Rambler's Top100
 
Блоги Михаил ЕМЕЛЬЯННИКОВ

Школьники-двоечники и параллельные миры

  13 января 2011 Страница персоны

С полным ощущением дежа вю под новый год специалисты (кому интересно, конечно) следили за стремительным принятием, одобрением, подписанием и опубликованием нового закона об очередном переносе сроков приведения информационных систем персональных данных в соответствие с требованиями федерального закона 152.

С высочайшей организованностью (448 голосовавших карточек из 450 возможных, я не могу назвать цифру участвующих депутатов, потому как в зале не был, но 448 там не было точно) и поражающим единодушием (единогласно, конечно) наши законодатели еще на полгода, до 1 июля теперь вот 2011 года сдвинули сроки. Зачем? Скорее всего, они и сами не знают, о чем дальше. Почему? Цитирую пояснительную записку к законопроекту: «выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований к информационным системам персональных данных потребует резкого увеличения расходов из бюджетов всех уровней, что неосуществимо в условиях кризиса. Кроме того, сами расходы для приведения информационных систем в соответствие с требованиями закона не предусмотрены Федеральным законом «О федеральном бюджете на 2010 год и на плановый период 2011 и 2012 годов»».

Следуя логике законодателей, с той же организованностью и единодушием они немедленно начнут править федеральный бюджет и изыскивать средства, чтобы все ИСПДн срочно привести в соответствие с законом.  Но почему-то таких предложений в законопроекте не было. Перенести срок – и точка. За полгода деньги материализуются из ничего, найдутся тысячи грамотных специалистов, которые, засучив рукава, сделают за шесть месяцев то, чего не сделали за четыре года, и магическим образом системы станут соответствовать. 

Такая ситуация больше всего напоминает поведения школьника, получившего двойку в дневник. Можно выучить предмет, вызваться к доске и попытаться исправить ситуацию. Но это сложно, трудоемко, рискованно (может не получиться) и просто лень. Есть путь проще – спрятать от родителей дневник и перенести неотвратимое наказание на неопределенный срок – скорее всего, до родительского собрания. А на него родители могут и не пойти.

Ничего за эти полгода измениться радикально не может в принципе. Но вместо того, чтобы исправить совершенно недееспособный закон, что было ясно специалистам в момент его принятия, а через 4 года стало ясно и законодателям, и честно написать в пояснительной записке, что «практика реализации Федерального закона позволяет сделать вывод о недостижении цели его принятия, и создает предпосылки для уточнения его отдельных положений» (это из пояснительной записки к другому законопроекту на туже тему, внесенному В.М.Резником), просто переносится срок. Кстати, ситуация с законопроектом В.М.Резника, предлагавшим довольно радикально поменять ряд положений закона (хотя всех проблем, на мой взгляд, это не решает), становится все более неопределенной. Отпущенные на подготовку предложений и поправок после первого чтения 5 мая прошлого года 30 дней давно прошли, а о втором чтении не слышно ничего. Причина, судя по всему – в позиции правительства. В целом поддержав законопроект, оно оговорило эту поддержку целом рядом условий, фактически сводящим на нет весь радикализм предлагаемых изменений.

А тем временем мы продолжаем жить одновременно как минимум в двух параллельных мирах. В одном из них действует ФЗ-152. Там оператор обязан подтвердить наличие согласия субъекта на обработку персональных данных, и регулятор разъясняет, что в электронном мире таким подтверждением является ЭЦП, а при ее отсутствии оператор обязан проверить достоверность полученных данных или получить письменное согласие. В другом мире стремительно развивается электронная торговля, где можно совершить сделку анонимно или от имени любого лица, приобрести товары и услуги для других, указав необходимые для этого чужие персданные. И никто ничего не проверяет, проверять не собирается и третьих лиц ни о чем не уведомляет.  

В одном мире требуется применение исключительно сертифицированных средств защиты персданных, а в другом – на порталах государственных органов власти при передаче персданных граждан поднимается протокол HTTPS, использующий алгоритм зарубежный алгоритм шифрования RSA, который реализует несертифицированное (и вряд ли имеющее такую перспективу) криптосредство, и никто это нарушение устранить не требует.

