четверг, 4 августа 2011 г.

Почему не действуют постановления правительства


Алексей Лукацкий недавно опубликовал заметку относительно того, надо или нет менять систему обработки и защиты ПДн, если она была реализована до 1 июля 2011 года и выстроена в соответствии со старыми нормативами; по этому поводу в комментариях была интересная дискуссия. Читателей этого блога интересует судьба постановлений правительства РФ за номерами 781, 512 и 687, "приказа Трех" и приказа ФСТЭК № 58 после принятия 261-ФЗ, а именно - действуют они или нет? Попробуем разобраться.


Итак, как было ДО:

Ч. 3 ст. 4 "Законодательство Российской Федерации в области персональных данных" 152-ФЗ: Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
Ч. 2 ст. 19 "Меры по обеспечению безопасности персональных данных при их обработке" 152-ФЗ: Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Очевидно, что постановление правительства № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" было разработано во исполнение ч. 3 ст. 4, а № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и № 512 "Об утверждении требованиий к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" - в соответствии с ч. 2 ст. 19. Поскольку "приказ Трех", полное название которого звучит "Об утверждении Порядка проведения классификации информационных систем персональных данных", был разработан в соответствии с пунктом 6 Положения, утвержденного ПП-781:

"Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации",

а приказ № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных " - в соответствии с пунктом 3 этого же Положения:

"Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий",

эти два документа следует рассматривать как стоящие уровнем ниже постановления правительства, и без него не являющиеся легитимными. Поэтому давайте поглядим, что изменилось с принятием поправок в отношении постановлений правительства, и начнем с 781-го. Всем известно, какие изменения претерпела статья 19 "Меры по обеспечению безопасности персональных данных при их обработке" после принятия 261-ФЗ. "Старая" часть 3 ст. 19 "растеклась" по нескольким частям нового закона и изменилась до неузнаваемости:

Ч. 3 ст. 19: "Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Получается, что прежде, чем устанавливать требования к защите ПДн, правительство должно установить УРОВНИ защищенности, а ДО этого - определить УГРОЗЫ. О том, что это такое, закон рассказывает далее:

Ч. 11 ст. 19: "Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных."

Фактически, это перепев подхода к реализации мер безопасности для специальных ИСПДн, когда на классификацию по методу "приказа Трех" можно было не обращать внимания, а сразу переходить к составлению модели угроз. Вот только раньше оператору предоставлялась возможность самостоятельного определения актуальных угроз безопасности и выбора методов и способов защиты ИСПДн. А что сейчас?

Ч. 5 ст. 19: "Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки".

Получается, что оператор сам не в состоянии определить угрозы? Нет, может, но только в ДОПОЛНЕНИЕ к тем, что за него определит государство:

Ч. 6 ст. 19: "Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки".

Но это совершенно бессмысленное занятие, так как выполнение этого требования

Ч. 7 ст. 19: "Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным".

отобьет у оператора, добросовестно желающего разработать систему защиты, точно соответствующей его ИСПДн, любое желание применить подходы "нормальной" ИБ. Проще будет делать это "втихаря", разработав для регуляторов типовой комплект документов и положить его на полку. Ну и наконец, финал:

Ч. 4 ст. 19: "Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий".

Обратите внимание, что меры устанавливаются не только технические, но и организационные. Почитаем внимательно ПП-781, "приказ Трех" и 58 приказ ФСТЭК. Найдем ли мы там что-либо похожее на указанные выше положения? Очевидно, нет:  подходы к определению угроз совершенно разные, а "класс ИСПДн" и "уровень защищенности" различны по определению. Поэтому ПП-781 и "иже с ним" более рассматривать в качестве нормативного документа не следует. По той же причине не следует рассматривать и ПП-512 - ведь никакой связи требований, указанных в нем, с "угрозами" и "вредом субъекту", нет.

Что же касается ПП-687, то здесь имеет место быть интересная ситуация. Поскольку ч. 3 ст.4 осталась неизменной, правительство РФ по-прежнему может установить особенности обработки ПДн без использования средств автоматизации. Может, НО с учетом положений настоящего 152-ФЗ, в котором появилась статья 18.1 "Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом":

Ч. 3 ст. 18.1: "Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

Поэтому ПП-687 может рассматриваться в качестве обязательного для государственных и муниципальных органов, остальные операторы могут его не использовать. Это подтверждает и

Ч. 1 ст. 18.1: "Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами".

Возникает своего рода "петля": следуя подчеркнутому тексту, мы вновь переходим к части 3 статьи 4 этого же закона, которой предусмотрено, что правительство может установить требования к неавтоматизированной обработке ПДн, и по проторенной дорожке переходим к части 3 статьи 18.1, где написано, что для ГОСов. Вот такое у нас законодательство...

