CC BY
19
НАГОРНЫЙ1 Сергей Иванович
МЕТАФИЗИКА
ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ
Продолжение (начало в №№ 1 — 3 за 2013 г.)
В рамках исполнения изложенного в [1] проведем исследование сложившейся правоприменительной практики.
Статья 27 Закона «О государственной тайне» установила, что «допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности». В соответствии с Постановлением Правительства РФ от 15.04.95 № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную
тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, осуществляет лицензирование следующих видов деятельности:
♦ «осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия техническим разведкам);
♦ осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации), включающих:
а) сертификацию и сертификационные испытания...;
б) контроль защищенности информации, составляющей государственную тайну, аттестация средств и си-
стем на соответствие требованиям по защите информации.;
в) проведение специсследований на ПЭМИН технических средств обработки информации;
г)проектирование объектов в защищенном исполнении.;
♦ проведение работ, связанных с созданием средств защиты информации, включающих разработку, производство, реализацию, установку, монтаж, наладку, испытания, ремонт или сервисное обслуживание». Таким образом, любые виды деятельности (как с извлечением прибыли, так и без) по защите сведений, содержащих государственную тайну, подлежат лицензированию, и правила, на основании которых осуществляется деятельность, установлены «федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим
1 — ФБУ НИИ и ПТ ФСИН России, г. Тверь, начальник лаборатории ТЗИ.
разведкам и техническом защиты информации». То есть для гостайны ранее сформулированная гипотеза верна. Для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе в целях обеспечения защиты прав на неприкосновенность частной жизни, личной и семейной тайны, был принят Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». В целях обеспечения безопасности персональных данных при их обработке:
♦ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
♦ Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
Л уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. В рамках полномочий Приказом ФСТЭК РФ от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» установлено, что для выбора и реализации методов и способов защиты информации в информацион-
ной системе оператором или уполномоченным лицом может:
♦ «назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных»;
♦ «привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации».
При этом кто бы не осуществил функции по технической защите информационных систем персональных данных, функции контроля «объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных» на соответствие «уровням защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» установленных Правительством России, осуществляются «уполномоченным органом по защите прав субъектов персональных данных» (не путать с «федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации»).
Вывод: мероприятия по защите «персональных данных» могут осуществляться оператором без получения лицензии, а сторонней организацией — только при наличии лицензии. Формула вышеизложенного подхода сформулирована в ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» и РД «Безопасность информационных технологий. Введение и общая модель. Часть 1» в следующем виде: «Многие потребители ИТ из-за недостатка знаний, компетентности или ресурсов, не будучи уверены в безопасности применяемых продуктов и систем ИТ, возможно, не захотят полагаться исключительно на заверения разработчиков.
Чтобы повысить свою уверенность в мерах безопасности продукта или системы ИТ, потребители могут заказать проведение анализа безопасности этого продукта или системы (то есть оценку безопасности)». Если исходить из того что:
♦ «оценка (evaluation): оценка ПЗ, ЗБ или ОО по определенным критериям;
♦ орган оценки (evaluation authority): организация, которая посредством системы оценки обеспечивает реализацию ИСО/МЭК 15408 для определенного сообщества и в связи с этим устанавливает стандарты и контролирует качество оценок, проводимых организациями в пределах данного сообщества», то при отсутствии требования об обязательности следования критериям, установленным «федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации», возникает возможность осуществления деятельности может проводиться в рамках «требований» установленных неким «органом оценки (evaluation authority)».
