суббота, 11 марта 2017 г.

152-ФЗ «О персональных данных» - закон, построенный на понятиях

Нашёл в своём архиве статью, написанную в далёком 2010 году, а такое впечатление, что вчера. Хотел назвать статью "Закон на понятиях", но посчитал это слишком резким и оказался неправ. Сейчас все законы пишутся на понятиях: вместо "термины и определения" везде "понятия".

Каждый россиянин знает, что разрешить серьезную проблему можно двумя способами: по закону и «по понятиям». Эти две традиции до недавнего прошлого существовали не пересекаясь и в какой-то мере даже были антагонистами. Но 152-ФЗ успешно их синтезировал. Пока, правда, формально. Сознательно или нет разработчики закона вместо «термины и определения» в заглавии статьи 3 употребили термин «основные понятия». Что это: свидетельство недостаточного знания методологии законотворческой деятельности или демонстративное пренебрежение ею?
152-й ФЗ в последнее время обсуждается очень активно. Всплеск активности пришелся на конец прошлого года, когда еще никто не знал, что сроки ввода его в действие будут отодвинуты на год, а в памяти у всех еще было свежо коллективное обращение банкиров, отвергнутое Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций. Надежды на разумное разрешение коллизий, созданных упомянутым законом, таяли прямо пропорционально сроку вступления его в полную силу. Народ зашевелился: семинары, конференции, круглые столы, совещания, советы и курсы, курсы, курсы по изучению закона и технологий его выполнения. И в подавляющем большинстве случаев их организаторами применялся один и тот же психологический прием, который часто используют родители по отношению к несмышленым детишкам, когда их не спрашивают: хотят они есть или нет, - а сразу ставят перед дилеммой: «Ты какую кашу будешь есть: манную или рисовую?». Вот так и нас никто не спросил: хотим мы, чтобы защищали наши т. н. «персональные данные» или нет. Более того, никто даже и не пытался объяснить, зачем защищать эти данные и какой вред может быть причинен субъекту персональных данных, если эти данные не защищать, а так же - какую выгоду получит субъект в случае защиты его персональных данных по технологии, прописанной в нормативно-методических документах т. н. регуляторов. Обсуждению подлежал один вопрос: «Как следует осуществлять защиту персональных данных: так или этак?». Были, конечно, и такие – наиболее «продвинутые» – которые пытались разобраться в сути проблемы, но они были в меньшинстве, а постепенно и вовсе «сошли со сцены». И, тем не менее, сначала несколько слов о самом законе, а не о том, как его выполнять.
Главный лейтмотив принятия 152-го ФЗ – нас не пускают без него в ВТО. Аргумент более чем слабый. Особенно, если учесть колоссальную разницу в подходах по обеспечению безопасности персональных данных в России и в европейских странах и США. Грамотный и достаточно глубокий анализ различий в законодательствах Евросоюза и России в вопросах защиты персональных данных дал в своем блоге Ю.В.Травкин[1]. Основные идеи европейского подхода можно коротко сформулировать так: 1. защищать нужно то, что может реально причинить вред субъекту; 2. главный принцип защиты – «не навреди»; 3. главный критерий – «эффективность – стоимость».
На блоге компании INFOWATCH в посте «Больно, зато всем поровну» от 22.08.2009 г. приведен сравнительный анализ подходов к защите персональных данных в России и США (рис.1).
Рис. 1. Сопоставление подходов к защите персональных данных в России и США[2]

Различия очевидны, как и выводы, которые напрашиваются сами собой. Их четко сформулировал один из участников обсуждения: «… в США законодатель пытался защитить владельцев ПДн, а в России - экономические интересы "социально близких" к разработчикам закона компаний»[3].
