ФЗ "О персональных данных". Всадник апокалипсиса

Игорь Калганов
эксперт по информационной безопасности

Появление этого закона, конечно, не было случайным. С одной стороны, оно было продиктовано исполнением подписанных РФ международных соглашений, с другой – наличием в свободной продаже объемных баз данных, содержащих различные сведения о частной жизни граждан.

За прошедшие 5 лет 152-ФЗ подвергался всестороннему анализу, и при этом было выявлено большое количество положений, требующих изменения, разъяснения и других действий по совершенствованию закона.

Напрасные ожидания

Депутат Государственной Думы РФ Б.Л. Резник и возглавляемая им рабочая группа с момента первого опубликования ФЗ "О персональных данных" проводила работу по приведению названного закона в состояние, позволяющее достичь баланса интересов субъектов и операторов ПДн. Инициативы г-на Резника предусматривали приведение 152-ФЗ в соответствие с международным договором и исключение из закона заведомо невыполняемых, практически не реализуемых и неоправданно дорогостоящих положений.

Все ожидали выхода изменений закона в редакции, предлагаемой г-ном Резником. К сожалению, к данному процессу подключились силы, лоббирующие свои интересы в области защиты ПДн. Это не кто иной, как компании (группы), которые имеют возможности со стопроцентной вероятностью побеждать в гостендерах на проекты в области защиты ПДн и смогут заработать внушительные деньги, получая их от бюджетных организаций РФ. Вышеназванные лоббисты добились того, что были приняты "нужные" поправки, ставящие отдельных операторов ПДн на грань фактического разорения (в случае честного выполнения требований закона). Очень наглядно видно описываемую борьбу, если ознакомиться с первой и окончательной редакцией вступивших в силу изменений от 2011 г.

Важно, что компании – системные интеграторы (в том числе и крупные) и операторы ПДн – в силу отсутствия прямых коммуникаций с органами власти были в полном неведении относительно реально принимаемых поправок в 152-ФЗ и как и все профессиональное сообщество ожидали приведения закона к объективно выполнимому виду. Их ожидания были напрасны.

Так что же "страшного" появилось в новой редакции 152-ФЗ?

Рассмотрим это на примере подпункта 3 и 4 п. 2 ст. 19 "Меры по обеспечению безопасности персональных данных при их обработке".

Подпункт 3 (о применении прошедших в установленном порядке процедуру оценки соответствия средств защиты информации) несет в себе отсылочную норму к Федеральному закону "О техническом регулировании". Положения ФЗ "О техническом регулировании" и подзаконные акты, описывающие механизмы реализации данного закона, в свою очередь, не предлагают нам ничего иного, как сертификацию СЗИ. При этом весьма примечательно, что подзаконные акты, описывающие механизмы реализации ФЗ "О техническом регулировании" имеют прямую ссылку на утративший силу ФЗ "О сертификации".

Сама технология сертификации была хороша в далекие 1980-е гг. Чтобы не вдаваться в излишние подробности, достаточно сказать следующее: эта процедура для 99,9% операторов ПДн неоправданно затратна, громоздка, весьма продолжительна по времени и, что самое неприятное, не позволяет в последующем (после получения заветного сертификата) проводить сколь-либо вменяемые обновления уже сертифицированного средства.

Итог: неукоснительное выполнение подпункта 3 п. 2 ст. 19 152-ФЗ – заведомо затратное действие с нулевым эффектом.

Подпункт 4 (об оценке эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн) любезно предлагает операторам ПДн не что иное, как старую и добрую аттестацию. Аттестацию, которая ранее была обязательна для ИСПДн 1-го, 2-го класса и распределенных ИСПДн 3-го класса. Аттестацию, которая реализуется по методикам прошлого века и которая в своем сегодняшнем виде совершенно неприемлема для большинства операторов.

Лингвистический анализ вводного слова "в частности", приведенного в п. 2 ст. 19 показывает, что все дальнейшие положения названного пункта являются лишь примером, но не конкретным предметным требованием, и исполнение этих примеров не является обязательным.

Каков же выход?

В сложившейся ситуации наиболее рациональным подходом по построению системы исполнения 152-ФЗ является детализирование комплекса мер защиты ПДн с учетом отраслевой принадлежности операторов.

Представляется целесообразным поручить выработку конкретных мер по защите ПДн, а также мер по контролю их исполнения отраслевым регуляторам и объединениям операторов (в частности, саморегулируемым организациям).

Хочется верить, что законодатель поддержит разумные инициативы и найдет в себе силы отказаться от прямого регулирования на федеральном уровне частных вопросов в деятельности отдельных организаций.