воскресенье, 22 апреля 2012 г.

Законотворческий процесс в действии

Коллеги, еще 13 февраля я писал о появлении проекта постановления правительства "Об утверждении Положения о защите информации в национальной платежной системе".  Проект был опубликован на сайте ФСТЭК, а также передан на оценку регулирующего воздействия в МЭР  и оценку коррупционгенности в Минюст. Об этих оценках я уже писал ранее.

Кстати, интересно было почитать заключение МЭР на этот законопроект. Оно опубликовано здесь. Приведу ключевую для меня выдержку:

2. В соответствии с абзацем 2 пункта 14 проекта Положения предусматривается, что «контроль (оценка) проводятся субъектом платежной системы самостоятельно и (или) с привлечением на договорной основе организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации». Исходя из указанной формулировки проекта Положения, полагаем, могут возникнуть необоснованные основания в дублировании контроля (оценки), в случае его проведения субъектом платежной системы самостоятельно и с привлечением на договорной основе организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации. В связи с этим считаем необходимым уточнить редакцию абзаца 2 пункта 14 проекта Положения.
Также представляется целесообразным в проекте Положения конкретизировать случаи привлечения на договорной основе организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации, для осуществления контроля (оценки).
Кроме того, полагаем, что положения абзацев 4 и 5 пункта 14 проекта Положения не позволяют однозначно определить периодичность проведения контроля (оценки). Так, с одной стороны в проекте Положения предусматривается установить периодичность осуществления контроля (оценки) требований к защите информации в платежной системе «не реже раза в два года» (абзац 4 пункта 14 проекта Положения). С другой стороны, предполагается установить, что «контроль (оценка) выполнения требований к защите информации в платежной системе может осуществляться в ходе аудита субъекта платежной системы, проводимого в соответствии с законодательством Российской Федерации об аудиторской деятельности» (абзац 5 пункта 14 проекта Положения). Отмечаем, что в соответствии с пунктом 2 статьи 5 Федерального закона от 30 декабря 2008 г. № 307-ФЗ «Об аудиторской деятельности», в частности, обязательный аудит проводится ежегодно. Одновременно, в абзаце 5 пункта 14 проекта Положения представляются неясными случаи, в которых «обеспечение защиты информации включено в перечень сопутствующих аудиту услуг, устанавливаемому федеральными стандартами аудиторской деятельности и (или) стандартами аудиторской деятельности саморегулируемых организаций аудиторов».
Таким образом, полагаем, что пункт 14 проекта Положения требует существенной доработки.

Очень жаль, что экспертов, которые готовили заключение, не смутило вообще упоминание о том, что привлекаемым организациям нужно иметь лицензию на ТЗКИ. На мой взгляд этот вопрос должен регулироваться законом о лицензировании и соответствующими подзаконными актами, а такие попытки "запихнуть" везде где только можно требования по лицензированию приводят лишь к тому, что потом в случае изменения в подходах к лицензированию придется выискивать эти хвосты в правовых актах и править. 

Кстати, на днях проект этого документа появился на сайте АРБ (ссылка). Текст оригинальный и замечания МЭР не учитывает. Интересно, это АРБ запаздывает с публикацией документов на пару месяцев или все же это сигнал, что документ скоро примут в его изначальной редакции ?

В любом случае этот документ показывает государственную машину в действии. Проект появился в середине февраля, сейчас уже конец апреля, он все еще не принят, не понятно устранены ли замечания и будут ли вообще устраняться. Так что Постановлений правительства под новый 152-ФЗ нам еще придется подождать. Минимум месяца 2 до официального подписания это точно, а более вероятно, что вообще только к осени.

4 комментария:

  1. А меня еще насторожила фраза "..требования к применению СЗИ..., в том числе прошедших в установленном порядке процедуру оценки соответствия". Т.е. начинается та же самая песня с сертификацией, что и в ФЗ 152. Надеюсь Банк России разберется с этим, как например сделано в СТО БР ИББС, где сертифицированными должны быть СКЗИ, а остальное рекомендуемое, если же нет.. то будет очень печально

    ОтветитьУдалить
  2. Страница 4 "включая сеть Интернет".
    Такое уже не пройдет, ведь есть 200-ФЗ от 11.07.2011. В котором теперь эта фраза звучит "информационно-телекоммуникационная сеть "Интернет".
    Надо бы исправить.

    ОтветитьУдалить