В июле 2008 года председатель Счетной палаты Степашин в интервью РИА Новости заявил, что Федеральный закон о госзакупках (94-ФЗ[4]) - один из самых коррупциогенных в России[5]. Но, по-моему, коррупциогенный, еще не значит вредный. Ну, какой вред потребителю от того, что конкурс выиграет не эта фирма, а какая-то другая? Работа-то все равно будет выполнена. И не факт, что фирма, выигравшая конкурс по протекции, сделает дело хуже, чем другие участники конкурса. А как относиться к закону, который обязывает предприятие тратить огромные средства на выполнение абсолютно ненужных, а местами и просто вредных, работ? Вместо того чтобы тратить деньги на развитие, совершенствование деятельности, закупку нового оборудования, практически все предприятия поставлены перед необходимостью выбросить «на ветер» баснословные средства. Тем более в условиях кризиса! И абсолютно неважно кто выиграет конкурс на производство работ по защите этих пресловутых персональных данных. В любом случае это будет лицензиат ФСТЭК. А для непонятливых и ослушников предусмотрена очень серьезная ответственность, вплоть до уголовной (рис.2).
Рис. 2. Виды ответственности за нарушение законодательства в сфере защиты персональных данных

Очевидно, что российским законодательством уготованы просто «драконовские» меры наказания «нерадивых» (рис. 3), причем никоим образом не коррелированные ни с ущербом (даже возможно причиненным субъекту), ни с размерами утечки. Некоторые из них будут ужесточаться еще больше, о чем сообщил, например, в своем докладе на семинаре «Персональные данные: от понятия до защиты», прошедшем в Ростове 14-15 октября 2009 г., начальник отдела контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Ю.Е.Кантемиров.
Рис. 3. Максимальные наказания за нарушения в организации и осуществлении защиты персональных данных

Кстати, г. Кантемиров на указанном семинаре задал сам себе сакраментальный вопрос: «Что дает этот закон Роскомнадзору?». Именно так. Не «что дает закон субъекту персональных данных?», а «что он дает Роскомнадзору?». И сам же ответил: «В первую очередь, он дает право Роскомнадзору проверять тех операторов, которые не включены в реестр. Второе, мы можем проверять любую организацию в течение 20 рабочих дней вне зависимости от численности его работников»[6]. Это при том, что главной целью принятия закона продекларировано «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».
Не стоит задаваться вопросом: почему закон обязывает защищать права и свободы, а не их обладателя, и почему «человека и гражданина», а не «физических и юридических лиц» или «граждан и лиц без гражданства», как того требует культура законотворческой деятельности. Зададимся вопросом: можно ли, в принципе, при помощи такого закона достичь поставленной цели? Ответ очевиден и однозначен - НЕТ! Вместо защиты прав и свобод он (закон) их ограничивает, несмотря на то, что в статье 4 закона продекларировано, что «нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных». Согласно п. 4 статьи 29 Конституции РФ «каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом». Ограничения предполагаются только для информации, составляющей государственную тайну. А в соответствии с п. 1 статьи 24 Конституции РФ не допускается сбор, хранение, использование и распространение информации без согласия субъекта только о его частной жизни. Тем не менее т. н. регуляторы, ссылаясь на 152-ФЗ, обязывают всех давать письменное согласие на любые виды обработки любых персональных данных любыми операторами. Покупаешь билет на самолет или поезд – давай согласие, устраиваешься в гостиницу – согласие, подключаешь Интернет – согласие, телефон – согласие, в больнице – согласие, в школе – согласие, и т. д. и т. п. В течение жизни нам всем придется давать таких согласий (если закон не будет отменен) сотнями, а то и тысячами. Причем Закон не устанавливает с какого возраста индивид становится субъектом персональных данных и с какого возраста он должен давать согласие, и как быть с лицами, не умеющими писать, коих с каждым днем становится все больше и больше. И совсем уж парадоксальная вещь: даже если субъект не хочет, чтобы его т. н. персональные данные защищали и дает письменное согласие на отнесение их к общедоступным, закон признает такое согласие ничтожным. Вывод очевиден: 152-ФЗ «О персональных данных» противоречит Конституции Российской Федерации! И не только. Он практически никак не коррелирован с действующими законами РФ и, в частности, с Федеральным законом РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Можно, конечно, ради любопытства задаться вопросом: какое отношение имеют данные, перечисленные в законе - фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы – к неприкосновенности частной жизни, личной и семейной тайне? Ответ опять очевиден и опять однозначен – НИКАКОГО! Иначе придется признать, что фамилия это семейная тайна, имя – личная, а образование и профессия – элемент частной жизни и т. д.
