В связи с приближением стартовой точки для новых проверок и поборов — на этот раз уже не только по поводу лицензирования ПО, но и в связи с защитой персональных данных — приходится внимательно перечитывать скудную нормативную базу, подведенную под это дело. Уже начиная с ФЗ-152 (хотя поразительно беззубый документ, но и тут умудрились поставить мышеловку), обнаруживается интересное.
Так, в статье 25 п. 3. написано “Информационные системы персональных данных, созданные до дня вступления в силу настоящего ФЗ, должны быть приведены в соответствие с требованиями настоящего ФЗ не позднее 1 января 2010 года”. Закон вступил в силу в самом начале 2007. Про ИС, созданные ПОСЛЕ его вступления в силу, в тексте закона ничего не сказано. А это, например, в трактовке “компетентных органов” может означать, что по умолчанию все ИС, созданные в 2007, 2008 и 2009 годах, должны изначально этому закону соответствовать. Типа “вас предупредили”. Значит ли это, что не просто внедренные на предприятиях системы, но и выпущенные разработчиками решения должны быть так или иначе сертифицированы на соответствие ФЗ-152 — пока неизвестно. И известно будет не раньше первых проверок — тогда и увидим по результатам, какую трактовку проверяющие выберут. Юридическая уязвимость тут имеется, как мне представляется.
Едем дальше. Не все за последние три года внедряли новые решения. А со старым зоопарком — добро пожаловать на регистрацию операторов персональных данных. При этом, как следует из “приказа на троих”, п. 17: “В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, ИС в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем”. Тут на память живо приходит красный плакат с красноармейцем, грозно вопрошающим “А ты уже классифицировал свои ИС?” Из того же приказа № 55/86/20 п.6 читаем: “Определяются следующие категории обрабатываемых в информационной системе персональных данных (Xпд):
— категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
— категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1”.
Вам нравится категория 2? Мне — очень. При желании под “дополнительную информацию” можно подогнать что угодно. Есть у вас в БД адреса сотрудников? Вот и отлично, а почему тогда ПО не сертифицировано на соответствующую категорию?
Разбираться со старыми системами, подсистемами, их категориями и вопросами их сертификации — это реальный головняк. К тому же, как совершенно понятно, главными операторами персональных данных высокой категории у нас являются госучреждения и финансовые структуры. Финансисты, я думаю, как-нибудь справятся. А вот как будут выкручиваться бюджетники, особенно когда в бюджете дыра — это вопрос очень интересный. Проверяющим любителям пивка, как известно, плевать на объяснения — они хотят увидеть бумажку, в которой черным по белому сказано, что установленное ПО соответствует требованиям партии и правительства. И желательно одну бумажку на все. А если у вас 25 бумажек на каждый компонент — разбираться, соответственно, будете в 25 дольше. И, согласно Кодексу об административных правонарушениях, с радужной перспективой конфискации ненадлежаще оформленных средств защиты информации. Вместе с сервером, ага.
При таком раскладе кажется совершено естественным, что за два года разработчики и интеграторы должны были подсуетиться и впустить решения для страждущих уложиться до 1 января 2010. Да и просто сертифицировать новые решения под ФЗ-152 и соответствующие нормативные документы. На практике оказывается — ничего подобного! Конечно, компонентов сертифицированных полно. Решение же — ну так, чтобы и серверная и настольная платформа, и хотя бы базовый пользовательский софт — поиском выносит пока только одно — Open Referent on Software United. Понятно, что IBM Lotus Domino/Notes, который туда входит, давно сертифицирован сам по себе, но разработчики получили от ФСТЭК сертификат именно на все решение, включая RHEL, систему документооборота Open Referent и офисный функционал. Ровно то, что бюджетникам и нужно — документооборот для них вещь основополагающая, и денег решение стоит небольших.
Естественно, у Microsoft сертифицировано многое из аналогичного набора — пусть они и по продуктам сертифицируют, но собирается это все в ИС достаточно легко. Но даже Microsoft еще не успела сертифицировать свою систему документооборота — все никак “Атлас” не могут поторопить. То ли действительно так сложно именно решение через ФСТЭК и ФСБ провести, то ли российские ИТ-поставщики совсем мышей не ловят, упуская такую нишу.
