ИСПДн.инфо

...и в Россию

Современная Россия по мировым меркам — государство достаточно молодое, однако обладающее огромным духовным, культурным и историческим наследием. В то время, как в ряде европейских государств, в конце XIX — начале XX века стали формироваться базовые принципы права гражданина на защиту его личных данных, Россию, как всегда, лихорадило: первая русская революция (1905-1907 г.), государственный переворот (1907 г.), вступление в 1 мировую войну (1914 г.), вооруженное восстание в Петрограде (1917 г.), вторая мировая война (1939-1945 г.), Великая Отечественная война (1941-1945 г.), сталинские репрессии (до 1952 года) и т.п.

Ратификация Россией Конвенции о защите физических лиц при автоматизированной обработке персональных данных в 2005 г. и последующий выход в свет Федерального Закона «О персональных данных» № 152-ФЗ и подзаконных актов, сосредоточивших в себе базовые положения, касающиеся обработки (использования) и защиты персональных данных граждан, создали мощную основу для формирования на общем пространстве услуг в сфере информационных технологий и информационной безопасности нового направления — рынка услуг в области защиты персональных данных.

«Только дураки учатся на своих ошибках. Я же предпочитаю учиться на ошибках других».

Эта знаменитая фраза, авторство которой приписывается известному политическому деятелю XIX века, «железному канцлеру» Германской империи Отто фон Бисмарку, очень точно отражает западный подход к реализации любых системообразующих мероприятий, будь то создание нового производства или нового государственного союза. Опыт предыдущих поколений и лучшие практики, помноженные на предъявляемые современным миром жесткие требования к непрерывной модернизации устоявшихся принципов, дают западным странам квинтэссенцию того, что в России сейчас принято называть «инновационная экономика».

Как и любая профессиональная сфера, защита информации — весьма сложная и многогранная деятельность. В прикладном смысле эта деятельность выражается в применении технических знаний и навыков, реализации методик и технологий, внедрении технических средств защиты информации. Применение тех или иных организационных и технических мер защиты базируется на комплексе правовых норм, обуславливающих те или иные требования к обработке и защите информации определенных объектов информатизации.

Правовая и методическая база, определяющая порядок, принципы, методы и способы защиты персональных данных весьма обширна. Помимо федеральных законов — это ряд Указов Президента РФ, Постановлений Правительства РФ, приказов федеральных служб, государственные стандарты, отраслевые и ведомственные стандарты. Всего насчитывается более 100 документов, регулирующих указанную сферу.

Многие положения Федерального закона «О персональных данных» да настоящего времени являются предметом оживленных дискуссий и споров в профессиональной среде. Процесс «встраивания» требований закона в существующие бизнес-процесс протекает для многих операторов весьма болезненно, и в большинстве случаев это связано с необходимостью выделения весьма значительных ресурсов. Вполне оправданно операторы пытаются сократить издержки при приведении свой деятельности в соответствие с требованиями ФЗ 152, используя при этом все возможные способы. Очевидно, что эти способы, в чем бы они ни заключались, не должны противоречить закону.

Одним из сомнительных с точки зрения права является тезис об отсутствии обязанности обладания лицензий ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ) у лица, осуществляющего деятельность по ТЗКИ ИСПДн, если мероприятия по обеспечению безопасности ПДн проводятся для «собственных нужд» оператора. Попробуем рассмотреть этот вопрос более подробно.

С момента принятия в 2006 году Федерального Закона «О персональных данных», некоторые его положения и понятия до сих пор остаются неясными для сотрудников операторов. Кажущаяся неясность формулировок иногда становится предметом спекуляций для отдельных активных граждан, поставивших своей целью доказывание абсурдности или несостоятельности Закона.

Манипулируя некоторыми формулировками Закона (порой, вырванными из контекста), опираясь на принципы формальной логики (не всегда справедливой, когда речь идет о праве как науке), моделируя возможные коллизии, некоторые аналитики приходят к неожиданным и неправильным выводам.

Опасность этих выводов — в дезориентации участников информационных правоотношений, а также в том, что принятие на вооружение сомнительных утверждений сдерживает работу операторов по приведению своей деятельности в соответствие с Законом и создает условия для нарушения ими требований Закона.