Как полезно иногда читать "старые" законы - 2 или почему можно не использовать сертифицированные средства защиты?
Продолжаю тему, начатую в четверг... Пообщался я с коллегами, которые сейчас анализируют поправки в законодательство по информационной безопасности, и ткнули они меня в интересный пункт не только ФЗ-149, но и ГК РФ. Дальше я добавил к этим двум пунктам еще свои изыскания и получилось вот что:
Ст.3 ФЗ-149 говорит нам, что недопустимо установливать нормативными правовыми актами какие-либо преимущества применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.Ст.6.3 ФЗ-149 говорит, что только обладатель информации, если иное не предусмотрено федеральными законами, определяет порядок и условия доступа к информации.Ст.16.5 ФЗ-149 говорит, что ФСБ и ФСТЭК устанавливают требования по защите информации для государственных информационных систем. Про обязательность требований ФСБ и ФСТЭК для негосударевых ИС в законе ни слова.Ст.49.2 ГК РФ говорит о том, что "юридическое лицо может быть ограничено в правах лишь в случаях и в порядке, предусмотренных законом". И, наконец, смотрим на ст.16.6 ФЗ-149, которая гласит что "федеральными законамимогут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации".
К какому выводу мы приходим? Правильно. Применение средств защиты (сертифицированных или несертифицированных) находится полностью в ведении обладателя информации, т.е. "лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам".
Но у нас же есть Приказ 199 ФСТЭК, документы ФСБ и даже неуловимое Постановление Правительства 330 ?.. Безусловно есть. Только вот вышеприведенные ФЗ-149 и ГК РФ четко говорят, что любое ограничение (а использование сертифицированных СЗИ - это именно ограничение) должно быть указано вфедеральном законеи никак иначе. А даже Постановление Правительства имеет меньшую юридическую силу, чем закон.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.