четверг, 14 августа 2014 г.

Про "вайфаи" и паспорта

Граждане России очень не любят читать законы, зато очень любят смотреть телевизор и паниковать. Это нормально - далеко не все являются экспертами в области юриспруденции. Досадно, что экспертами не являются ни чиновники в основной массе, раздающие невнятные "толкования" законодательной инициативы, ни (поголовно) журналисты, которым лишь "жареные факты" подавай. Пример с запретом персональных данных - подтверждение тому, что и среди экспертов в области ИБ нет единого мнения относительно происходящего. Читатели могут возразить почти классической фразой: "не может быть, чтобы все вокруг были не правы, а ты, Волков, один прав". Чтож, в этот раз - я не один: вместе с Михаилом Емельянниковым мы обсудили "вайфай-истерию", внимательно прочитали постановление Правительства РФ №758 от 31.07.2014 и сопутствующие нормативные акты, и пришли к следующим выводам.
Предположим, что вы - учредитель общества с ограниченной ответственностью, которое владеет кафе, и у вашего ООО есть договор с оператором связи на "предоставление доступа к информационным системам телекоммуникационных сетей, в том числе к сети Интернет". В кафе вы установили несколько беспроводных точек доступа: в кабинетах - для ваших рабочих компьютеров, в зале - для клиентов с личными устройствами и публичных компьютеров (вы приобрели и установили их для тех, у кого нет личных устройств). Таким образом, у вас есть две категории пользователей - ваши сотрудники и клиенты заведения, использующие две категории устройств - личные и служебные (принадлежащие ООО). Внимание, вопрос: кого из них нужно пускать в Интернет по паспорту, и нужно ли это делать вообще?

Пункт 1 ПП-758 вносит изменения в "Правила оказания универсальных услуг связи", согласно которым "оказание универсальных услуг связи по передаче данных и предоставлению доступа к сети Интернет с использованием пунктов коллективного доступа осуществляется оператором универсального обслуживания после проведения идентификации пользователей". Журналисты, а следом - и граждане, конечно, зацепились за текст, выделенный жирным шрифтом, совершенно не вдаваясь в подробности, кто такой "оператор универсального обслуживания", что такое "пункт коллективного доступа", какое отношение к этим определениям имеет кафе и его владелец и распространяются ли на него "Правила оказания универсальных услуг связи". Но мы с вами, конечно, вдадимся и посмотрим в ст. 57 и 58 Федерального закона "О связи". Посмотрим и почитаем, и вот к чему придем.

Пункт (точка) коллективного доступа - это место, которое специальным образом организовано для предоставления универсальных услуг связи населению  (телефония, информационные киоски, передача данных, Интернет и т.д.). Оператор универсального обслуживания, имеющий, помимо лицензии, еще несколько условий для того, чтобы считаться таковым, оказывает универсальные услуги связи, на него и распространяются "Правила оказания универсальных услуг связи". Является ли кафе "пунктом коллективного доступа" или "точкой доступа"? Нет, потому что его организовал не "оператор универсального обслуживания" для оказания "универсальных услуг связи", а вы - индивидуальный предприниматель, в своих личных интересах, и на вас п. 1 ПП-758 не распространяется. О чем, собственно, и говорили некоторые СМИ, в пылу страстей не замеченные большинством "паникеров".

Однако расслабляться рано: в ПП-758 есть еще п. 2 и 3, которые вносят изменения в "Правила оказания услуг связи по передаче данных" и "Правила оказания телематических услуг связи". Оба этих документа распространяются на операторов связи, имеющих соответствующие лицензии. Хотя интернет, "телематические услуги связи" и "передача данных" в понимании "технаря", что называется, "одного поля ягоды" - лицензируются они по-разному. Однако и в том, и в другом случае оператор связи теперь обязан идентифицировать пользователя даже при "разовом" подключении но, опять же - в пункте коллективного доступа.

Расслабились? Снова рано. Помимо идентификации абонента в ПКД, изменения предписывают оператору внести изменения в договора на предоставление услуг передачи данных и телематических услуг связи, к которым относится Интернет. Поэтому, в ближайшем будущем вам, учредителю ООО, имеющего договор с оператором, придет дополнительное соглашение, в котором будет присутствовать пункт приблизительно следующего содержания:

"Заказчик обязан не реже одного раза в квартал предоставлять Исполнителю заверенный уполномоченным представителем Заказчика список лиц, использующих пользовательское (оконечное) оборудование Заказчика, включая фамилию, имя, отчество (при наличии), место жительства, реквизиты основного документа, удостоверяющего личность".

Получается, что идентификации пользователей по паспорту не избежать? Давайте разбираться. Что такое "пользовательское (оконечное) оборудование"? В "Правилах...", ссылки на которые приведены выше, приведены два определения. Для услуги передачи данных:

"абонентский терминал" - пользовательское (оконечное) оборудование, используемое абонентом и (или) пользователем для подключения к узлу связи сети передачи данных с помощью абонентской линии

Значит, "абонентский терминал" - это разновидность пользовательского (оконечного) оборцдования. Идем дальше - в телематические услуги связи:

"абонентский терминал" - совокупность технических и программных средств, применяемых абонентом и (или) пользователем при пользовании телематическими услугами связи для передачи, приема и отображения электронных сообщений и (или) формирования, хранения и обработки информации, содержащейся в информационной системе

Таким образом, пользовательское (оконечное) оборудование в понимании Правил - это то, с помощью чего пользователь передает, принимает и отображает электронные сообщения, хранит, формирует и обрабатывает информацию. Иными словами - это планшеты, смартфоны, ПК и все то, что способно выполнять эти действия. Получается, в этот "список лиц" должны попасть все, кто пользуются таким оборудованием? Нет - только те, кто пользуется оконечным оборудованием ЗАКАЗЧИКА. Относится ли беспроводная точка доступа к пользовательскому (оконечному) оборудованию? По закону - да, но в понимании "Правил..." вряд ли. Да и сам регулятор об этом говорит.

Как мы выяснили ранее, у нас есть две категории пользователей - сотрудники и посетители, и две категории устройств - личные и служебные. Используем то, что говорит регулятор, и составим матрицу "попадания в список лиц":
  • посетитель с личным устройством - НЕТ
  • сотрудник с личным устройством - НЕТ
  • сотрудник со служебным устройством - ДА
  • посетитель со служебным устройством - ДА
Поэтому, для исполнения новых обязательств по договору на предоставление доступа к сети Интернет вам придется идентифицировать пользователей, использующих ВАШИ компьютеры, и ежеквартально передавать эти данные оператору связи, с которым у вас заключен договор. И если у вас есть зона, где размещены ваши ПК для доступа в Интернет ваших клиентов (такие бывают в отелях) - теперь вы их (как и ваших сотрудников, работающих за вашими ПК) обязаны идентифицировать по паспорту. Но только их и только при таких условиях - не более.

Читайте законы, друзья - не ленитесь. Это куда полезнее и конструктивнее, чем паниковать, возмущаться и распространять панику вокруг себя.

Комментариев нет :

Отправить комментарий