11 комментариев :

  1. Александр4.8.11

    Алексей, часто встречаю в ваших высказываниях выпадки в сторону власти, по поводу того что мы сидим на газовой трубе... Но ведь не все так печально, ведь вы и сами работаете на промышленном предприятии. И новые производства регулярно появляются в нашей стране, примеры можно посмотреть на sdelanounas(точка)ru
    Не знаю как это правильно объяснить, но патриот своей страны должен не ругать свою Родину за многочисленные недостатки, а стараться исправить ситуацию, конечно каждый в меру своих способностей и возможностей. О чем нам собственно и говорит А.Лукацкий, призывая писать письма регуляторам.

    ОтветитьУдалить
  2. Александр, я НИ РАЗУ не обругал свою Родину. Я ругаю чиновников, которые сидят на газовой трубе и на всякого рода "темах", везде устраивают "своих" и "наших", и которым больше ничего не надо кроме поддержания такой ситуации. ИМХО государственный служащий должен в первую очередь заботиться о развитии государства. А государство - это мы с вами, его граждане. А уж упрекать меня в том, что я ничего не делаю - так это, простите...

    ОтветитьУдалить
  3. Парадокс в том, что подзаконники действуют (не отменены), хотя и не соответствуют закону. Закон ведь не может отменить подзаконники. Кстати, не факт, что в новых подзаконниках не забудут отменить старые.
    Для себя я выстоил такую цепочку:
    1. Модели угроз.(Приказы, Стандарты, Рекомендации?) Пока ясно только с банками (РС-2.4 уже есть и согласован) и фондами. Что с другими видами деятельности - полный туман, кто для кого будет разрабатывать, типовая то вроде как не катит, хотя могут в соответствующем министерстве принять типовую ФСТЭК и ФСБ в качестве актуальной для их видов деятельности и не заморачиваться с адаптацией под себя. Будет одинаковая для всех видов деятельности :)
    2. Уровни защищенности=требования по нейтрализации угроз - ПП.
    Получается что угрозы определяют регуляторы, а требования по их нейтрализации - правительство.
    3. Меры, которые должны предпринять гос. и мун.-ПП ( а в чем разница с п.4)
    4. Состав и содержание орг. и тех. мер - Приказы регуляторов.
    5. Кого можно трясти регуляторам кроме госов - ПП.

    Про доп. угрозы - полная ересь: если я установлю доп. угрозы (инопланетное вторжение) и согласую с регуляторами, то уровни и требования по нейтрализации этих доп. угроз все равно за правительством.

    ОтветитьУдалить
  4. Так я и не говорю, что они отменены - нет, они продолжают быть. Вот только законодательной основы "над ними" нет никакой.

    ОтветитьУдалить
  5. Да, про доп. угрозы - реально ересь получается.

    ОтветитьУдалить
  6. Есть такая песня Леонида Маракова и Николая Старченкова "Родина":

    Стране со мной не повезло,
    Мне со страною - тоже,
    Она на мне срывает зло
    И корчит злые рожи.
    А мне на это наплевать -
    Я хвост держу трубою:
    Страна еще не значит - мать,
    А Родина - другое...

    Страна по мне стреляет влет
    И травит стукачами,
    Она меня собой гнетет
    Бессонными ночами.
    А я себе твержу: держись.
    И хвост держу трубою:
    Страна еще не значит - жизнь,
    А Родина - другое...

    Страна хотела бы в гробу
    Видать меня в "Сучане".
    Она кривит свою губу
    И от меня скучает.
    Но как потуг ее нелеп -
    Я хвост держу трубою:
    Страна еще не значит хлеб.
    А Родина - другое...

    Стране со мной никак нельзя.
    Мне тоже с ней не в ногу.
    Она не лезет мне в друзья,
    А я ей - на подмогу.
    Я в ней вообще живу с трудом,
    Но хвост держу трубою.
    Страна еще не значит - дом,
    А Родина - другое...

    Стране со мной не повезло.
    Мне со страною - тоже.
    В своей стране я как изгой.
    На что это похоже?
    Но я, надежды не тая,
    Свой хвост держу трубою:
    Страна совсем не значит - я,
    Но Родина - другое!

    ОтветитьУдалить
  7. Лично для себя я четко разделяю Родину, где я родился и живу, и государство (страну), гражданином, которого я являюсь. Как гражданин, я могу высказывать в отношении государства все, что о нем думаю и по мере сил стараться помочь исправить ситуацию. Родину же поменять нельзя - она такова, какова есть.

    ОтветитьУдалить
  8. Александр5.8.11

    Объясню свою позицию:
    Сейчас в интернете довольно много комментариев типа: "Да наша страна только и держится на трубе.", "В руководстве одни дураки и казнокрады", "Путин с Медведевым ведут страну в тупик" и т.п., а как резюме к этим комментариям следует, что "...пора валить из это Рашки".
    Поэтому я рад, что авторы блогов, которые находятся у меня в избранном настоящие патриоты своей Родины. =)

    ОтветитьУдалить
  9. Александр, мы рады что Вы с нами, и вместе мы - сила! :)

    ОтветитьУдалить
  10. Как офицер запаса могу сказать - патриотизм это очень хорошо,до тех пор пока это не перерастает в фанатизм!!!!

    ОтветитьУдалить