воскресенье, 7 августа 2011 г.

Блины и комья


Пока мы с вами, дорогие читатели, в ожидании "подзаконников" неспешно оцениваем масштабы бедствия и пытаемся пропустить "через себя" каждое слово поправок, есть люди, которым уже приходится жить по-новому, и весьма активно. Эти люди - представители регуляторов, которые как молодые медвежата, вывалившиеся из берлоги, в одночасье оказались в новом мире и, обладая весьма внушительным видом и способностью причинить немало бед существам поменьше, стараются выжить в нем, как умеют. О чем, собственно, речь: 4 августа на сайте саратовского Роскомнадзора появилась публикация относительно недавно проведенной выездной плановой проверки ООО «Центр здоровья «Европласт» на предмет соблюдения требований действующего законодательства в сфере персональных данных. Проверка проводилась после принятия поправок в 152-ФЗ, и ее результаты просто не могут быть не проанализированы более детально.

Прежде всего, стоит отметить, что Роскомнадзор сконцентрировал свои усилия на проверке соблюдения требований статьи 18.1 (4 пункта из 5), не вникая во все остальное. Оно и понятно: эта статья представляет собой квинтэссенцию того, что оператор должен сделать для соблюдения законодательства. Паритет сил, сложившийся с момента принятия "старой" версии 152-ФЗ, остается и поныне актуальным: Роскомнадзор проверяет общую организацию процесса и неавтоматизированную обработку, ФСБ и ФСТЭК - все остальное. Правда, теперь расклад сил поменялся: к неавтоматизированной обработке, согласно определения п. 4 ст. 3, теперь относится только обработка БЕЗ использования средств вычислительной техники (а это не только ЭВМ, но и фактически вся оргтехника, включая копировальный аппарат). Однако вернемся к результатам проверки.

Не смотря на то, что в статье 18.1 присутствует фраза "К таким мерам могут, в частности, относиться...", регулятор все равно позиционирует указанные меры как обязательные и вносит их в предписание. Парадокс? Вовсе нет - и вот почему. Первый пункт части 1 статьи 18.1 говорит о том, что оператор может (исходя из отмеченной выше фразы) назначить должностное лицо, ответственное за организацию обработки ПДн. Однако стоит взглянуть на статью 22.1, то первым пунктом в ней мы увидим совершенно другой подход: оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Поэтому выражение "может" автоматически заменяется на "должен". Идем дальше.

Вторым пунктом части 1 статьи 18.1 оператор опять же "может" издать политику и локальные акты. Может? Вовсе нет - ДОЛЖЕН, потому как есть часть 4 этой же статьи, в которой говорится, что эти локальные акты необходимо представить регулятору, а также часть 2 этой же статьи, которая обязывает открыто публиковать политику (это может быть не один, а комплекс документов) и обеспечить доступ к сведениям о реализуемых требованиях по защите ПДн. Правда, в части 4 ст. 18.1 есть приписка "и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи", но Роскомнадзор непреклонен: нет документа - нет и всего остального. Оно и правильно: профессионалы менеджмента утверждают, что если процесс не описан - значит, он отсутствует либо не управляем.

В принципе, регулятор мог бы отразить в предписании всю первую часть 18.1, так как в "Европласте", судя по всему, не было сделано совершенно ничего ни по старым, ни по новым нормативным документам. Это Роскомнадзор, собственно, и делает, исключая пункты 3 и 4.  Что касается пункта 3, отсылающего оператора к статье 19 - причины объяснены выше: паритет соблюдается. И о какой "оценке вреда" и о каком "внутреннем контроле" может идти речь, если документы, регламентирующие их проведение, равно как и все остальные, напрочь отсутствуют? Тем не менее, регулятором "контроль" игнорируется, а "вред" - отмечается.

Первое, что приходит в голову - это вопрос "а зачем"? Действительно - зачем оператору оценивать какой-то вред какому-то субъекту, если этот вред, а вместе с ним - и угрозы, и уровни защищенности, и требования по обеспечению безопасности ПДн при их обработке в ИСПДн, в соответствии с ч. 3 ст. 19 за него определит правительство? Конечно, можно предположить, что в соответствии с пунктом 5 ч. 1 ст. 18.1, ОПЕРАТОР оценит вред (учитывая предыдущие "веяния" - с формулировкой "должен"), который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, и соотнесет этот "вред" с мерами, направленными на обеспечение выполнения обязанностей - то есть, фактически, проведет анализ рисков и выбор контрмер для их минимизации воздействия на субъекта.

