Вчера, когда я написал про новый приказ ФСБ по защите ПДн, Алексей Волков не согласился со мной в той части, что раз приказ называется "...с использованием средств криптографической защиты информации...", то и касается он только тех, кто эти средства использует. В другом месте вспомнили старый баян о том, что иностранные средства шифрования и не СКЗИ вовсе по версии ФСБ (правда, обосновать эту позицию так и не смогли). И в итоге получилось как с юристами - "два эксперта - три мнения" :-) Я не планирую вступать с Алексеем в полемику; каждый все равно останется при своем. Просто хочу вспомнить несколько примеров, которые показывают, что не стоит так безоглядно смотреть на название и танцевать от него в принятии решении о том, на что распространяется или не распространяется нормативный акт.
Первый пример связан со старым ПП-687, название которого звучит как "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Многие специалисты в свое время "повелись" на название и посчитали, что ПП-687 касается только неавтоматизированной, т.е. ручной обработки ПДн. Однако, в самом тексте было сказано немного иное, а именно - "Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных,осуществляются при непосредственном участии человека". Иными словами, если 4 упомянутых действия осуществлялись при непосредственном участии человека (а обычно так и есть), то такая обработка могла считаться осуществляемой без использования средств автоматизации. Специально для недоверчивых в тексте ПП-687 было добавлено - "Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее".
Но пойдем дальше. Вспомним ПП-1119, а точнее историю его появления. Первоначально вместо одного ПП-1119 планировалось принять два постановления, в одном из которых говорилось не о типе угроз как сейчас, а о категории нарушителей. Это понятие было ближе к авторам постановления (8-му Центру ФСБ) и они хотели использовать именно его. Однако когда проект ПП-1119 ушел в Администрацию Правительства оттуда пришел ответ, что использовать словосочетание "категория нарушителя" нельзя и его надо менять на "тип угрозы", упоминаемое в ФЗ-152.
Третий пример касается практики проведения проверок Роскомнадзором. В одном из известных мне случаев при проверке сотрудник РКН затребовал предусмотренную ст.18.1 ФЗ-152 политику в отношении обработки персональных данных. В ответ ему было представлено Положение об обработке персональных данных. И вот тут последовала странная реакция - требование представить не положение об обработке, а политику в отношении обработки. Попытки объяснить, что это одно и тоже успехом не увенчались и в акте проверки было написано замечание, которое, правда, было быстро устранено, но эта глупая привязка к термину из ФЗ сама по себе показательна.
Наконец, последний пример касается пресловутой "защиты информации", которая фигурирует в названии многих документов ФСТЭК. Например, в приказе №31 по защите АСУ ТП. Мы прекрасно понимаем, что документы ФСТЭК касаются не только и не столько информации, сколько систем, в которых эта информация циркулирует и обрабатывается. Но в названии упоминать "системы" нельзя, т.к. ФСТЭК является заложником очередного термина "федеральный орган, уполномоченный в области защиты конфиденциальной информации". ФСТЭК по версии законодателей (а также юристов Правительства и Администрации Президента) не защищает информационные или автоматизированные системы - она защищает информацию. Поэтому юристы ФСТЭК тратят много усилий на то, чтобы скрыть в тексте приказов то, что понятно любому специалисту - защищать информацию без защиты систем, в которых она обрабатывается, бессмысленно. Именно поэтому в названии многих документов ФСТЭК говорится о защите только информации и только внутри документов это понятия ширится и захватывает еще и сами системы.
Аналогичная ситуация и с ФСБ, которую все привыкли ассоциировать с СКЗИ. И поэтому во многих распоряжениях Президента или Правительства, на основе которых и создаются ведомственные приказы, фигурируют вполне конкретные названия документов, которые мы с вами и видим после их регистрации в Минюсте. Эти названия, зачастую неотражающие реального содержания (или отражающие его неполностью), предписаны сверху и поэтому поменять их практически нереально. Попробовать-то можно, но себе дороже. Именно по этой причине, названия некоторых документов ФСТЭК или ФСБ не всегда совпадают с их содержанием. Это не значит, что регулятор ошибся или вышел за рамки своего поля деятельности. Нет. Регулятор действует в рамках имеющегося распоряжение гаранта Конституции или премьер-министра, но при этом является заложником наименований, которые либо уже используются в каком-то нормативном акте, либо упомянуты в непубличном распоряжении, и отойти от них нельзя.
Отсюда простой вывод. Не всегда стоит ориентироваться только на название документа - надо внимательно читать то, что написано внутри него. Лично я по-прежнему считаю, что 378-й приказ ФСБ касается любого оператора ПДн, а не только тех, кто использует СКЗИ. СКЗИ - это только одна часть приказа регулятора. Вторая касается раскрытия вопросов, которые оставались неотвеченными в ПП-1119. 378-й приказ дает на них ответ. Поэтому в этой части он имеет отношение ко всем.