Это же следует отнести и на счет т. н. «специальных категорий персональных данных», «касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни». Что значит «касающихся»? А что такое вообще «специальные категории»? И если есть «специальные», значит должны быть «неспециальные». А если учесть, что категории это «наиболее общие и фундаментальные понятия, отражающие существенные, всеобщие свойства и отношения явлений действительности и познания»[7], то должны быть частные и прикладные понятия. Но таковых в законе нет. Как нет, практически, ни одного определения, используемых в законе терминов[8], отвечающего требованиям однозначности его понимания. Не отвечают они в большинстве своем и элементарным правилам логики и здравого смысла. В первую очередь это касается ключевых понятий.
Так в законе под термином «персональные данные» понимается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Скоро уже исполнится 4 года со дня принятия закона, но никто до сих пор так и не смог «развеять туман» над этим определением. Попыток было много (приводить здесь даже часть их не считаю целесообразным, наверняка, читатель в курсе), но они только усугубили и без того нелегкое положение здравомыслящей публики, которая прекрасно понимает, что слов «любая» и «другая» в таком определении быть просто не должно. Все, что перечислено под рубрикой «в том числе» – фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы – это социально значимая информация, необходимая для идентификации и самоидентификации индивида. Она полностью находится в правом поле и должна иметь свободное и, более того, обязательное хождение в обществе. Эта и ряд другой информации должны быть «вывешены» в Интернете, чтобы каждый желающий мог к ней обратиться и уточнить с кем он имеет дело. Как это сделала, например, итальянская налоговая служба весной 2008 года в соответствии с указом правительства Романо Проди, опубликовав на своем официальном сайте в Интернете данные о налоговых выплатах граждан Италии[9]. Послужило распространение такой информации поводом или, тем паче, причиной увеличения количества преступлений в Италии? Скорее наоборот, количество преступлений сократилось, потому что итальянцы прильнули к экранам мониторов: им было интересно сколько зарабатывают министры, футболисты, артисты. Сервер не выдержал, да и борцы за неприкосновенность личной информации постарались: доступ закрыли. Тем не менее, налоговикам удается выявлять в результате подобных операций злостных неплательщиков налогов. Народ должен знать не только своих героев, но и своих соседей, сотрудников, начальников и вождей, в том числе, состояние их здоровья (прежде всего – психического), а также почти все то, что отнесено 152-ФЗ к «специальным категориям персональных данных»: расовую и национальную принадлежность, политические взгляды, религиозные и философские убеждения. Исключение составляет только «интимная жизнь». Информация данного вида регулируется нормами морали и потому может (и должна) быть выведена за рамки общедоступной (как это и прописано в Конституции РФ).
Представьте себе, как бы выглядели американцы в глазах мировой общественности, если бы начали скрывать расовую принадлежность своего президента, особенно во время его выступлений по телевидению. А про политические взгляды, религиозные и философские убеждения и говорить не стоит. Теперь можно представить, как будем выглядеть мы в глазах тех иностранцев, которые удосужатся ознакомиться с требованиями по обеспечению безопасности персональных данных, конституированными российским законодательством.
