среда, 16 мая 2012 г.

Ночной дозор Роскомнадзор


В заключительной части сериала "Записки провинциального оператора" я писал, что Роскомнадзор, пользуясь отсутствием в 152-ФЗ явного запрета на контроль соблюдения негосударственными операторами требований по технической защите ПДн, обрабатываемых в ИСПДн, со стороны ФСТЭК и ФСБ, цитата, "тихой сапой влазит в контроль технических мер в негосударственных ИСПДн". Благодаря Алексею Ефремову стало понятно, что процесс "вползания" находится на финишной прямой - оказывается, еще в феврале месяце Минкомсвязи на своем сайте опубликовало проект постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных», который призван наделить Роскомнадзор новыми полномочиями, фактически превращающими это ведомство в "полицию персональных данных".

В отличие от проектов постановлений Правительства по уровням и требованиям, этот документ великолепен своей простотой и понятностью: ничего лишнего - 21 пункт, даже нумерация подпунктов (в отличие от административного регламента Роскомнадзора по ПДн) не напутана. Правда, многое из написанного нам уже известно - потому обратим внимание исключительно на "новинки", и, поскольку это, все-таки, проект - с приставкой "будет".


В соответствие с п. 2, "государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных" будет включать в себя и мероприятия по контролю "за выполнением организационных и технических мер по обеспечению безопасности персональных данных при обработке персональных данных в негосударственных информационных системах персональных данных (далее – обязательные требования в области персональных данных)". Для проведения этих мероприятий, в соответствии с п. 6, Роскомнадзор привлекает тех самых аккредитованных экспертов: без них, в соответствие с п. 19, Роскомнадзор проводит только те мероприятия, что уже предусмотрены действующим административным регламентом - словом, ничего интересного. Однако наличие в составе комиссии аккредитованного эксперта в корне меняет дело: пункт 20 дает Роскомнадзору право проводить все те мероприятия, над которыми я не так давно легкомысленно потешался.

Приехавший на проверку эксперт имеет право провести "обследование и определение уровня защищенности информационных систем персональных данных, используемых юридическими лицами, индивидуальными предпринимателями и физическими лицами при осуществлении своей непосредственной деятельности" и, если вдруг последние, по его мнению, "смухлевали" и занизили УЗ - вынести вердикт о "несоответствии", за которым, очевидно, последует предписание об устранении нарушения.

Такой же вердикт эксперт имеет право вынести в отношении "применяемых юридическими лицами, индивидуальными предпринимателями и физическими лицами технических средств защиты информации". Это право Роскомнадзору дает закон "О техническом регулировании", ч. 3 ст. 7 которого рассматривает "государственный контроль и надзор" как один из вариантов "оценки соответствия". С одной стороны это хорошо: появится официальное подтверждение тому, что "оценка соответствия" - не только "обязательная сертификация". С другой стороны - Роскомнадзор может провести "оценку соответствия" только с участием эксперта, и кто знает, "чьих" этот эксперт будет...

Про "проведение исследований, а также проведение экспертиз, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований в области персональных данных" писать особо не буду - вероятно, эта деятельность предназначена для определения возможного ущерба субъектам. Напишу про другое.

Помните мои размышления относительно "эффективности" и "достаточности", благодаря которым (в том числе) был выигран суд? Согласно п. 19.5, полномочия оценивать "достаточность принимаемых мер" у Роскомнадзора будут, но только в отношении государственных и муниципальных органов. А вот если привлечь эксперта, то, в части технических мер, пункт 20.3 наделяет Роскомнадзор полномочиями оценивать и то, и другое: "оценка достаточности и эффективности принимаемых юридическими лицами, индивидуальными предпринимателями и физическими лицами технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных".

Как говорит Михаил Емельянников, "шутки кончились": учитывая еще одну инициативу, связанную с существенным повышением штрафных санкций и некоторыми другими нововведениями (описаны у него в блоге), а также нулевой результат "антикоррупционной экспертизы" проектов постановлений по Уровням и Требованиям (материал в блоге Алексея Лукацкого), жить операторам, как говорит Алексей Лукацкий, станет действительно "весело".


Комментариев нет :

Отправить комментарий