Это положение могло бы дать толчок для применения "современных" подходов вроде PIA, о котором я неоднократно рассказывал, если бы не одно НО: в соответствии с ч. 1 ст. 18.1 оператор самостоятельно определяет перечень мер, указанных в соответствующих пунктах этой же части этой же статьи, если иное не предусмотрено этим же 152-ФЗ. В отношении пункта 1 и 2 мы с вами уже установили обязательность применения, ну а для пункта 3 ч. 1 ст. 18.1 есть целая часть 1 статьи 19, где опять же написано "обязан", а значит, слово "может" и здесь заменяется на "ДОЛЖЕН"!

Но вернемся ко вреду. Для того, чтобы "вред" ст. 18.1, определяемый оператором, и "вред" ст. 19, определяемый правительством, хоть как-то совпадали, существует всего два варианта. Вариант номер один: оператор должен передать результаты своей оценки в правительство РФ для того, чтобы оно определило необходимые требования и "выкатило" их оператору. Это, по понятным причинам, нонсенс: пока правительство "обработает" 7 миллионов хозяйствующих субъектов, настанет конец света по версии индейцев племени мумба-юмба. Вариант номер 2: оператор, при определении вреда, должен использовать ту же оценочную шкалу, что и правительство (тем более он все равно "должен") - иными словами, "подогнать" свою оценку под ту, что определит за него правительство. Таким образом, пункт 3 ч. 1 ст. 18.1 - это пустая формальность, ровным счетом ни на что не влияющая, и потому обязательность ее, учитывая "самостоятельность определения мер...", находится под большим вопросом.

Первая половина четвертого пункта предписания Роскомнадзора - следствие невыполнения первых двух: как можно ознакомить сотрудников с тем, чего нет? Вот только во второй его половине и далее, в пункте номер 5, вдруг неожиданно для всех всплывает ПП-687, причем только в одном ключе: отсутствие перечня лиц, осуществляющих обработку и имеющих доступ к ПДн, и информирование соответствующих лиц о существующей нормативно-правовой базе, регламентирующей неавтоматизированную обработку. Скорее всего, Роскомнадзор не стал распыляться на остальную массу нарушений, однако этот факт свидетельствует об одном: регулятор считает, что постановление правительства № 687 по-прежнему действует для всех операторов, а не только для ГОСов и муниципалов, как это предусмотрено частью 3 ст. 18.1.

Что ж, будем следить за развитием событий и набираться опыта - следующие проверки не за горами.

39 комментариев :

  1. не вижу абсолютно никаких проблем в части применимости 687 постановления правительства в части не противоречащей.
    Не забываем, что оно у нас регулирует особенности обработки без использования средств автоматизации, в этой части у нас поменялись только понятия - что относить к автоматизированной обработке.

    ОтветитьУдалить
  2. И совершенно не обязательно заменять "может" на "должен", оператору всего лишь достаточно "иным образом подтвердить принятие мер" в соответствии с ч. 4 с. 18.1.
    И с учетом обсуждений http://personal-data.livejournal.com/296163.html какие еще возможны варианты? Есть закон, его исполнение и проверяют. 
    И как мне кажется довольно неплохо, что ограничиваются статьей 18.1, т.к. в целом, все выявленные нарушения, за исключением оценки вреда, "старые" и своими корнями уходят в прошлую версию закона и подзаконные акты.
    Хотя сомнения в части ст. 19 присутствуют и с новой формулировкой вполне можно подвести к тому, что ее исполнения могут проверить сотрудники РКН 

    ОтветитьУдалить
  3. Не совсем так. Посмотрите здесь, последние 4 абзаца http://anvolkov.blogspot.com/2011/08/blog-post_04.html

    ОтветитьУдалить
  4. А как же все остальное, что я написал? Про 22.1, 19 и 18.1.2? :)

    ОтветитьУдалить
  5. Сергей С8.8.11

    План проверок есть и его надо выполнять, вот и импровизируют. Сложнее ФСТЭКу и ФСБ.

