На конференции ГлобалТраст «Персональные данные 2012: проблемы и решения», проходившей 27 июня 2012 года в гостинице «Золотое Кольцо» и собравшей в общей сложности более 70 специалистов, одной из наиболее дискуссионных тем, как и ожидалось, стали вопросы технического регулирования защиты персональных данных. Какую точку зрения по данному вопросу не выражай и с какой стороны не взгляни, всегда находятся несогласные, поскольку противоречия заложены уже в самой нормативной базе.
Существующие принципы регулирования в области защиты государственной тайны, нацеленные на защиту от иностранных технических разведок, в нашей стране были странным и нелепым образом перенесены сначала на защиту конфиденциальной информации в гос. учреждениях, а затем и на защиту персональных данных во всех организациях, независимо от формы собственности и профиля деятельности. Распространение социальных сетей, облачных вычислений, мобильно-гаджетовая экспансия и прочие тенденции современного информационного общества на эту систему регулирования никакого видимого влияния не оказали. Она прочно стоит на трех китах, хотя и в стороне от реальной жизни, и тщательно оберегается регуляторами. Этими китами являются: лицензирование, сертификация и аттестация.
Существующая практика применения такого регулирования к вопросам защиты персональных данных позволяет сформулировать следующие простые, но не бесспорные, по указанным выше причинам, тезисы:
1. Лицензирования в области ТЗКИ и криптографии — теперь бессрочное и не для собственных нужд.
Это означает, что если вы, например, частный предприниматель, продающий на рынке или через свой мини-маркет шнурки для ботинок, и вы устанавливаете на своем ноутбуке для защиты базы 1С антивирус, персональный МЭ и СКЗИ для шифрования жесткого диска, вам не требуется для этого получать лицензии на осуществление деятельности в области ТЗКИ и криптографии. По другому быть и не может. Иначе практически всем российским организациями и ПБОЮЛ пришлось бы либо получать комплект лицензий ФСТЭК и ФСБ, либо заключать договора с действующими лицензиатами.
Тем не менее находятся люди, на полном серьезе со ссылками на различные нормативные документы утверждающие обратное. Соображения о том, что получение лицензий для собственных нужд не выдерживает критики с точки зрения здравого смысла, не имеет достаточных правовых оснований и нереализуемо на практике их не смущает.
Почему требование лицензирования для собственных нужд не имеет достаточных правовых оснований уже подробно рассматривалось в статье «Когда необходимо получать лицензию ФСТЭК по ТКЗИ?»:
http://iso27000.ru/blogi/aleksandr-astahov/kogda-neobhodimo-poluchat-licenziyu-po-tkzi
Повторяться не будем. Приведем лишь пояснения юристов:
«Получение лицензии на деятельность, подлежащую лицензированию, обязательно для тех лиц, для которых эта деятельность является основной. В случае, если деятельность рассматривается как элемент основной производственной деятельности и именно от ее осуществления не происходит извлечение прибыли, получение лицензии на нее не требуется. Подробнее об этом можно почитать в юридической справке, которая готовилась к прошлогодним парламентским слушаниям:
http://iso27000.ru/informacionnye-rubriki/zaschita-personalnyh-dannyh/spravka-o-licenzirovanii-deyatelnosti-po-tehnicheskoi-zaschite-konfidencialnoi-informacii/
В «гениальном» по своей информативности сообщении ФСТЭК России по вопросу лицензирования ТКЗИ (опубликованном на официальном сайте ФСТЭК по адресу: http://www.fstec.ru/_razd/Doc27.pdf) выражена следующая сакраментальная мысль: «В случае, если деятельность по ТЗКИ не направлена на достижение целей деятельности, предусмотренных в учредительных документах, и (или) не связана с получением прибыли от выполнения указанных работ или оказания услуг, решение о необходимости получения соответствующей лицензии может быть принято юридическим лицом самостоятельно в соответствии с законодательством РФ».
