В пятницу 01.07.2011 состоялось второе чтение законопроекта по внесению изменений в 152-ФЗ. О сути неожиданных изменений уже довольно эмоционально высказались мои коллеги (
Евгений Царев,
Алексей Волков,
Алексей Лукацкий).
Я обновил текст закона с учетом предполагаемых (теперь) правок. Текст выложен
здесь. Желтым цветом отмечено то, что предлагалось в первой редакции, которая была вложена на сайте Госдумы, а бирюзовым то, что "подрехтовали" наши законодатели для обсуждения во втором чтении.
Вот некоторые комментарии по новому тексту с моей стороны:
1) Да, действительно видно, что из закона убрали почти все упоминания про отраслевые стандарты. Я не готов сказать, что это очень плохо. С правовой точки зрения любой стандарт может только дополнять, но никак не переопределять законы и постановления правительства и выпущенные в их поддержку методические документы. Я уже высказывался, что загонять всех под отраслевые стандарты - это тоже довольно жесткая крайность. И идея про то, что будут установлены базовые требования, а далее дополняйте исходя из модели угроз тоже не такая плохая на мой взгляд, другое дело, что как это у нас бывает, хорошая идея может быть плохо реализована и в "базу" запихают столько, что мама не горюй !
2) Не знаю бросилось ли другим в глаза, но меня лично очень смутило следующее противоречие:
Статья 18 п.3 Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами операторами, являющимися государственными и муниципальными органами.
Т.е вроде как документы Правительства должны распространяться только (!) на госов и муниципалов. Идем дальше:
Статья 19 п.3 Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
Вот тут просто не понятно. Устанавливает для кого ? Госов и муниципалов ? Идем дальше:
Статья 19 п.8 Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Т.е ФСТЭК и ФСБ опять же контролируют только госов и муниципалов. А другие организации могут проверять только по распоряжению Правительства (это говорится в следующем, 9-ом пункте)
Какие выводы из этого напрашиваются? Плохо что наши законы допускают двойное толкование, но теоретически можно предположить, что статья 19 практически полностью относится только (!) к государственным и муниципальным ИСПДн. Но вот так ли это ?
3) Уведомление в РКН нужно подать до 1 января 2013 г., т.е. есть еще 1,5 года на приведение в соответствие (неформально конечно, т.к. формально закон вступает в силу после его опубликования). Кроме того, отсутствие тех самых уровней защиты и требований со стороны Правительства опять создает элемент ожидания и неопределенности.
Но все не было бы так грустно, если бы не следующее:
Для кого пишутся законы ? Ну вроде как должны писаться для людей. Т.е. в первую очередь закон должен защищать граждан (как физических лиц, вручающих свои ПДн так и предпринимателей, их обрабатывающих). А что мы имеем ? В текущей редакции компании по прежнему больше будут боятся проверяющих, чем реальных инцидентов ИБ. Ведь в случае инцидента человек должен будет обращаться в суд, взыскивать моральный ущерб.... думаю все понимаю что это нереально. А вот если оператор не выполнил требования - получи административную, уголовную и иную ответственность. Субъект - хрен с ним, возьмите с него согласие на то, что вы можете делать с его данными что угодно и сколько угодно (поверьте многие дадут такое согласие, в т.ч. из-за безвыходности или по незнанию). И закон будет на стороне оператора. Что это значит ? Закон написан ДЛЯ ПРОВЕРЯЮЩИХ ! А значит это КОРРУПЦИОННЫЙ ЗАКОН ! Он никак не решит вопрос бесконтрольного распространения личной информации о гражданах на территории РФ.
Я не питаю иллюзий, закон уже видимо не изменят и это то, с чем скорее всего придется жить (хорошо, если только какое-то время). Все это рождает довольно неприятные эмоции.....но где наша не пропадала, будем работать с тем, что есть !