Года полтора-два назад мне довелось стать свидетелем довольно драматической сцены: в департамент муниципальных выплат администрации пришла бабушка очень почтенного возраста оформить субсидию в 100 рублей на оплату телефона. Сотрудники департамента в считанные минуты заполнили необходимые документы, а потом сообщили, что ей необходимо поехать в пенсионный фонд для получения требуемой в таких случаях справки. Раньше, до выхода закона «О персональных данных», такие справки пересылались по почте по запросу департамента, а теперь их выдают только лично и после оформления письменного согласия субъекта и не сразу, а через три дня после оформления запроса. У бабули после того, как она это услышала, задрожали руки и потекли слезы: «Доченьки, ведь я еле хожу! Сюда-то с трудом дошла, а пенсионный фонд «у черта на куличках» находится. А три раза туда-сюда на маршрутке будет стоить дороже, чем субсидия …». Таким образом закон «О персональных данных», не успев толком вступить в силу, уже создал массу проблем, выстроив межведомственные препоны и осложнив тысячам простых граждан процессы оформления льгот, пособий, субсидий, трудоустройства и т.д., и предоставил законные основания жуликам, мерзавцам и прочим пакостникам скрывать социально значимую информацию о себе и своей незаконной деятельности. И все это еще и за государственный счет. Кто хочет убедиться в этом рекомендую заглянуть на сайт ИСПДн.ру в раздел «Судебная практика»[10]. Там нет, практически, ни одного примера защиты прав законопослушных и добропорядочных граждан, но достаточно много примеров защиты недобросовестных налогоплательщиков, заемщиков, получателей кредитов и других нарушителей законов и установленных законом норм и правил.
152-й ФЗ обязывает сохранять и конфиденциальность сведений о судимости. Более того, он запрещает банкам при выдаче кредитов запрашивать у клиентов сведения об их судимостях. Подобное положение вещей противоречит не только интересам банков, но и общественным интересам в целом. Даже в стране, подаваемой как образец демократии, – Соединенных Штатах Америки – «персональные данные определённой категории преступников, отпущенных из заключения, намеренно публикуют на специальных сайтах. Чтобы каждый желающий обыватель мог посмотреть, в каком доме его города и района живёт (бывший) маньяк, насильник, педофил, террорист или ещё какой-нибудь "несогласный"»[11]. Автор цитаты уточняет, что такая практика не нова. По его словам еще «во времена священной инквизиции осуждённый, но милостиво оставленный в живых еретик после отбывания срока обязан был носить на одежде крупные нашивки в виде креста. Чтоб каждый добропорядочный католик мог остеречься нечистого»[12]. Почему российские законодатели решили отойти от разумной практики, остается только гадать. Скорее всего, заботятся о себе. Законопослушному гражданину нечего скрывать от государства и общества, кроме интеллектуальной тайны (идеи, мнения, планы и т.п.) и некоторых фактов личной жизни, не влияющих на безопасность государства и общества.
Ссылки на то, что утечка персональных данных может привести к совершению в отношении их владельца (по закону - субъекта персональных данных) преступления абсолютно несостоятельны. Преступник совершает преступление не потому, что купил на рынке базу данных налоговой инспекции, а купил базу данных потому, что он задумал совершение преступления. В совершении преступления виновен преступник, а не средство его совершения.
В молодости по совету своего друга-юриста я прочел учебник по криминалистике и с удивлением узнал, что наибольшее количество преступлений в мире совершается при помощи обычного кухонного ножа. Но почему-то никому не приходит в голову мысль запретить продажу кухонных ножей или лицензировать их производство, продажу и уж, тем более, использование. Возникает законный вопрос: зачем жестко регламентировать сбор, обработку, хранение и уничтожение средства, при помощи которого не совершено ни одного преступления. Все примеры, приводимые апологетами закона в подтверждение своей правоты, свидетельствуют об обратном. Наиболее распространенные доводы – возможность на основании персональных данных регистрации на их субъектов «левых» фирм, оформление «левых» кредитов и т. п. Но совершение подобных деяний невозможно только на основании персональных (точнее – паспортных) данных человека. Согласно законодательству для этого нужны не паспортные данные, а паспорт и личное присутствие его владельца.
