья ст.18.1 полностью соответствует Евроконвенции и дает право оператору самостоятельно определять состав и перечень мер, необходимых и достаточных для защиты персданных. Но регуляторы добавили маленький такой штришок и картина поменялась. Теперь оператор может все определять самостоятельно «если иное не предусмотрено настоящим федеральным законом«.

Редко регуляторы от меня дожидаются похвалы, но сейчас я снимаю перед ними шляпу. Они предусмотрели почти все, чтобы занимательная арифметика трехлетней давности воплотилась в жизнь.

Честно говоря, данные поправки перечеркнули все те благие начинания, к которым были причастны многие читатели этого блога (включая и меня), входящие в разные рабочие группы и комитеты. Да, с точки зрения защиты прав оператора ПДн ситуация стала полегче, но с точки зрения защиты самих ПДн ситуация ухудшилась по сравнению с 58-м приказом. Теперь никаких виляний в сторону и попыток творческого подхода к чтению законов. Ситуация изменилась; и в худшую сторону.

ЗЫ. Сейчас именно тот случай, когда я уже не ратую за скорейшее принятие этого законопроекта. Лучше бы в пятницу его завернули и отложили до осени. Иначе принятый в спешке закон такого шороха всем даст, что мало не покажется.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Ригель

    Где принимают ставки, что третьего в пятницу не будет? Я бы поставил.

    Ответить
  2. Алексей Лукацкий

    В любой букмекерской конторе.

    Ответить
  3. Unknown

    А что изменится-то? Вот тебе и революция. Смысл отраслевых стандартов полностью нивелирован, ущерб субъекту — полностью исключен, а все ЛООПДППО по идее попадают на лицензию по ТЗКИ, поскольку деятельность по защите ПДн они должны будут вести не на основе стандартов (идет четкий отсыл на статью 19) и не в собственных интересах (нуждах), а в интересах другого лица — со всеми вытекающими.

    Ответить
  4. Unknown

    Этот комментарий был удален автором.

    Ответить
  5. Ригель

    Если смотреть на закон и не смотреть на РД регуляторов (что, конечно, сложно — я понимаю), то баланс интересов операторов и субъектов продолжает стремиться к нормали. Был вдруг перевес в пользу первых — вернули.

    Ответить
  6. Алексей Лукацкий

    Алексей, ты пока не торопись. Все еще может поменяться. Как уже поменялось на этой неделе один раз.

    Ригель, нет баланса ;-( Он есть в Конвенции, но не в ФЗ-152

    Ответить
  7. Ригель

    Я в более широком смысле. Вот если абстрагироваться пока от конкретики РД, государство устанавливает минимальные требования, выше которых можно, ниже нет — это плохо? Как принцип.

    Ответить
  8. Алексей Лукацкий

    Ну в США принцип иной — делай что хошь, но если по твоей вине нанесен ущерб субъектам, к тебе придут и накажут.

    В Европе подход промежуточный. Защищаться должен. Но решай сам, как. Уполномоченный орган РЕКОМЕНДУЕТ, но не обязывает различные стандарты.

    Ответить
  9. Ригель

    Этот комментарий был удален автором.

    Ответить
  10. Ригель

    Примерил это на ПДД, занятно.

    "В США государство не определяет, на какой сигнал ездить, а если что-то случается, нагревает на этом руки.

    В Европе государство не рекомендует ездить на красный, но пусть все решают сами."

    Пешеходу это должно нравиться?

    Ответить
  11. Алексей Лукацкий

    Если его не давят, ему пофигу. А если давят, то он жалуется и нарушителю мало не покажется. А у нас накажут за непристегнутый ремень, а за наезд можно отмазаться ;-(

    Ответить
  12. Ригель

    Это правильная претензия, но не к ФЗ (ПДД).

    Ответить
  13. Ren

    От чтения данного документа остается какое-то мерзостное ощущение. Не хочется верить в то, что его могут принять в такой форме.

    p.s. Там ещё Банк России пролез в 4 статью. Даст ли такая формулировка возможность игнорировать 19 статью?

    Ответить
  14. Ren

    точнее не игнорировать, а вольно интерпретировать

    Ответить
  15. Алексей Лукацкий

    В этом пункте ЦБ дается право создавать свою модель угроз, РАСШИРЯЮЩУЮ ФСТЭКовскую/ФСБшную. Про меры защиты там ни слова ;-( А вот меры по защите могут разрабатывать АРБ, союзы и другие объединения. Но ЦБ не относится ни к одним из них. Но зато он свой СТО проводит под закон об НПС. Так что хитросплетений масса ;-(

    Ответить
  16. A

    Кто-нить ссылку то на законопроект может дать?

    Ответить
  17. Unknown

    Да здесь он… http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02

    Третьего чтения не будет — во всех сопроводиловках идет "принять во втором".

    Алексей, я и не тороплюсь — помирать нам рановато 🙂 Но то, что опубликовано, повергает меня в определенное состояние, которое мне не нравится.