ЗЫ. Кстати, хочу напомнить, что невзирая на все, что написано в 378-м приказе ФСБ, проверить его исполнение ФСБ имеет право (по закону) только в отношении государственных и муниципальных операторов ПДн. Коммерческие операторы ПДн остаются пока вне поля регулирования ФСБ и ФСТЭК - их может проверить только прокуратура.
Первый пример связан со старым ПП-687, название которого звучит как "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Многие специалисты в свое время "повелись" на название и посчитали, что ПП-687 касается только неавтоматизированной, т.е. ручной обработки ПДн. Однако, в самом тексте было сказано немного иное, а именно - "Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных,осуществляются при непосредственном участии человека". Иными словами, если 4 упомянутых действия осуществлялись при непосредственном участии человека (а обычно так и есть), то такая обработка могла считаться осуществляемой без использования средств автоматизации. Специально для недоверчивых в тексте ПП-687 было добавлено - "Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее".
Но пойдем дальше. Вспомним ПП-1119, а точнее историю его появления. Первоначально вместо одного ПП-1119 планировалось принять два постановления, в одном из которых говорилось не о типе угроз как сейчас, а о категории нарушителей. Это понятие было ближе к авторам постановления (8-му Центру ФСБ) и они хотели использовать именно его. Однако когда проект ПП-1119 ушел в Администрацию Правительства оттуда пришел ответ, что использовать словосочетание "категория нарушителя" нельзя и его надо менять на "тип угрозы", упоминаемое в ФЗ-152.
Третий пример касается практики проведения проверок Роскомнадзором. В одном из известных мне случаев при проверке сотрудник РКН затребовал предусмотренную ст.18.1 ФЗ-152 политику в отношении обработки персональных данных. В ответ ему было представлено Положение об обработке персональных данных. И вот тут последовала странная реакция - требование представить не положение об обработке, а политику в отношении обработки. Попытки объяснить, что это одно и тоже успехом не увенчались и в акте проверки было написано замечание, которое, правда, было быстро устранено, но эта глупая привязка к термину из ФЗ сама по себе показательна.
Наконец, последний пример касается пресловутой "защиты информации", которая фигурирует в названии многих документов ФСТЭК. Например, в приказе №31 по защите АСУ ТП. Мы прекрасно понимаем, что документы ФСТЭК касаются не только и не столько информации, сколько систем, в которых эта информация циркулирует и обрабатывается. Но в названии упоминать "системы" нельзя, т.к. ФСТЭК является заложником очередного термина "федеральный орган, уполномоченный в области защиты конфиденциальной информации". ФСТЭК по версии законодателей (а также юристов Правительства и Администрации Президента) не защищает информационные или автоматизированные системы - она защищает информацию. Поэтому юристы ФСТЭК тратят много усилий на то, чтобы скрыть в тексте приказов то, что понятно любому специалисту - защищать информацию без защиты систем, в которых она обрабатывается, бессмысленно. Именно поэтому в названии многих документов ФСТЭК говорится о защите только информации и только внутри документов это понятия ширится и захватывает еще и сами системы.
Аналогичная ситуация и с ФСБ, которую все привыкли ассоциировать с СКЗИ. И поэтому во многих распоряжениях Президента или Правительства, на основе которых и создаются ведомственные приказы, фигурируют вполне конкретные названия документов, которые мы с вами и видим после их регистрации в Минюсте. Эти названия, зачастую неотражающие реального содержания (или отражающие его неполностью), предписаны сверху и поэтому поменять их практически нереально. Попробовать-то можно, но себе дороже. Именно по этой причине, названия некоторых документов ФСТЭК или ФСБ не всегда совпадают с их содержанием. Это не значит, что регулятор ошибся или вышел за рамки своего поля деятельности. Нет. Регулятор действует в рамках имеющегося распоряжение гаранта Конституции или премьер-министра, но при этом является заложником наименований, которые либо уже используются в каком-то нормативном акте, либо упомянуты в непубличном распоряжении, и отойти от них нельзя.
Отсюда простой вывод. Не всегда стоит ориентироваться только на название документа - надо внимательно читать то, что написано внутри него. Лично я по-прежнему считаю, что 378-й приказ ФСБ касается любого оператора ПДн, а не только тех, кто использует СКЗИ. СКЗИ - это только одна часть приказа регулятора. Вторая касается раскрытия вопросов, которые оставались неотвеченными в ПП-1119. 378-й приказ дает на них ответ. Поэтому в этой части он имеет отношение ко всем.
ЗЫ. Кстати, хочу напомнить, что невзирая на все, что написано в 378-м приказе ФСБ, проверить его исполнение ФСБ имеет право (по закону) только в отношении государственных и муниципальных операторов ПДн. Коммерческие операторы ПДн остаются пока вне поля регулирования ФСБ и ФСТЭК - их может проверить только прокуратура.
