Слух №3 За что купил, за то и продаю!

Долго думал писать или нет ту информацию, которую сегодня услышал. Назвать ее спорной – это никак не назвать. Решил написать под заголовком: «За что купил, за то и продаю», снимая все возражения в свой адрес.

Итак, не секрет что недавно проходил координационный совет с участием ФСТЭК и интеграторов, ну это не секрет, все знают. Также известно, что на нем обсуждался факт внесения минимальных изменений в Четворокнижие 2.0.

И вот сегодня, от одного из сотрудников крупного отечественного интегратора, услышал о результатах данного совета. Честно признаться, был слегка шокирован, хотя и говорил неоднократно, что в области ПДн уже ничему не удивляюсь.

Постараюсь донести суть услышанного:

«Итак, на совете поднимался вопрос о том, что большинство государственных операторов обрабатывают персональные данные 1 категории, и что защитить их все по требованиям ФСТЭК нереально. Поэтому принято волевое решение не менять Четверокнижие, при этом спрашивать с государственных операторов как по К3! И оставить К1 только у администраций и операторов обрабатывающих сведения о состоянии здоровья!»

Жуть-то какая… Звучит как полная ерунда!

Простите коллеги, но если эта информация подтвердиться, то мы с вами лишний раз убедимся, что у регуляторов есть свои, неизвестные нам с вами причины, сохранять документы в их первозданном виде. Более того, нарушаются основные принципы права (беспристрастность и равенство перед законом).

Будем надеяться, что тут есть ошибка, оговорка или недопонимание, а лучше все вместе.

Нужно ли вносить изменения в устав при обработке ПДн?

Этот вопрос неоднократно поднимался, неоднократно объяснялся, но разговоры не утихают. Итак…
ФЗ  208 "Об акционерных обществах" в ст.2. п.4 говорит "Общество имеет гражданские права и несет обязанности, необходимые для осуществления любых видов деятельности, не запрещенных федеральными законами", ниже идет добавление "Отдельными видами деятельности, перечень которых определяется федеральными законами, общество может заниматься только на основании специального разрешения (лицензии). Если условиями предоставления специального разрешения (лицензии) на занятие определенным видом деятельности предусмотрено требование о занятии такой деятельностью как исключительной, то общество в течение срока действия специального разрешения (лицензии) не вправе осуществлять иные виды деятельности, за исключением видов деятельности, предусмотренных специальным разрешением (лицензией) и им сопутствующих". Ни слова о внесении изменений в устав в случае инициации нового вида деятельности. В ст.11 мы также ничего не обнаруживаем.
Идем дальше…
ФЗ  14 "Об обществах с ограниченной ответственностью" в п.2 ст.2 "Общество может иметь гражданские права и нести гражданские обязанности, необходимые для осуществления любых видов деятельности, не запрещенных федеральными законами, если это не противоречит предмету и целям деятельности, определенно ограниченным уставом общества". А теперь заглядываем в устав, как правило, после перечня видов деятельности написано что-то вроде "и иные виды деятельности, не запрещенные законодательством РФ", если такие слова есть, то организация имеет права заниматься любым законным видом деятельности (коды статистики не имеют значения). Если таких слов нет, то список видов деятельности является исчерпывающим, и заниматься технической защитой конфиденциальной информации вы формально не можете. При внесении изменений в устав нужно внести только поправку на иные виды деятельности.

Вопрос иностранца

p class=»MsoNormal»>Складывается интересная практика. Существуют вполне понятные и оправданные положения, по которым, требования ФЗ №152 не распространяются на информацию, которая относится одновременно и к ПДн и гостайне.

Тут все закономерно, если бы не практика:

На сегодняшний день среди государственных предприятий, обрабатывающих гостайну, складывается (если не сказать сложилась) практика ухода от выполнения требований ФЗ 152 и РД ФСТЭК с ФСБ. Делают они это следующим образом, находят приказ от какого-нибудь 9-сот косматого года по которому, информацию, содержащую персональные данные, можно отнести к гостайне, и повышают гриф. Это очень удобно для заказчиков, у которых обрабатывается большой объем секретной информации, есть выделенные отделы по защите гостайны и схема работы уже давно отработана.

На этих выходных общался с иностранцем, который очень далек от всей этой тематики, но когда узнал, чем я заминаюсь, спросил: «А у вас есть закон о защите  кредитных карт?», на что я ему рассказал пример описанный выше (думал, он восхитится уровнем защищенность российских банков).

Зря я это сделал.

После этих слов, я вспомнил о тех временах, когда по-английски мог сказать только «My name is Zhenya, the sun is shining». Он просто не мог, понят как защита информации о кредитках, может реализовываться сложнее, чем информация о военной мощи и террористах (грубо говоря). Пытаясь объяснить ему, суть всего происходящего сам стал осознавать всю абсурдность своих объяснений, махнул рукой и сказал «It’s Russia».