Еще лет десять назад утечка информации о номере мобильного телефона действительно могла привести к причинению определенного финансового ущерба субъекту – владельцу телефона вследствие того, что входящие звонки были платными. Сейчас подобное невозможно по определению. Современным телефонным мошенникам не нужна никакая база данных. Они ищут свои жертвы не по справочнику, а, по преимуществу, методом последовательного набора номеров. А вот межличностная коммуникация при отсутствии общедоступных телефонных справочников (как это было в старые добрые времена) значительно усложняется. Особенно, если телефон теряется или безнадежно выходит из строя. Восстановить многие связи не удается даже при наличии копии базы на компьютере (она всегда не актуальна).
Утечки баз данных номеров абонентов сотовой связи (например, несколько лет назад у МТС) не приводят к причинению вреда владельцам телефонов. Во всяком случае информации о том, что те или иные преступления четко коррелируются с утечками и утерями баз данных клиентов, нет. Такие утечки наносят вред, в первую очередь, репутации оператора и чреваты либо оттоком клиентов, либо снижением продаж. Ущерб владельцам телефонов сотовой связи наносит как раз требование обеспечивать безопасность данных о них. Затраты, и немалые, на проведение абсолютно ненужных и бесполезных мероприятий по защите этих данных затем ложатся на стоимость услуг, оказываемых оператором. А это и есть реальный, но скрытый от клиента вред: с клиентов по центу, оператору - на оплату услуг лицензиату ФСТЭК.
Еще раз приходится констатировать, что бороться нужно с преступниками, а не с законопослушными гражданами и организациями, обязывая их выбрасывать баснословные суммы на абсолютно бесполезное и даже вредное дело. Почему вредное? Да потому, например, что теперь те, кого закон причислил к категории «оператор», получили законные основания не предоставлять данные о субъектах без их согласия даже правоохранительным органам и прокуратуре, осложнив, таким образом, проведение следственных действий. Особенно, если уголовное дело еще не возбужденно.
Кстати, «оператор» - крайне неудачный термин, если принять во внимание, что в русском языке термином «оператор» (в социальном плане) принято обозначать специалистов в некоторых отраслях промышленности или низко квалифицированных специалистов, набирающих тексты на ПК. Можно предположить, что употребление этого термина в законе является следствием механического перетаскивания аналогичного термина из английского или американского законодательств.
В 152-ФЗ под термином «оператор» понимается «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Заметьте, не «оператор персональных данных», а именно «оператор». Отныне термин «оператор» однозначно отсылает нас к приведенному выше определению, вне зависимости от того, какую информацию этот оператор обрабатывает. Другими словами, теперь «оператор» - это только тот, кто осуществляет обработку персональных данных. Если некто обрабатывает все, что угодно, но не персональные данные, то и называть его оператором уже нельзя. Застолблено законом!
Теперь немного о том, кого следует относить к категории «оператор». Если читать закон дословно и через призму логики, то к категории операторов должен быть отнесен только тот, кто определяет цели и содержание обработки персональных данных. Это обязательное условие. И не важно, этот кто-то только организует или еще и осуществляет обработку этих персональных данных (это необходимое, но не достаточное условие). Другими словами к категории оператор должны быть отнесены только те социальные акторы, которые задают цели и содержание обработки ПД. А таковых не так уж и много. Это, прежде всего, исполнительные органы государственной власти. Только они определяют цели и содержание обработки персональных данных, обязательные для всех на территории страны: Министерство финансов, Министерство внутренних дел, Министерство здравоохранения и социального развития и другие. Только они наделены законом правом по принятию нормативных правовых актов, к коим относится, например, положение об обеспечении безопасности персональных данных. Это однозначно установил прокурор Волгограда и предостерег от принятия «незаконного правового акта»[13], коим по его (прокурора) мнению являлся проект постановления «Об утверждении Положения по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах подразделений администрации Волгограда», разработанный на основании и в соответствии с постановлениями Правительства РФ от 17.11.2007 г. № 781 и от 15.09.2008 г. № 687, а также «приказа трех» и нормативно-методических документов ФСТЭК[14], и направленный в прокуратуру на предварительную экспертизу по настоянию юристов администрации. Таким образом, по закону ни органы местного самоуправления, ни юридические, ни физические лица не наделены полномочиями по «принятию нормативных правовых актов по отдельным вопросам, касающимся обработки персональных данных (в т.ч. по обеспечению безопасности персональных данных при их обработке в информационных системах)[15]. Все они призваны только исполнять то, что предписано государственными органами. Следовательно, устанавливать правила обработки персональных данных и, следовательно, платить за это должны государственные органы!