    ОтветитьУдалить
  6. А им-то что - сиди, кури бамбук, пока правительство вместе с центральным аппаратом вред и угрозы определяет :)

    ОтветитьУдалить
  7. Сергей С8.8.11

    А план стоит, или потом наверстают?

    ОтветитьУдалить
  8. В план вполне можно внести изменения исключив оттуда все проверки не госов

    ОтветитьУдалить
  9. В целом согласен, но ч. 3 ст. 4 никуда не делась и особенности обработки все также определяются иными НПА.
    Хотя конечно же "с учетом положений" 152-ФЗ.
    Ну и пока не отменили, думаю он продолжит свое славное шествие по стране.
    Примеров таких приказов и ППРФ очень много.

    ОтветитьУдалить
  10. В настоящий момент позиция Роскомнадзора однозначная, 687ПП действует и его проверять надо в отношении всех. 

    ОтветитьУдалить
  11. Это потому, что им по сути и проверять больше нечего.

    ОтветитьУдалить
  12. все что раньше проверяли, то и сейчас будут проверять: законность обработки, в том числе передачу 3-м лицам, порядок оформления поручения обработки, обработка после достижения цели, специальные категории ПД, судимость, трансграничная передача, не автоматизированная обработка ну и плюс оформление бумажек :) Еще наверное что-нибудь забыл

    ОтветитьУдалить
  13. Я про данный конкретный случай :)

    ОтветитьУдалить
  14. yamspopov8.8.11

    Алексей хочу выразить свою благодарность за оперативность  грамотность (почти на пальцах) разложения данного вопроса (случия).

    ОтветитьУдалить
  15. Не за что :) Буду продолжать по мере сил и возможности, в том числе набираться грамотности вместе с вами :)

    ОтветитьУдалить
  16. yamspopov8.8.11

    Да уж писал совмещая раьоту и постинг -получилось -ооочень грамотно у самого!)))

    ОтветитьУдалить
  17. Надо поискать автокорректор орфографии - вдруг уже придумали как примочку для blogger?

    ОтветитьУдалить
  18. Michael Guilenko8.8.11

    Пройдусь немного по сути замечаний:
    1-2 абсолютно корректные замечания. Думаю в Европе за это тоже наказали.
    3 - вопрос действительно темный. Некоторые умудряются учитывать вред по текущей нормативке, но общего подхода/методики нет. Если была хоть какая-то оценка - аргументов у РКН было бы немного как раз ввиду отстутствия методик
    4-5 - думаю, что замечание адекватное даже на уровне здравого смысла. Каждый сотрудник должен знать меру своей ответственности, иначе - отвечает неназначенное лицо, ответственное за защиту ПДн. Список таких лиц должен учиттываться.

    ИМХО - кроме 3, где нет методик, замечания находятся на уровне минимальных. Причин для волнения не вижу. Нормальная работа. Зато 3 года потом без геморроя.

    Вот если бы написали, что есть подозрение на нарушение автоматизирвоанной обработки - это был бы "полный алес капут".

    ОтветитьУдалить
  19. Безусловно, замечания дельные. Но речь не об этом. Одно дело генерировать дельные замечания, и совсем другое - подводить под них законодательную базу. И на это у регулятора и оператора могут быть совершенно разные точки зрения.

    ОтветитьУдалить
  20. А вот здесь я со всем согласен - маленькая поправка в пункт 3. Статья 19 как раз и являет собой те самые обязательные МЕРЫ по защите ПДн в ИСПДн. Все остальное, что будет издано - это будет расшифровка, какими методами и способами их выполнять.

    ОтветитьУдалить
  21. Michael Guilenko8.8.11

    Из того, что я слышал о реальных проверках: проверяются самые простые вещи не требующие юридической квалификации (ее чаще всего и нет), без замечаний особо не отпускают, даже если их умудряются устранить в ходе проверки.

    ИМХО закон получился не для защиты прав субъекта (хотя формально он такой), а для давления на оператора с целями:
    1. должнику не платить по кредиту
    2. недобросовестному сотруднику продержаться
    3. шантаж
    4. осуществить рейдерский захват
    5. коррупционное давление на бизнес
    список можно продолжать... Поому и замечания дельные, но не слишком спорные (в отличие от самого закона)

    ОтветитьУдалить
  22. Michael Guilenko8.8.11

    Я не настаиваю на качестве документов лицензиатов, но и смелость ставить оценки на себя не возьму. И "оценка вреда" из приказа Трех потому и умерла, что методик не было, но некоторые оценку вреда методично (то есть целенаправленно и с определенным результатом) используют - это факт.