Ну а заказчикам, похоже, пора прикидывать, как не попасть в волну “дело Поносова v. 2.0”.
Так, в статье 25 п. 3. написано “Информационные системы персональных данных, созданные до дня вступления в силу настоящего ФЗ, должны быть приведены в соответствие с требованиями настоящего ФЗ не позднее 1 января 2010 года”. Закон вступил в силу в самом начале 2007. Про ИС, созданные ПОСЛЕ его вступления в силу, в тексте закона ничего не сказано. А это, например, в трактовке “компетентных органов” может означать, что по умолчанию все ИС, созданные в 2007, 2008 и 2009 годах, должны изначально этому закону соответствовать. Типа “вас предупредили”. Значит ли это, что не просто внедренные на предприятиях системы, но и выпущенные разработчиками решения должны быть так или иначе сертифицированы на соответствие ФЗ-152 — пока неизвестно. И известно будет не раньше первых проверок — тогда и увидим по результатам, какую трактовку проверяющие выберут. Юридическая уязвимость тут имеется, как мне представляется.
Едем дальше. Не все за последние три года внедряли новые решения. А со старым зоопарком — добро пожаловать на регистрацию операторов персональных данных. При этом, как следует из “приказа на троих”, п. 17: “В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, ИС в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем”. Тут на память живо приходит красный плакат с красноармейцем, грозно вопрошающим “А ты уже классифицировал свои ИС?” Из того же приказа № 55/86/20 п.6 читаем: “Определяются следующие категории обрабатываемых в информационной системе персональных данных (Xпд):
— категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
— категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1”.
Вам нравится категория 2? Мне — очень. При желании под “дополнительную информацию” можно подогнать что угодно. Есть у вас в БД адреса сотрудников? Вот и отлично, а почему тогда ПО не сертифицировано на соответствующую категорию?
Разбираться со старыми системами, подсистемами, их категориями и вопросами их сертификации — это реальный головняк. К тому же, как совершенно понятно, главными операторами персональных данных высокой категории у нас являются госучреждения и финансовые структуры. Финансисты, я думаю, как-нибудь справятся. А вот как будут выкручиваться бюджетники, особенно когда в бюджете дыра — это вопрос очень интересный. Проверяющим любителям пивка, как известно, плевать на объяснения — они хотят увидеть бумажку, в которой черным по белому сказано, что установленное ПО соответствует требованиям партии и правительства. И желательно одну бумажку на все. А если у вас 25 бумажек на каждый компонент — разбираться, соответственно, будете в 25 дольше. И, согласно Кодексу об административных правонарушениях, с радужной перспективой конфискации ненадлежаще оформленных средств защиты информации. Вместе с сервером, ага.
При таком раскладе кажется совершено естественным, что за два года разработчики и интеграторы должны были подсуетиться и впустить решения для страждущих уложиться до 1 января 2010. Да и просто сертифицировать новые решения под ФЗ-152 и соответствующие нормативные документы. На практике оказывается — ничего подобного! Конечно, компонентов сертифицированных полно. Решение же — ну так, чтобы и серверная и настольная платформа, и хотя бы базовый пользовательский софт — поиском выносит пока только одно — Open Referent on Software United. Понятно, что IBM Lotus Domino/Notes, который туда входит, давно сертифицирован сам по себе, но разработчики получили от ФСТЭК сертификат именно на все решение, включая RHEL, систему документооборота Open Referent и офисный функционал. Ровно то, что бюджетникам и нужно — документооборот для них вещь основополагающая, и денег решение стоит небольших.
Естественно, у Microsoft сертифицировано многое из аналогичного набора — пусть они и по продуктам сертифицируют, но собирается это все в ИС достаточно легко. Но даже Microsoft еще не успела сертифицировать свою систему документооборота — все никак “Атлас” не могут поторопить. То ли действительно так сложно именно решение через ФСТЭК и ФСБ провести, то ли российские ИТ-поставщики совсем мышей не ловят, упуская такую нишу.
Ну а заказчикам, похоже, пора прикидывать, как не попасть в волну “дело Поносова v. 2.0”.