В качестве доказательства приведем выдержки из нормативных актов: Постановление Правительства РФ от 16.04.2012 N 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств...» — «Настоящее Положение определяет порядок лицензирования деятельности . .за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя»;
Постановление Правительства РФ от 16.04.2012 N 314 «Об утверждении Положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации.» — «Настоящее Положение определяет по-
рядок лицензирования ... за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя.». Следовательно, обеспечение «конфиденциальности информации» как процесса «деятельности по технической защите конфиденциальной информации» может быть сформулировано в виде функции веры в собственные силы и умение сотрудников подразделений, реализующих 1Т-технологии. Что такое искушение, и как понимать это выражение? Буквально это выражение обозначает «опытное переживание» чего-нибудь. Библейские тексты глагол «искушать» обычно интерпретируют как провокацию, заманивание в ловушку, а глагол «соблазн» часто употребляют в значении «сбить с пути истинного», а соблазниться — в значении «изменить, отречься от своих убеждений и (или) единомышленников, поддавшись соблазну либо не устояв перед угрозой». «И приступил к Нему искуситель и сказал: если ты Сын Божий, скажи, чтобы камни сии сделались хлебами. Он же сказал ему в ответ: не хлебом одним будет жить человек, но всяким словом, исходящим из уст Божиих... Потом берет Его дьявол в святой город (Иерусалим), ставит на крыло храма, и говорит: если Ты Сын Божий, бросься вниз и ангелы на руках понесут Тебя. Иисус сказал: не искушай Господа Бога твоего». Тогда дьявол берет Его «на высокую гору и показывает Ему все царства мира и говорит: все это дам Тебе, если, пав, поклонишься мне». Ответ Иисуса: «отойди от Меня, сатана, ибо написано: Господу Богу своему поклоняйся и Ему одному служи. Тогда оставляет Его дьявол» (Мф. 4:1-11). «Все — в человеке, все для человека! Существует только человек, все же остальное — дело его рук и его мозга! Чело-век! Это — великолепно! Это звучит... гордо! Че-ло-век! Надо уважать человека! Не жалеть... не унижать его жалостью... уважать надо!» [2] Право каждого на уважение в соответствии со сложившимися в международном праве представлениями о типологии прав человека относится к гражданским (личным) правам, которые обеспечивают свободу личности, прежде всего от незаконного вмешательства государства в ее частную жизнь, частные интере-
сы. Они направлены на защиту и развитие человеческой индивидуальности [3] и опираются на концепцию негативной свободы, предполагающую отсутствие принуждения, возможность действовать по собственному выбору, не подвергаясь вмешательству, в том числе со стороны государства [4]. «Каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции. Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц» [5]. Российская Федерация как демократическое федеративное правовое государство с республиканской формой правления в Статье 2 основного закона (Конституция России) установила, что «Человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина — обязанность государства». В рамках установленной нормы российское законодательство зафиксировало, что право на неприкосновенность частной жизни принадлежит каждому от рождения независимо от наличия или отсутствия у него гражданства, позволяя сохранять в тайне сведения, касающиеся его личной или семейной жизни. При этом человек вправе самостоятельно определять, какие сведения о его личной жизни можно предать огласке, а какие из них останутся тайной. Так, например, Проект Федерального закона N 47538-6 «О внесении изменений в части первую, вторую, третью и четвертую Гражданского кодекса Российской Федерации, а также в отдельные законодательные акты Российской Федерации» (редакция, принятая Госдумой в 1 чтении 27.04.2012) предполагает установить Статьей 152.2 «Охрана частной жизни гражданина» следующую норму, не допускающую (если иное прямо не предусмотрено законом) «без согласия гражданина сбор, хранение, распространение и использование лю-
бой информации о его частной жизни, включая сведения о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни, о фактах биографии такого лица, об участии этого лица в судопроизводстве». В случае принятия вышеуказанной нормы информация о частной жизни физического лица, полученная с нарушением закона и содержащаяся в документах, видеозаписях или на иных материальных носителях, по решению суда будет уничтожаться с носителей «без какой бы то ни было компенсации». Право требовать защиты частной жизни гражданина в рамках гражданского судопроизводства в случае его смерти, будут иметь дети, родители и переживший супруг такого гражданина. Философски одаренный человек изумляется всему обыденному и привычному и в силу этого делает своею проблемой общую основу явлений; напротив, исследователи в области специальных дисциплин удивляются лишь редким и необыкновенным явлениям, лишь их делают своею проблемой, и решение этой проблемы с помощью известной комбинации получается благодаря тому, что они сводят такие явления к более общим явлениям или же более известным фактам [6]. Смотрите, что получается — ст. 8 Европейской конвенции о защите прав человека и основных свобод установила норму о недопущении вмешательства в личную и семейную жизнь со стороны государственных органов. Конституции РФ статьей 23 расширила «европейское правовое благо» до охраны неприкосновенности частной жизни от незаконных посягательств должностных лиц государственных органов до любых лиц. Все хорошо, но возникает вопрос — как мы жили в период с 12.12.1993 (дата принятия всенародным голосованием Конституции Российской Федерации) по настоящее время без «охраны частной жизни гражданина»? Неплохо, если только 28.07.2012 дополнив Уголовный кодекс статьей «Клевета» произвели «финансовую оценку процесса» «распространения заведомо ложных сведений». Ну а как дела у «загнивающего капитализма»? В 60 — 70-х гг. с приходом информационных технологий стал возрастать интерес к приватности. Возможность использования мощных компьютеров для слежки и контроля означала
необходимость принятия особых правил, регулирующих сбор и обработку персональных данных. Процесс обновления законодательства в данной области можно проследить со времени появления первого Закона о защите данных, изданного в Германии в земле Гессен в 1970 г. После этого были приняты Законы в Швеции (1973), Соединенных Штатах (1974), Германии (1977) и Франции (1978)».
В настоящее время к основным международным законодательным актам в области защиты персональных данных обычно относят:
♦ Директиву Организации по экономическому сотрудничеству и развитию о защите неприкосновенности частной жизни и международных обменов персональными данными;
♦ Международную конвенцию «Об охране личности в отношении автоматизированной обработки персональных данных» 1981 г.;
♦ Европейскую конвенцию о защите физических лиц при автоматизированной обработке персональных данных;
♦ Конвенцию Совета Европы № 108 о защите личности в связи с автоматической обработкой персональных данных;
♦ Директиву 97/66/ЕС от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе.
Идя в фарватере [7] «Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», был принят Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных». Согласно Статье 2 Федерального закона «О персональных данных» — закон направлен на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». Конечно, можно долго дискутировать что явилось «первотолчком» для принятия Федерального закона «О персональных данных» — Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., одобренная Комитетом министров Совета Европы 15 июня 1999 г.
Таблица 1
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация
Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 25.07.2011) «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Статья 2. Цель настоящего Федерального закона. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. (Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) «О персональных данных»)
Таблица 2
Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» Российская Федерация заявляет, что в соответствии с подпунктом «с» пункта 2 статьи 3 Конвенции будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 г.
Федеральный закон от 27.12.2009 № З6З-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных» Информационные системы персональных данных, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 г.
Федеральный закон от 23.12.2010 № 359-ФЗ «О внесении изменения в статью 25 Федерального закона «О персональных данных» Информационные системы персональных данных, созданные до 1 января 2011 г., должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 г.
Федеральный закон от 25.07.2011 № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
или Конституция Российской Федерации принятая всенародным голосованием 12 декабря1993 г., но исходя из дат принятия закона «О персональных данных» (2006 г.) и ратификации Конвенции в 2005 году, «пальму первенства» по мнению авторов необходимо присудить федеральному закону от 19.12.2005 № 160-ФЗ.
В чем тут подвох? Ответ прост. Конституция России не оперирует понятием «персональные данные», т.е. информацией, которой, по мнению законодате-
лей, необходимо обеспечить защиту в рамках закона «О персональных данных». Конституция оперирует понятиями «частная жизнь, личная и семейная тайна, честь и доброе имя». В настоящее время в Российской Федерации нет нормативного правового акта, который бы давал точное определение частной жизни и регулировал порядок обращения со сведениями, составляющими личную и семейную тайну (табл. 1). Кроме этого, несмотря на принятие Федерального закона № 152-ФЗ в 2006 г.,
сроки вступления его в законную силу постоянно отодвигаются (табл. 2). В чем причина? По мнению специалиста Управления по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, перенос вступления в силу данного Закона обусловлен целым рядом факторов. Одним из основных факторов явилось то, что процедура по приведению информационных систем в соответствие с ФЗ № 152 подразумевала под собой большие финансовые затраты. Причиной таких затрат были жесткие требования к техническому обеспечению защиты прав субъектов персональных данных, что приводило к повсеместному невыполнению Закона [8]. Тезис весьма спорный. Попытаюсь это доказать.
