Ниже
речь пойдет об информационном сообщении ФСТЭК «Об особенностях защиты
персональных данных при их обработке в информационных системах персональных
данных и сертификации средств защиты информации, предназначенных для защиты
персональных данных» от 20 ноября 2012
г. № 240/24/4669, а точнее об одном из его пунктов, а именно о:
«Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта».
Как
только данное письмо вышло в свет – все обрадовались, что те система защиты
ПДн, которые уже созданы или создаются (информационные
системы, решение о создании системы защиты информации которых было принято до
вступления в силу Приказа ФСТЭК №21) – можно эксплуатировать/создавать
по требованиям Приказа ФСТЭК №58, но только тогда не были учтены следующие
факторы:
- слово «предполагается» нам говорит о том, что может быть так будет, а может быть и нет…
- в проекте приказа ФСТЭК №21 была фраза «Установить, что настоящий приказ применяется для обеспечения безопасности персональных данный во вновь создаваемых (модернизируемых) информационных системах персональных данных», но в утвержденной версии Приказа данная фраза отсутствует…
Да и в
базе «Консультант+» данное письмо отсутствует, что ставит под большой вопрос
его юридический статус.
Собственно,
учитывая вышесказанное, Приказ ФСТЭК №21 и его требования – «нам в помощь»…
Я уже писал, но повторюсь. А как насчет обратной силы нормативно-правовых актов? Не могут нормативные требования распространяться на прошлое, если только это специально не оговорено.
ОтветитьУдалитьМихаил, а почему Вы считаете что обработка сегодня - обратная сила? К тому как защищали в прошлом году претензий вроде никто не предъявляет. У меня мнение аналогичное изложенному.
ОтветитьУдалитьСергей Солодовников
Мы можем конечно рассмотреть следующий вариант:
ОтветитьУдалить1. Вы разработали и внедрили СЗПДн до вступления в силу 261-ФЗ "О внесении изменений в ФЗ о "ПДн" от 25.07.2011, где заменили классы ИСПДн на уровни защищенности... и вы хотите сказать, что с тех пор изменения в СЗПДн не вносились?
2. Либо другой вариант - вы разработали и внедрили СЗПДн после 25.07.2011, но ведь тогда вы должны были бы в документах прописывать требования в уровням защищенности, которых не было...
Можно долго этот вопрос рассматривать с разных сторон, но свою правоту, в случае чего, Вы сможете попробовать доказать только в суде :)
Согласен, об уровнях защищенности пошла речь с 261-ФЗ, но технические требования на тот момент разработаны не были. Согласно судебной практики субъекты должны ориентироваться на нормативную базу, действующую к моменту начала деятельности (в данном случае - начале создания СЗИ), до декабря 2012 вся нормативка по техтребованиям, которые и составляли бы предмет судебных разбирательств, ограничивалась 55 и 58 приказами ФСТЭК. Поэтому, если дело до суда и дошло бы по претензиям о выстраивании защиты по старым приказам, то свою позицию в данном случае рассматриваю как достаточно сильную.
ОтветитьУдалитьКроме того, вы забываете, что все неоднозначности в законодательстве всегда трактуются в пользу субъектов, это тоже один из принципов юриспруденции, потому апелировать к 261-ФЗ в отсутствии техтребований к вводимому им понятию уровней весьма проблематично
ОтветитьУдалитькредитная компания, которая предоставляет мне кредит в размере 5 000 000,00 долларов США. Когда другие кредитные инвесторы пренебрегают моим предложением, но г-н Бенджамин Ли предоставляет мне успешный кредит. Они непосредственно участвуют в финансировании кредита и проекте с точки зрения инвестиций. они предоставляют финансовые решения для компаний и частных лиц, которые ищут доступ к фондам на рынках капитала, они могут помочь вам финансировать ваш проект или расширить ваш бизнес. Контактная информация по электронной почте :::: Также lfdsloans@outlook.com или напишите на WhatsApp Number на +1- (989 -394-3740)
ОтветитьУдалить