В одном мире принимаются изменения в законы «О судебных приставах» и «Об исполнительном производстве», предоставляющие приставам право для своевременного, полного и правильного исполнения исполнительных документов получать и обрабатывать персональные в необходимом для этого объеме, а арбитражный суд принимает решение о том, что судебный пристав-исполнитель, действуя в рамках публичной функции по принудительному исполнению постановления суда вправе требовать предоставления персональных данных физического лица, а оператор персональных данных (в данном случае – оператор связи) обязан предоставить такие сведения. В другом мире арбитражные суды с депутатским единодушием  признают действия этих приставов по истребованию персональных данных у операторов неправомерными, поскольку (цитирую) «ССП не наделена правом получать конфиденциальную информацию о наличии на лицевом счете абонента сотовой связи денежных средств».

В одном мире трансграничная передача персданных значительно ограничивается законом, а в другом – российские авиакомпании практически полностью  переносят процесс бронирования и продажи билетов (на перелеты внутри России в том числе) в облако глобальных операторов Sabre и Gabriel, где о национальных границах говорить как-то даже неприлично, но при этом пассажиру о трансграничной передаче никто не сообщает и согласия от него не получает.

И так до бесконечности…

Существуют эти миры параллельно, нигде, кроме нашего сознания, видимо, не пересекаясь.

Видимо, такова наша судьба – жить одновременно в нескольких мирах под надзором двоечников, прячущих дневник от несуществующих строгих родителей.

Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Сергей, согласен с Вами и твержу об этом четыре года со всех трибун, сайтов и журналов. Это обычная мировая практика. Есть обязанность защищать данные о гражданах и ответственность для тех, кто допустил утечку. Дополнил бы Ваше предложение еще двумя тезисами. Первый. Для тех, кто не знает, как защищать, делаются рекомендации (но именно рекомендации, а не требования!). Примеры - стандарты NIST «Special Publication 800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» и BS 10012:2009 «Data protection. Specification for a personal information management system». Второй. Значимые утечки тщательно расследуются, если оператор виноват (плохо защищал) - его наказывают, и очень строго. В США ,например, уголовная ответственность за сокрытие самого факта утечки персданных. При этом не просто наказывают, а обязывают компенсировать понесенный субъектами ущерб, включая моральный. А наши 500 руб штрафа за невыполнение работ на миллионы рублей - издевательство над здравым смыслом (как и необходимость тратить миллионы на защиту). Насчет коррупционности - закон крайне коррупционный. Я много и в разных местах говорил и писал о том, что закон по ряду причин в полном объеме невыполним в принципе (интернет-торговля, денежные переводы, вызов врача на дом и многое другое). Таким образом, все без исключения операторы - нарушители закона. А вот кого и почему привлечь к ответственности - дело регулятора. Более коррупционную схему придумать трудно.
Сергей, согласен с Вами и твержу об этом четыре года со всех трибун, сайтов и журналов. Это обычная мировая практика. Есть обязанность защищать данные о гражданах и ответственность для тех, кто допустил утечку. Дополнил бы Ваше предложение еще двумя тезисами. Первый. Для тех, кто не знает, как защищать, делаются рекомендации (но именно рекомендации, а не требования!). Примеры - стандарты NIST «Special Publication 800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» и BS 10012:2009 «Data protection. Specification for a personal information management system». Второй. Значимые утечки тщательно расследуются, если оператор виноват (плохо защищал) - его наказывают, и очень строго. В США ,например, уголовная ответственность за сокрытие самого факта утечки персданных. При этом не просто наказывают, а обязывают компенсировать понесенный субъектами ущерб, включая моральный. А наши 500 руб штрафа за невыполнение работ на миллионы рублей - издевательство над здравым смыслом (как и необходимость тратить миллионы на защиту). Насчет коррупционности - закон крайне коррупционный. Я много и в разных местах говорил и писал о том, что закон по ряду причин в полном объеме невыполним в принципе (интернет-торговля, денежные переводы, вызов врача на дом и многое другое). Таким образом, все без исключения операторы - нарушители закона. А вот кого и почему привлечь к ответственности - дело регулятора. Более коррупционную схему придумать трудно.
25.01 16:17 Сергей:
Должно быть по классикам: "практика-критерий истины". Да я обязан защищать ПДн, а как, уж извините мое дело. Допустил утечку - получи по полной программе, нет утечек - значит защита на должном уровне. А ТЗКИ - проще купить нужного сотрудника любой организации, чем заморачиваться с проникновением в ИС. И если не дешевле, то, главное, надежнее. Так что защитить ПДн, если они кому-то очень нужны, не возможно. Предотвращение случайных утечек, это да. Но это не так и сложно. Посему закон должен: 1. Обязать оператора защищать ПДн. 2. Установить ответственность за утечку ПДн. И все. Что внутри - дело оператора. И хватит кормить интеграторов и регуляторов. А как на счет антикоррупционной экспертизы?
17.01 18:55 Лилия Павлова:
Михаил Юрьевич, большое спасибо за статью! Несмотря на грустную концовку (знать, судьба такая...), это блестящее публицистическое выступление - ну ведь в самом деле, "параллельные миры" создаются не Бог весть кем, вполне конкретными человеками с синдромом двоечников (можно еще сказать, синдром страуса). Странная только эта отсрочка - почему же не на год?.. Как, на Ваш взгляд, могут развиваться события - отсрочка еще на полгода, на год? Или двойку объявят высшим баллом - и начнутся тотальные проверки? Кажется. любой сценарий оптимистичным не назовешь...
17.01 19:41 М.Емельянников:
Лилия, спасибо за оценку. Оптимальный, но самый маловероятный сценарий - за полгода доработают проект Резника и исправят наиболее одиозные положения закона. В том числе возможен отказ от обязательных требований к коммерческим ИСПДн, и тогда собственно тема соответствия их закону потеряет всякий смысл. Но это потребует корректировки не только закона, но и постановлений Правительства № 781 и 550. Свежо преданьице... Второй вариант, более вероятный. За полгода с законом ничего не произойдет. Переносить сроки уже неприлично. И вся мощь системы госконтроля и надзора обрушится на богатых коммерсантов и бесправных бюджетников. Почему – понятно. В промежутке между полюсами никого особо трогать не будут. Между прочим, тот же портал gosuslugi.ru по действовавшей на момент его запуска редакции закона должен был ему полностью соответствовать. Но почему-то игнорирование на нем требований безопасности никого из регуляторов не трогает. ИМХО, сигнал очевиден.
18.01 15:07 Л.Павлова:
Про более вероятный сценарий я слышала осенью прошлого года, образно так: "Скорее всего, сроки переносить уже не будут. Вот представьте себе как было в 2009-м: на столе огромный пирог, вокруг сидит вся надзорная рать, с вилками и ножами в руках, салфетки заправлены за воротнички, ждут только сигнала - и вдруг пирог уносят до следующего года. Теперь опять сидят. И уж ни за что не дадут перенести пирог и на этот раз, вилками заколют)) А если серьезно - ведь "оборонительная стратегия" существует? У нас вроде отраслевые стандарты должны появитья?
19.01 12:00 М.Емельянников:
Ну, "не перенесут" - это еще как сказать... Два раза-то сдвинули, хотя и вилки готовы были...А отраслевые стандарты - дело, конечно, хорошее, но ни закон, ни постаовления правительства они отменить не могут. Так что пожуют - увидим.
19.01 12:00 М.Емельянников:
Ну, "не перенесут" - это еще как сказать... Два раза-то сдвинули, хотя и вилки готовы были...А отраслевые стандарты - дело, конечно, хорошее, но ни закон, ни постаовления правительства они отменить не могут. Так что пожуют - увидим.
19.01 12:00 М.Емельянников:
Ну, "не перенесут" - это еще как сказать... Два раза-то сдвинули, хотя и вилки готовы были...А отраслевые стандарты - дело, конечно, хорошее, но ни закон, ни постаовления правительства они отменить не могут. Так что пожуют - увидим.
19.01 12:00 М.Емельянников:
Ну, "не перенесут" - это еще как сказать... Два раза-то сдвинули, хотя и вилки готовы были...А отраслевые стандарты - дело, конечно, хорошее, но ни закон, ни постаовления правительства они отменить не могут. Так что пожуют - увидим.