В рамках рубрики Клуб экспертов мы продолжаем публикацию книги А.В.Лукацкого Мифы и заблуждения информационной безопасности
Алексей Лукацкий — менеджер по развитию
бизнеса Cisco Systems
После вступления в силу Федерального закона «О персональных данных» все чаще приходится слышать на многих конференциях и семинарах вопрос от рядовых пользователей: «А вот ко мне придут и проверят, как я выполняю требования по защите персональных данных. И я не могу им отказать!» Этот вопрос с завидной регулярностью всплывает после выхода очередного нормативного акта, так или иначе связанного с информационной безопасностью.
Однако законодательство – это не только бич для многих юридических и физических лиц, но и большое подспорье в борьбе с использованием своего служебного положения в незаконных целях. Разумеется, при условии, что вы знаете законодательство.
Любая проверка со стороны регулятора (и область информационной безопасности тут не исключение) должна проводиться в строгом соответствии с ФЗ от 14.07.2001 №134 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)». Какие интересные моменты можно почерпнуть, читая данный закон?
Их несколько. Во-первых, презумпция добросовестности. Т.е. вас нельзя обвинить огульно, не имея на то никаких доказательств, собранных по всей форме.
Как вы понимаете, якобы имеющиеся слухи о том, что вы не соблюдаете правила защиты конфиденциальной информации, к числу таких доказательств не относятся.
Во-вторых, закон в качестве основного принципа защиты прав юридических лиц и индивидуальных предпринимателей устанавливает «открытость и доступность для юридических лиц и индивидуальных предпринимателей нормативных правовых актов, устанавливающих обязательные требования, выполнение которых проверяется при проведении государственного контроля (надзора)». Это значит, что если вас проверяют на выполнение нормативных документов ФСТЭК по защите персональных данных или иных видов конфиденциальной информации, эти самые документы должны быть вам доступны без ограничений.
Регулятор Оборотов с Поддержанием Мощности (подключение, настройка, тест)
Это правило, к сожалению, часто не выполняется, т.к. и требования ФСТЭК по защите персональных данных, и требования по защите конфиденциальной информации (СТР-К) носят гриф «ДСП» и если вы и можете их получить, то заплатив за это небольшую денежную сумму.
В-третьих, вас не могут придти проверять просто так. Нужно определенное основании, которое выражается в виде распоряжения (приказа), в котором среди прочего (п.1 ст.7 134-ФЗ) упомянуты:
• цели, задачи и предмет проверки
• правовые основания проведения проверки.
В-четвертых, вопреки расхожему мнению о том, что вас могут проверять сколько угодно раз, пункт 4-ый 7-ой статьи говорит, что «плановое мероприятие по контролю может быть проведено не более чем один раз в два года» (для малого предпринимателя этот срок увеличивается до 3-х лет). Внеплановая проверка осуществляется для контроля исполнения выданных ранее предписаний или при «обращении граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов».
При этом важно помнить, что «обращения, не позволяющие установить лицо, обратившееся в орган государственного контроля (надзора), не могут служить основанием для проведения внепланового мероприятия по контролю».
Учитывая полную неразбериху в отечественной нормативной базе по информационной безопасности, очень важной представляется п.3 ст.15, который гласит «нормативные правовые акты, принятые органами государственного контроля (надзора) в нарушение законодательства Российской Федерации, признаются недействительными полностью или частично в порядке, установленном законодательством Российской Федерации». Иными словами, если вас пытаются проверять по внутреннему документу или несоответствующему законодательству нормативному акту, вы смело можете опротестовывать действия надзорного органа (вопрос только в том, готовы ли вы к этому).
Что же мы видим? Область надзора достаточно жестко регулируется федеральным законодательством и надо просто потратить некоторое время на его изучение, чтобы защитить себя от любых наездов или неправомерных проверок со стороны регуляторов, которые сами не всегда до конца знакомы с многообразием нормативных актов, выпущенных в России.
