суббота, 2 июля 2011 г.

152-ФЗ: второе чтение или нашла коса на камень ?

В пятницу 01.07.2011 состоялось второе чтение законопроекта по внесению изменений в 152-ФЗ. О сути неожиданных изменений уже довольно эмоционально высказались мои коллеги (Евгений Царев, Алексей Волков, Алексей Лукацкий).

Я обновил текст закона с учетом предполагаемых (теперь) правок. Текст выложен здесь. Желтым цветом отмечено то, что предлагалось в первой редакции, которая была вложена на сайте Госдумы, а бирюзовым то, что "подрехтовали" наши законодатели для обсуждения во втором чтении.

Вот некоторые комментарии по новому тексту с моей стороны:

1) Да, действительно видно, что из закона убрали почти все упоминания про отраслевые стандарты. Я не готов сказать, что это очень плохо. С правовой точки зрения любой стандарт может только дополнять, но никак не переопределять законы и постановления правительства и выпущенные в их поддержку методические документы. Я уже высказывался, что загонять всех под отраслевые стандарты - это тоже довольно жесткая крайность. И идея про то, что будут установлены базовые требования, а далее дополняйте исходя из модели угроз тоже не такая плохая на мой взгляд, другое дело, что как это у нас бывает, хорошая идея может быть плохо реализована и в "базу" запихают столько, что мама не горюй !

2) Не знаю бросилось ли другим в глаза, но меня лично очень смутило следующее противоречие:

Статья 18 п.3 Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами операторами, являющимися государственными и муниципальными органами.

Т.е вроде как документы Правительства должны распространяться только (!) на госов и муниципалов. Идем дальше:

Статья 19 п.3 Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

Вот тут просто не понятно. Устанавливает для кого ? Госов и муниципалов ? Идем дальше:

Статья 19 п.8 Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Т.е ФСТЭК и ФСБ опять же контролируют только госов и муниципалов. А другие организации могут проверять только по распоряжению Правительства (это говорится в следующем, 9-ом пункте)

Какие выводы из этого напрашиваются? Плохо что наши законы допускают двойное толкование, но теоретически можно предположить, что статья 19 практически полностью относится только (!) к государственным и муниципальным ИСПДн. Но вот так ли это ?

3) Уведомление в РКН нужно подать до 1 января 2013 г., т.е. есть еще 1,5 года на приведение в соответствие (неформально конечно, т.к. формально закон вступает в силу после его опубликования). Кроме того, отсутствие тех самых уровней защиты и требований со стороны Правительства опять создает элемент ожидания и неопределенности.

Но все не было бы так грустно, если бы не следующее:

Для кого пишутся законы ? Ну вроде как должны писаться для людей. Т.е. в первую очередь закон должен защищать граждан (как физических лиц, вручающих свои ПДн так и предпринимателей, их обрабатывающих). А что мы имеем ? В текущей редакции компании по прежнему больше будут боятся проверяющих, чем реальных инцидентов ИБ. Ведь в случае инцидента человек должен будет обращаться в суд, взыскивать моральный ущерб.... думаю все понимаю что это нереально. А вот если оператор не выполнил требования - получи административную, уголовную и иную ответственность. Субъект - хрен с ним, возьмите с него согласие на то, что вы можете делать с его данными что угодно и сколько угодно (поверьте многие дадут такое согласие, в т.ч. из-за безвыходности или по незнанию). И закон будет на стороне оператора. Что это значит ? Закон написан ДЛЯ ПРОВЕРЯЮЩИХ ! А значит это КОРРУПЦИОННЫЙ ЗАКОН ! Он никак не решит вопрос бесконтрольного распространения личной информации о гражданах на территории РФ.

Я не питаю иллюзий, закон уже видимо не изменят и это то, с чем скорее всего придется жить (хорошо, если только какое-то время). Все это рождает довольно неприятные эмоции.....но где наша не пропадала, будем работать с тем, что есть !

3 комментария:

  1. Да не оскудеет рука дающего ;)

    ОтветитьУдалить
  2. и не отсохнет (к сожалению) рука берущего.

    ОтветитьУдалить
  3. Да ладно вам, а 63-ФЗ что лучше? Там вообще можно ключи передавать и потом разобраться где кто подпись сделал, без требования про неизвлекаемость ключей из девайса (которое ни где не прописано), вообще не возможно - зато у подписи есть "презумпция действительности" :-)

    ОтветитьУдалить