    Ригелю отвечу у себя.

    Ответить
  18. Андрей Абрамов

    Алексей, а где в тексте написано про оценку соответствия, в упор не вижу (пункт 3 поста)?

    Ответить
  19. Андрей Абрамов

    Я взял текст с сайта госдумы, у Вас другой текст?
    И про моделирование угроз не вижу…

    Ответить
  20. Unknown

    34-я страница. 3-й пункт, вносящий изменения в ст. 19.

    Ответить
  21. Unknown

    Все там есть, может, не то взяли?

    Ответить
  22. Андрей Абрамов

    Этот комментарий был удален автором.

    Ответить
  23. Андрей Абрамов

    простите, нашел… без 1/2 литра…

    Ответить
  24. Ригель

    Моделирование угроз — это оценка рисков на самом деле. Оценка рисков — это единственный нормальный подход к обеспечению безопасности.
    "Ай-яй-яй, какой ужас: государство не разрешает нам защищать ПДн, как вздумается левой ноге, а хочет обоснованного с т.зр. оценки рисков!".
    Субъекты в моем лице [недоум]евают.

    Ответить
  25. ZZubra

    РИГЕЛЬ — СУПЕР РЕСПЕКТ!!!!

    Одного не пойму.
    1. Разрабатывался закон о полиции. Сделели всенародное обсуждение — т.к. касается прав всего народа. ОК.
    2. Законопроект об образовании — аналогично.
    3. закон о персональных данных, стоящий в Конституции рядом с двумя предыдущими требованиями (безопасность, ограничение прав, образование) даже никто всенародно пообсуждать не предлагает. Чай бояться лоббисты народа…

    Ответить
  26. Сергей

    Оторвать регуляторов от кормушки очень сложно. Декларация о рыночной экономике — бред, почему не используют рыночные механизмы в ЗоПДн? Это деньги, регуляторов и интеграторов. Свой кусок они не отдадут.

    Ответить
  27. Евгений III

    Про гаранта конституции, надо полагать, имелось в виду его указание разрулить тему к 1 августу?

    Ответить
  28. Unknown

    ZZubra: а скажите, какой-то толк от всех этих обсуждений был? Отвечу за Вас — не был.

    Ответить
  29. Unknown

    Оценка рисков — хороший подход к обеспечению безопасности. Но в прадигме "защита данных ради данных" это бессмысленно. Основной критерий оценки рисков — вероятность утечки/искажения/уничтожения — остался неизменным, и прописан в законе. А должен быть — ущерб субъекту.

    Вред и ущерб — не одно и то же. И потом — этот вред встречается вскользь, а обязательные методы защиты — строго установлены. Нафига тут моделирование — даже сами разработчики не знают. Наверное, чтоб создать иллюзию ИБ.

    Ответить
  30. Евгений III

    Вот его указание "Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных."

    Ответить
  31. ZZubra

    Вот тут Алексей Вы не правы. Те правки в ФЗ о полиции какие я написал приняли. Хоть и немножко изменив формулировку.
    И к изменениям в закон об образовании в связи с ЕГЭ удалось приложить руку.
    Так что не надо отпихивать субъекта от возможности влиять на реализацию его конституционных прав.

    Ответить
  32. Unknown

    ZZubra: Может быть. Но разве от поправок стало лучше? Решились все проблемы и с полицией, или с ЕГЭ? Они позволяют думать что мы влияем на процесс путем принятия незначительных косметических поправок, не меняющих сути. Мы – радуемся. Ваши поправки привнесли свщественную новизну в сложившуюся систему?

    Ответить
  33. Unknown

    Шауро Евгению: Устранение необоснованных обременений. Ключевое слово – необоснованных. То есть если обоснованны – то можно. Чьи обоснования наиболее веские? Ясен пень. Так что это поручение – прогон.

    Ответить
  34. Евгений III

    Лучше бы закон отложили на год как с сделали ТО. А после выборов страна вернется к обсуждению.

    Ответить
  35. pushkinist

    мне вот не очень понятно, вот эти все лоббисты-либералисты у них вообще никакой власти нет чтоли? или как?

    Ответить
  36. Сергей

    Спешка принятия закона вызвана опасением регуляторов, что ДАМ умерит их аппетиты.

    Ответить
  37. Ригель

    Алексей Волков писал:
    > Основной критерий оценки рисков — вероятность

    Переверни страницу, второй — опасность ))

    Ответить
  38. Анонимный

    У меня может и глупый вопрос, но для собственника-владельца основной — чего стоит забить болт на этот закон для предприятия, пдн в котором только от работников и посетителей в бюро пропусков?

    Ответить
  39. Алексей Лукацкий

    pushkinist: В Правительстве есть такой лоббист, что либералы вместе взятые отдыхают ;-(

    Сергею: Есть шансы, что ДАМ умерит. Главное, пораньше.