Это сообщение четко демонстрирует позицию регуляторов: отвечать на вопросы по лицензированию таким образом, чтобы не отвечать на поставленный вопрос. К ним обращаются операторы ПДн с вопросом: надо ли им в соответствии с действующим законодательством РФ получать лицензию на ТЗКИ для защиты обрабатываемых ими персональных данных? И регулятор им отвечает, что это решение может быть принято ими самостоятельно в соответствии с законодательством РФ. И, если подумать, то по-другому они ответить и не могут. Ведь, если скажешь, что лицензию для собственных нужд обязательно надо получать всем операторам, то, ведь, засудят к чертовой матери. А если сказать, что лицензии для собственных нужд получать не надо, тогда уволят нафиг. Вот и выкручиваются регуляторы как могут.
С лицензированием деятельности по разработке, производству, распространению , обслуживанию и т.д. шифровальных (криптографических) cредств ситуация аналогичная. В ПП РФ № 313 от 16 апреля 2012 года сказано: «Утвердить прилагаемое Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
Что касается оказания услуг в области шифрования и распространения шифровальных средств, то это виды деятельности, которые осуществляются явно не для собственных нужд. Все остальные виды деятельности в области криптографии, указанные в постановлении, как то: разработка, модернизация, производство, монтаж, установка, наладка, ремонт, могут осуществляться как основная деятельность, направленная на извлечение прибыли, так и для собственных нужд. В Постановлении же, почему-то, исключение делается только для обслуживания криптосредств, при этом не очень понятно чем установка (переустановка), наладка (настройка) или ремонт (устранение проблем функционирования) отличаются от обслуживания.
Другими словами позиция регулятора такая же, как и по вопросу лицензирования ТЗКИ. С одной стороны, вроде бы и надо получать лицензию для собственных нужд (хотя прямо об этом не говориться), с другой стороны, вроде бы и не надо (например, для обслуживания, об остальном тоже прямо не говориться), зависит от того, как на это дело посмотреть и кто будет смотреть.
Чтобы изменить ситуацию, нужна политическая воля. Но тем, у кого она есть, видимо выгодно, чтобы ситуация оставалась именно такой, позволяющей применять правовые нормы избирательно.
2. Сертификация СЗИ, используемых для защиты персональных данных
Что касается вопроса об обязательности использования сертифицированных СЗИ для защиты ПДн, то в настоящее время нет ни одного официально опубликованного нормативного документа (СТР-К и ПП РФ №330 носят гриф ДСП), который бы этого требовал. Везде говориться о СЗИ «прошедших в установленном порядке процедуру оценки соответствия», а закон о Техническом регулировании разъясняет нам, что оценка соответствия может производиться различными способами, а для обязательной сертификации, обязательно требуется технический регламент на соответствующую продукцию.
Подробнее о ситуации с сертификацией СЗИ уже писалось в статье «Миф об обязательности использования сертифицированных СЗИ для обеспечения безопасности персональных данных»:
http://iso27000.ru/blogi/aleksandr-astahov/mif-ob-obyazatelnosti-ispolzovaniya-sertificirovannyh-szi-dlya-obespecheniya-bezopasnosti-personalnyh-dannyh
Причины такой ситуации все те же: невозможность и абсурдность перенесения системы регулирования в области защиты гос. тайны на защиту персональных данных. Здесь нужны совершенно иные принципы и подходы.
3. Аттестация ИСПДн
Общепринятой точкой зрения сейчас является то, что аттестация ИСПДн по требованиям безопасности информации является обязательной для гос. учреждений и добровольной для частных организаций. Однако и для гос. учреждений нет достаточных законных оснований этого требовать, поскольку единственный документ, в котором об этом говориться — СТР-К, во-первых носит гриф ДСП и, следовательно, не может рассматриваться как НПА, а во-вторых, он определял требования по защите ПДн, только до момента принятия в нашей стране соответствующего законодательства (152-ФЗ), как в нем самом и написано.
PS
И не надо упрекать меня за использование понятия «гриф ДСП», которое может быть режет слух старым секретчикам. Если существуют грифы секретности, то почему не могут существовать грифы конфиденциальности? Это понятие уже давно вошло в обиход и в Википедию. Как уже было отмечено, в нашей стране существует традиция использовать понятия и методы защиты гос. тайны для всех остальных видов тайн, а то, что в ПП РФ №1233 используется странное выражение «пометка ДСП» по отношению к служебной тайне, еще ни о чем не говорит.