Есть, правда, еще группа деятелей, подпадающих под категорию «оператор». Это те, кто прибегает к услугам детективных агентств. Не сами агентства, а именно их клиенты. Они и только они определяют цели и содержание обработки интересующих их персональных данных. И только они должны нести ответственность за возможную утечку собранной агентством информации. Они же должны и оплачивать все расходы, связанные с обеспечением безопасности добытых агентством данных. Взаимная ответственность агентства и клиента может быть определена договором. Существуют и некоторые другие физические или юридические лица, по собственной инициативе определяющие цели и содержание обработки персональных данных. Например, предприятия, организации, учреждения, устанавливающие системы контроля персонала.
Еще одна коллизия, которую породил закон, состоит в том, что непонятно кого следует считать «оператором» на уровне местного самоуправления: орган местного самоуправления как единое целое или каждое структурное подразделение, имеющее статус юридического лица? И что следует понимать под «не входящими в систему органов местного самоуправления муниципальными органами». В Федеральном законе РФ от 6 октября 2003 г. № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» такого термина нет. Не удалось найти его и в других доступных правовых актах.
Данная коллизия стала следствием смешения разнопорядковых понятий при определении термина «оператор». Понятия «государственный орган» и «муниципальный орган» - структурно-административные, а «юридическое лицо» и «физическое лицо» - хозяйственно-юридические. И государственные и муниципальные органы состоят из юридических и физических лиц. Кто оператор: государственный орган – Министерство науки и образования РФ, структурное подразделение субъекта РФ – департамент образования субъекта РФ, структурное подразделение органа местного самоуправления – комитет образования муниципального округа или юридическое лицо – школа? По мнению автора – министерство, по мнению руководства Управления федеральной службы по надзору в сфере связи, информационных технологий массовых коммуникаций по Волгоградской области[16] – школа. Автор апеллировал к тексту закона и логике, Управление Роскомнадзора – к своему статусу.
Перенос сроков вступления закона в силу - пустое занятие. Закон необходимо отменить вследствие его коррупциогенности, методологической несостоятельности, экономической и социальной вредности. Изменения, внесенные В.М.Резником[17] и утвержденные Государственной Думой, носят исключительно «косметический» характер и принципиально ничего не меняют. Все имевшиеся в законе недостатки остались.
Получается, под благовидными предлогами – забота о гражданах, необходимость «влезть» в ВТО и т. п. – принят закон, наносящий сокрушительных удар по российской экономике. Мало того, что на проведение абсолютно ненужных мероприятий необходимо выбросить большие деньги каждому юридическому лицу и даже индивидуальному предпринимателю, созданы беспрецедентные возможности не только «кошмарить бизнес», но и «кошмарить» органы государственной власти и местного самоуправления, для чего организованы и содержатся за государственный счет специальные подразделения Роскомнадзора. Вместе с этим по всей стране несчетное количество специалистов вместо того, чтобы заниматься производительным трудом самим, вынуждены заниматься созданием тонн абсолютно ненужной макулатуры в виде положений, инструкций, моделей, актов, приказов и т. д. и т. п. и при этом еще мешать работать другим. К сожалению, ущерб подобного вида у нас до сих пор считать не принято. А следовало бы!