В общем виде Федеральный закон «О персональных данных» установил, что обработка персональных данных производится в «информационных системах персональных данных». В соответствии с Федеральным законом «Об информации, информационных технологиях и защите информации» под «информационной системой» понимается «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств». Словосочетание «база данных» — буквальный перевод с английского «DATA BASE», обозначает «совокупность взаимосвязанных данных, организованных в соответствии со схемой базы данных таким образом, чтобы с ними мог работать пользователь». Гражданский кодекс РФ, в свою очередь, статьей 1260 определил «базу данных» как представленную «в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ». Таким образом, требования, предлагаемые к реализации в рамках Федерального закона «О персональных данных», должны относиться к системе, представляющей собой совокупность средств вычислительной техники, и баз данных, объединенных информационной технологией. Приведенная формула содержит ряд ограничений, которые
можно сформулировать в форме следующих вопросов.
Может ли существовать «информационная система» без «средств вычислительной техники», если Федеральный закон «О персональных данных» установил, что «автоматизированная обработка персональных данных» это «обработка персональных данных с помощью средств вычислительной техники»? Конечно, ответ был бы очевидным, если бы не существовало такое понятие как «обработка, персональных данных, осуществляемая без использования средств автоматизации». Так, согласно Постановлению Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», процесс обработки «персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека».
Может ли существовать «информационная система» без «базы данных»?
Наверное, нет, если Федеральный закон «О персональных данных» использует «общепринятый» терминологический аппарат? См. Постановления Правительства РФ:
♦ от 24.12.2008 N 1020 (ред. от 03.03.2012) «О государственной регистрации договоров о распоряжении исключительным правом на изобретение, полезную модель, промышленный образец, зарегистрированные топологию интегральной микросхемы, программу для ЭВМ, базу данных и перехода без договора исключительного права на изобретение, полезную модель, промышленный образец, товарный знак, знак обслуживания, наименование места происхождения товара, зарегистрированные топологию интегральной микросхемы, программу для ЭВМ, базу данных»;
♦ от 28.04.2006 N 252 (ред. от 24.09.2010) «О лицензировании деятельности по изготовлению экземпляров аудиовизуальных произведений, программ для электронных вычислительных машин (программ для ЭВМ), баз данных и фонограмм на любых видах носителей (за исключением случаев, если указанная деятельность самостоятельно осуществляется лицами, обладающими правами на использование указанных объектов авторских и смежных прав в силу Федерального закона или договора)»
Продолжение в номере 6 за 2013 г.
Литература
1. Нагорный С.И. Метафизика информационных технологий./ Спецтехника и
связь, 2013. — №№ 1 — 3.
2. М. Горький. На дне. Рассказы.. Очерки. Воспоминания. Пьесы. /Библиотека Всемирной литературы.. — М.: Художественная литература, 1975.
3. Луковская Д.И. Классификация, прав и свобод человека и гражданина./ История, государства и права, 2007. — № 15.
4. Берлин И. Две концепции свободы./ Современный либерализм.: Ролз, Берлин, Дворкин, Кимлика, Сэндел, Тейлор, Уолдрон. — М., 1998. — С. 19 — 20.
5. «Конвенция о защите прав человека и основных свобод». — Ст.. 8. (Заключена в г. Риме 04.11.1950).
6. А. Шопенгауэр «Введение в философию» — Минск: Белорусский Дом. печати, 2000.
7. Федеральный закон от. 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
8. Борисенко О.В. О применении Федерального закона от. 27 июля 2006 г. N152-ФЗ «О персональных данных»./ Юрист, 2011. — № 21. — С. 45 — 46.
