100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №21 "Мы обязаны соблюдать требования ФСТЭК по защите персональных данных"10.03.2009 12:00 Рис. 1. Структура законодательства России по персональным данным |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №21 "Мы обязаны соблюдать требования ФСТЭК по защите персональных данных"10.03.2009 12:00
Многие компании, постоянно слыша об обязательности выполнения т.н. четырехкнижия ФСТЭК по безопасности персональных данных, лихорадочно думают о том, как выполнить эти физически невыполнимые требования. К кому из лицензиатов ФСТЭК обратиться? Какие сертифицированные средства защиты приобрести? Но мало кто задумывается о том, надо ли вообще выполнять эти 4 документа:
• «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных», утвержденная ФСТЭК 14 февраля 2008 года.
• «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных», утвержденная ФСТЭК 14 февраля 2008 года.
• «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденные ФСТЭК 14 февраля 2008 года.
• «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных», утвержденные ФСТЭК 14 февраля 2008 года.
Начнем с того, что какой бы юридический нигилизм не существовал в России, подготовка и регистрация любых нормативных правовых актов федеральных органов исполнительной власти подчиняются четко определенной процедуре, описанной в Постановлении Правительства РФ от 13 августа 1997 года № 1009 «Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации (с изменениями на 30 сентября 2002 г.)» (далее - Правила). И ФСТЭК, как федеральный орган исполнительной власти (согласно п.2 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента РФ от 16 августа 2004 г. N 1085), обязана следовать этим правилам.
Выделим из этого документа ключевые моменты, касающиеся нашей темы:
• Нормативный правовой акт (НПА) должен быть подписан только руководителем федерального органа исполнительной власти (п.9).
• Нормативный правовой акт должен быть зарегистрирована в Министерстве Юстиции (п.10-11 Правил).
• Нормативный правовой акт должен быть опубликован в открытой печати (п.17 Правил)
• Нормативные правовые акты, нарушившие указанные в Правилах требования, применяться не могут, как невступившие в силу (п.19).
А теперь посмотрим, как эти требования применяются в упомянутой 4-ке документов? Девятый пункт Правил говорит о том, что НПА подписывается руководителем органа власти или, в ряде случаев, его заместителем, что и сделано в нашем случае. Но… согласно этому же пункту если федеральный орган исполнительной власти непосредственно подчиняется Президенту РФ, то заместитель не имеет права подписывать нормативные акты. Согласно же Положению о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента РФ от 16 августа 2004 г. N 1085, руководство деятельностью ФСТЭК осуществляет сам Президент. Итак, первое условие не выполняется.
Согласно п.10 и п.11 НПА, устанавливающие правовой статус организаций или затрагивающие права, свободы и обязанности человека и гражданина, подлежат государственной регистрации в МинЮсте. Т.к. в п.3.14 «Основных мероприятий…» требуется получение лицензии на осуществление деятельности по технической защите конфиденциальной информации, это изменяет правовой статус юрлица – оператора ПДн. Если же речь идет о физическом лице, то эти требования накладывают на него определенные обязанности в части защиты персональных данных. Указанные же документы ФСТЭК регистрации не проходили. Нарушено второе условие.
Согласно п.17 Правил, НПА, которые устанавливают правовой статус организаций или затрагивают обязанности гражданина, подлежат официальному опубликованию, в т.ч. и в «Российской газете». Документы ФСТЭК до сих пор не опубликованы. Более того, они имеют гриф «ДСП», а получить их может не каждый (иногда и за деньги). Нарушено еще одно условие.
Что в итоге? Согласно п.19 Правил «Федеральные органы исполнительной власти направляют для исполнения нормативные правовые акты, подлежащие государственной регистрации, только после их регистрации и официального опубликования» и, самое главное, «При нарушении указанных требований нормативные правовые акты, как не вступившие в силу, применяться не могут».
Существует и другой взгляд на обязательность выполнения документов ФСТЭК. Вспомним текущую структуру российского законодательства по персональным данным (см. Рис. 1).
Рис. 1. Структура законодательства России по персональным данным
Мы видим, что документы ФСТЭК разработаны исходя из п.3 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781. На кого рассчитано данное положение? В первом же пункте сказано буквально следующее: «Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы)».
В противовес 781-му постановлению Правительство РФ выпустил второе Постановление от 15 сентября 2008 г. № 678 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Первым же пунктом положение разъясняет, что такое «без использования средств автоматизации». К ним относится все действия, если они «осуществляются при непосредственном участии человека». Для того, чтобы избежать неточностей в толковании, 2-ой пункт гласит «обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее». Иными словами, если в процессе обработки, хранении, передачи, использования, уточнения, уничтожения ПДн участвует человек, то такие мероприятия подпадают под действия Постановления № 687, а не № 781. И таких случаев большинство.
На меры по защите ПДн в данном сценарии документы ФСТЭК уже не распространяются – их выбирает сам оператор персональных данных. И это выглядит логичным – сам принял решение, сам отвечаешь за его обход или нарушение; никто тебя не заставляет исполнять параноидальные требования, схожие с защитой государственной тайны.
PS. Данная точка зрения, основанная на простом чтении законов, не находит понимания у наших регуляторов.