В целом, этот закон наносит экономике страны колоссальный ущерб при нулевой эффективности! Защищать нужно не то и не так! Если, конечно, перед «толкателями» этого закона не стояли и не стоят другие – деструктивные по отношению к человеку и государству – задачи. Как и что защищать – отдельный вопрос, а вот прояснением последнего следовало бы озаботиться Конституционному суду, прокуратуре и ФСБ.
Тем не менее, закон есть закон. И каким бы он ни был, его необходимо выполнять. Исходя из этого, перед всеми стоит задача: разработать пакет документов, позволяющий выполнить требования закона в условиях сокращения бюджета, разрастания и углубления кризиса. Задача не из простых. Методологическая база, на основании которой обычно разрабатываются подобные документы, в данном случае, как известно, оставляет желать лучшего: два постановления Правительства (от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»), противоречащие друг другу и здравому смыслу, и «4-хкнижие» ФСТЭК, запутывающее даже поднаторевших в вопросах защиты информации специалистов. Документам ФСТЭК, видимо вследствие их методологической несостоятельности, был сначала даже присвоен гриф (пометка) ДСП. И только после того, когда все привыкли к смысловому и терминологическому эквилибру, свойственному этим «документам», гриф с них сняли, правда, предварительно немного их подкорректировав.
При более детальном изучении проблемы выяснилось, что методологические недостатки этих документов становятся достоинствами при практической реализации их требований. Многозначность и размытость формулировок позволяет трактовать их в наиболее выгодном для себя смысле. Возможности применения метода экспертных оценок при проведении классификации ИСПДн и построении частной модели угроз персональным данным являются «подарками судьбы». В результате на основе перечисленных выше подзаконных актов и нормативно-методических документов ФСТЭК нами были разработаны «Рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах», основу которых составляют формы документов для заполнения ответственными за обеспечение безопасности персональных данных в подразделениях. Формы составлены так, чтобы даже не очень осведомленный в законодательных актах и технологиях обеспечения безопасности персональных данных человек, мог их легко заполнить. Основной упор сделан на организационные и программные меры защиты.

[1] http://travkin333.livejournal.com/
[2] Источник: http://infowatch.livejournal.com/53959.html.
[3] http://infowatch.livejournal.com/
[4] "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд"
[5] http://www.rian.ru/politics/20080715/114000603.html
[6] Стенограмма выступления. - Режим доступа: http://portal.volgadmin.ru/Pages/152FZ.aspx, регламентированный.
[7] http://slovari.yandex.ru/dict/bse/article/00033/28800.htm
[8] Понятие – это форма мышления, а то, что приведено в 152 ФЗ под заголовком «Основные понятия, используемые в настоящем Федеральном законе», является терминами и их определениями. Кроме того понятия используются не в «целях закона», а в тексте закона с целью его (закона) изложения.
[9] http://lenta.ru/news/2008/05/01/tax/
[10] http://www.ispdn.ru/practice/
[11] http://infowatch.livejournal.com/
[12] Там же.
[13] http://portal.volgadmin.ru/Pages/152FZ.aspx (доступ регламентирован).
[14] Требование о необходимости разработки такого положения изложено в «Рекомендациях по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных заместителем директора ФСТЭК России 15.02.2008 г.
[15] http://portal.volgadmin.ru/Pages/152FZ.aspx (доступ регламентирован).
[16] Там же.
[17] http://asozd2.duma.gov.ru/main.nsf/%28Spravka%29?OpenAgent&RN=282499-5&02

Оригинал находится по адресу: Атаманов Г. А. 152 ФЗ «О персональных данных» – закон, построенный на понятиях // Защита информации. INSIDE. - 2010. - № 2. - С.28-45.

Комментариев нет:

Отправить комментарий