Security Lab

О юристах и безопасниках

О юристах и безопасниках
Общаясь в кулуарах ИБ-шных конференций с коллегами за чашечкой кофе, порой, можно получить гораздо больше знаний, опыта и - чего там - удовольствия, чем от прослушивания официальной программы. Именно так и произошло вчера, на конференции CNews по персональным данным, когда у автора блога случился если не легкий шок, то оторопь средней тяжести точно. Обсуждали мы мой прошлый пост по оценке соответствия , и визави, в целом согласившись с доводами, привел свой аргумент. "Юристы твои промахнулись" - было сказано мне - "а мои - нашли такой документ. По нему оценка соответствия - это в любом случае сертификация в соответствующей системе (например РОСС RU.0001.01БИ00, которой в перечне добровольных систем сертификации больше нет ), никаких 330-х ПП не надо, смотри  постановление Правительства РФ № 266 от 2010 года и постановление Правительства РФ № 608 от 1995 года и комментарии к ним, там все написано". Открыл я ПП-266, прочитал название и обомлел...

Органы государственной власти РФ, судя по всему, обожают сложноподчиненные предложения своих в НПА (достаточно вспомнить название ПП-313 ). Этот документ составлен, что называется, "в лучших традициях": мой мозг, опираясь на знания русского языка, автоматически разделил название постановления на следующие смысловые части:

"Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа,


и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации,


а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации"
.

"Приплыли" - подумал я, сразу перепрыгнув на текст Положения и отгоняя нахлынувшую волну размышлений - ну как же мы все просмотрели этот крайне важный документ?!

"Оценка соответствия продукции (работ, услуг) и процессов осуществляется в целях определения их соответствия установленным обязательным требованиям и (или) требованиям по защите информации (далее - оценка соответствия)"... "Принципами подтверждения соответствия продукции (работ, услуг) и процессов являются: закрытый характер информации и документов, касающихся правил, методов и процедур подтверждения соответствия"... "Оценка соответствия проводится в формах обязательной сертификации и государственного контроля (надзора)"...

Эти строчки сквозь глаза прожигали мозг каленым железом, по спине бежал холодок, ладони вспотели... "Сертифицированные средства защиты информации необходимо применять для защиты информации, доступ к которой ограничен законом - коммерческую тайну и персональные данные в том числе, это написано в комментариях к документу в Консультанте" - слова визави звучали как эхо в комнате с ватными стенами. Приближалось время моего выступления, и я, закрыв документ, побрел в зал, где шла конференция.

После окончания конференции, передышки и ответов на вопросы первое, что я сделал - конечно, открыл документ на том же месте, где остановился - аккурат на пункте 9, в котором прочитал:

"Организация и проведение обязательной сертификации продукции осуществляются в порядке, определяемом федеральным органом исполнительной власти, уполномоченным в области внешней разведки, в пределах его компетенции"

Протер глаза и перечитал еще раз - пункт не исчез. "Это сенсация" - подумалось мне - "ФСТЭК уже два года как не является регулятором в этой сфере, а никто и не знает! Теперь всем управляет СВР!!!". Я вернулся к пункту 2 текста самого постановления и увидел это снова:

Определить, что полномочия по аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, осуществляет федеральный орган исполнительной власти, уполномоченный в области внешней разведки, в пределах установленной Президентом Российской Федерации предельной численности сотрудников центрального аппарата, а также бюджетных ассигнований, предусмотренных ему в федеральном бюджете на соответствующий год на руководство и управление в сфере установленных функций.

"Это революция - ни дать, ни взять..." - думал я, теребя телефон и соображая, кому бы срочно позвонить и рассказать об этом. И тут, наконец, включился мозг и произошло отрезвление. Внимательно перечитав пункт 1 постановления я понял: знание русского языка, запятые сложноподчиненного предложения сыграли со мной, с визави, с его юристами и комментаторами Консультанта. Ну какая тут революция? Есть два вида продукции: которая используется для защиты гостайны и иных сведений, и сведения о которой сами по себе являются гостайной. Оба этих вида продукции эксплуатируются в государственных (!) загранучреждениях, и вот именно на такие случаи (и только на такие) распространяется действие этого документа. То, что СВР с 2010 года является очередным регулятором в области ИБ это, конечно, новость - но далеко не сенсация.

В отличие от юристов, расставляющих смысловую нагрузку по правилам русского языка, знание особенностей государственного регулирования ИБ в РФ и здравая оценка возможных последствий такого документа позволило нам с вами, дорогие читатели, расставить запятые правильно:

"Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну,

предназначенной для эксплуатации в загранучреждениях Российской Федерации,


а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации"
.

Вывод прост: не доверяйте слепо всему, что говорят юристы. Вникайте сами, проверяйте, изучайте нормативные документы. Твердое знание и глубокое понимание предметной области - единственное реальное оружие против терминологических казусов и языковых вывертов нашего законодательства.
защита информации размышления безопасность государство
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!