    А про внешников - в ряде случаев это может оказаться выходом. Количество потенциальных операторов ПДн все знают, а отвечать можно только за то, чем можешь управлять, а управлять надо имея квалификацию. 

    ОтветитьУдалить
  23. Несколько знакомый мне компаний прошли проверку без единого замечания только потому, что квалификация и доводы проверяемой стороны была безупречна, что несколько осадило пыл проверяющей стороны :) Ну а в целом - ничего не поменялось ведь, так? :)

    ОтветитьУдалить
  24. А что вы ожидали? Придет Роскомнадзор, проверит, и напишет заключение, что в связи с отсутствием нормативной базы РФ (типа 687ПП не правоприменимы, а меры по ст.19 еще не разработаны) проверять было нечего и замечаний нет?...

    ОтветитьУдалить
  25. Также знаю несколько компаний, которые даже не имея в штате квалифицированных специалистов, прошли проверку без замечаний и не только со стороны РКН, но и со стороны ФСБ, всего лишь исполнив требования закона.
    Во многих регионах позиция регуляторов конечно может отличаться, но как таковой репрессивной цели не стоит, да и проверяются, как правильно замечено, пункты, которые достаточно легко можно воплотить в жизнь. А если уж ты такой ленивый, что не сделал элементарных приказов, инструкций и положений, то изволь отвечать. Иначе никакого порядку не будет :)

    ОтветитьУдалить
  26. Нееееет, вот мы как раз и ждем, ЧТО напишет Роскомнадзор, для того, чтобы учиться на чужих ошибках ;)

    ОтветитьУдалить
  27. Сергей С9.8.11

    Кто может дать ссылку на текст вчерашней пресс-конференции Железняка.

    ОтветитьУдалить
  28. http://www.itartass-sib.ru/index.php?option=com_content&view=article&id=46164-37.html

    ОтветитьУдалить
  29. Сергей С9.8.11

    И это все?

    ОтветитьУдалить
  30. Ну да, каникулы же. Потом выборы. Так что все как и ожидалось.

    ОтветитьУдалить
  31. Вот еще: http://www.rg.ru/2011/08/09/screen.html http://www.mk.ru/social/article/2011/08/08/612650-utechki-dannyih-byili-zaranee-splanirovanyi.html

    ОтветитьУдалить
  32. Сергей С9.8.11

    Классно вывернули - утечки организовали противники поправок в 152 :) Мне наши депутаты (и сенаторы) нравиться начинают... все меньше и меньше...

    ОтветитьУдалить
  33. >Мне наши депутаты (и сенаторы) нравиться начинают... все меньше и меньше...     

    Впереди выборы - т.ч. делайте свой выбор ;-P

    Например я не удивлюсь, что одним из следующих шагов будет прямое обвинение нас в организации утечки из Мегафона

    ОтветитьУдалить
  34. Сергей С9.8.11

    >Впереди выборы - т.ч. делайте свой выбор ;-P
    Из кого? Партийные списки - кот в мешке, против всех - нет такой партии.

    ОтветитьУдалить
  35. > прямое обвинение нас в организации утечки из Мегафона
    Я удивлен, что этого до сих пор не сделали :)

    ОтветитьУдалить
  36. Во всяком случае не допустить конституционного большинства у управляемых извне партий - а то в очередной раз получим ситуации типа 19 статьи в ЗоПД

    Ну и помнить, что если Вы не проголосуете, то уж точно за Вас это сделают. Подтасовки и вбросы естественно тоже будут.

    ОтветитьУдалить
  37. >Я удивлен, что этого до сих пор не сделали :)

    Не все сразу - надо откорректировать информационное поле и подготовить электорат ;-)

    ОтветитьУдалить
  38. Ну да, в принципе... Не зря Вихорев в который раз заявляет о нежелании защищать ПДн и преследовании узкокорпоративных интересов. Это знак :)

    ОтветитьУдалить