    Ригелю: Ты прав, но… результат моделирования в текущем варианте никого не волнует. Перечень защитных мер УЖЕ разработан и предлагается как обязательный. Ты можешь только его расширить, но не уменьшить.

    e1am0: Ничего не стоит. Многие так и делают. Но многие все-таки законопослушны.

    Ответить
  40. doom

    >e1am0: Ничего не стоит. Многие так и делают.

    Не соглашусь. Это будет очень классный повод для наезда на контору, который может привести к последствиям вплоть до закрытия — поэтому если есть явные конкуренты либо недоброжелатели среди органов власти, то лучше не рисковать. Хотя понятно, что никому не охота просто "для галочки" покупать какие-нибудь Secret Net'ы пусть даже и в небольшом количестве.

    Ответить
  41. Алексей Лукацкий

    Закрыть контору за это нельзя. Можно максимум, приостановить деятельность, и то — это крайний случай и то, по части ФСТЭК/ФСБ. На моей памяти такого не было ни разу. Ни один суд такого решения не примет — очень уж оно спорное. И оспаривается легко.

    Ответить
  42. Unknown

    Второе чтение Резника — завтра. http://www.duma.gov.ru/news/273/87088/

    Ответить
  43. pushkinist

    "это будет очень классный повод для наезда на контору, который может привести к последствиям вплоть до закрытия — поэтому если есть явные конкуренты либо недоброжелатели среди органов власти, то лучше не рисковать."

    таких классных поводов кроме персональных данных 9000+, и те проще в сто раз.
    ни разу за это никого не закрывали

    Ответить
  44. Евгений III

    Когда у них там рабочий день заканчивается, чтобы понять статус по документу.
    Гарант то сейчас во Владике с айфоном.

    Ответить
  45. AnsNet

    Алексею Волкову
    С каких это пор критерий риска — вероятность? Риск — это вероятный ущерб. И попробуйте его посчитать количественно.Только субъективно — низкий, средний, высокий. Или в диссертациях — "страшные" формулы с некорректными условиями применения.

    Ответить
  46. Алексей Лукацкий

    Ущерб считается элементарно. Только у безопасников исходных данных нет. Они есть у финансистов, с которыми безопасники не умеют дружить или договариваться

    Ответить
  47. AnsNet

    А вообще — у Вас замечательный блог. Жаль, раньше он мне не попался.

    Ответить
  48. Алексей Лукацкий

    Ну он не единственный. Вот тут (http://zlonov.ru/%D0%B1%D0%BB%D0%BE%D0%B3%D0%B8/) еще много ссылок на российские блоги.

    Ответить
  49. Борис Сухинин

    Я так понимаю, законопроект принят в 3 чтении и направлен в СФ (http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02).

    Особо понравилась ст. 19 (ссылаюсь на вариант к 3 чтению):
    ч. 2, п. 2 — модель угроз случайно выпала;
    ч. 2, пп. 3, 4 — видимо, подразумевается сертификация и *аттестация*;
    ч. 9 — "без права ознакомления" — на это интересно будет посмотреть.

    Вопрос к Алексею Лукацкому: "Ущерб считается элементарно" — как можно оценить ущерб, нанесенный субъекту персональных данных? Для меня, например, разглашение медицинской информации (да хоть всей карточки) никакого особого ущерба не нанесет (ну разве что моральный), а для кого-то ущерб может оказаться весьма существенным.

    Ответить
  50. Алексей Лукацкий

    Так ущерб нельзя считать "вообще". Считать надо в каждом конкретном случае. В вашем случае он равен нулю. Кто-то посчитает, что ущерб равен миллиону рублей. Моральный ущерб практически никогда не обосновывается, в отличие от материального.

    Но, если честно, про ущерб я писал неприменительно к ПДн. По ПДн я всегда считал и считаю, что ущерба субъекту почти нет (за редким исключением).

    Ответить
  51. vitaal

    Алексей, добрый день!
    Приведу свое мнение о толковании новых статей ФЗ:
    Статья 18.1. закрепляет свободу Оператора в отношении перечня мер. Иное предусматривается только ФЗ. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
    Далее, здесь же устанавливается, что Правительство устанавливает перечень мер необходимых для муниципальных и государственных операторов.
    Название статьи 18.1 и нормы, содержащиеся в ней, имеют общий характер по отношению к статье 19 и ее нормам, которые являются специальными.
    Следовательно, п. 3, п. 4 ст. 19 регулируют действия Правительства исключительно в рамках полномочий, установленных статьей 18.1., а именно в отношении государственных и муниципальных операторов.
    И еще один аргумент: если иное устанавливается ФЗ, то в ФЗ же прямо должно об этом прописываться. При отсылочном характере нормы в ФЗ на иные нормативные акты, на мой взгляд, она вступает в противоречие с нормой об исключительной обязательности требований, содержащихся именно в ФЗ.

    Ответить