Обновляя курс по законодательству ИБ, который я читал в декабре прошлого года, я существенно обновил некоторые разделы и один из них касается вопросов национальной стандартизации, а точнее одного вопроса - может ли ГОСТ быть обязательным? Учитывая, что Банк России активно помещает свои требования по ИБ в ГОСТы и планы по развитию ГОСТов достаточно агрессивные, то стоит понимать, каков статус у этого документа и насколько он является обязательным для финансовых организаций. Картина получается следующей.
В 2015-м году был принят закон "О стандартизации в Российской Федерации", 6-я статья которого так и называется "Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией". Согласно этой статье порядок стандартизации вопросов ИБ устанавливается только Правительством РФ.
Правительство в стороне не осталось и спустя полтора года с момента принятия ФЗ-162 выпустило свое Постановление под номером 1567 (оно отменило ранее действующее ПП-822 на ту же тему), которое утвердило два положения:
Согласно нему стандартизацией ИБ у нас занимаются ФСТЭК, ФСБ, МинОбороны и СВР, а утверждает разработанные ими стандарты Росстандарт. ЦБ в списке нет.
Предметом стандартизации этих ГОСТов (в том числе и ограниченного распространения) является продукция и связанные с ней процессы. Предметом регулирования ГОСТ 57580.1 является не продукция и не процессы, а уровни и требования.
Отсюда возникает закономерный вопрос - на каком основании ГОСТ Р 57580.1 считается обязательным? В самом стандарте написано, что область его применения устанавливается в нормативных актах Банка России путем включения в них ссылки на ГОСТ, что разрешено 27-й статьей закона "О стандартизации в Российской Федерации". Ни слова про то, что ГОСТ в этом случае является обязательным. Так является ли он таковым?
Стоит обратиться к другим нормативным правовым актам. В частности к Положению Банка России от 22.09.2017 №602-П "О правилах подготовки нормативных актов Банка России", в котором перечисляются нормативные и ненормативные акты Банка России:
Национальных стандартов в их числе нет. При этом любые обязательные нормативные и нормативные правовые акты, включая и документы ЦБ, которые устанавливают обязательные требования к своим "подопечным" должны быть официально зарегистрированы в МинЮсте. Это вытекает из 1009-го Постановления Правительства.
Разумеется, не все нормативные акты ЦБ подлежат регистрации. Но согласно 602-П список нерегистрируемых документов четко определен и ГОСТы к их числу не относятся.
Согласно же разъяснениям МинЮста, утвержденным приказом от 04.05.2007 №88, национальные стандарты можно не регистрировать, но только если они не содержат нормативных предписаний. Поэтому получается, что если рассматривать ГОСТ 57580.1 как содержащий такие предписания, то он должен быть зарегистрирован МинЮстом, а это условие выполнено не было и, как следствие, применению этот ГОСТ не подлежит. Если же рассматривать ГОСТ просто как сборник рекомендаций, то тогда все нормально - это руководство к действию, но не более. Обязать его исполнять и тем более наказывать за его неисполнение нельзя.
Ну и еще. Вспоминая законы "О Центральном банке" и "О Национальной платежной системе", Банк России имеет право устанавливать обязательные требования по защите информации, но только по согласованию с ФСБ и ФСТЭК. Согласно уже упомянутому Положению Банка России 602-П, нормативный правовой акт считается совместно изданным, если он подписан/утвержден руководителями соответствующих ФОИВ, то есть в нашем случае с ФСТЭК и ФСБ. Те же 382-П, 683-П, 684-П были согласованы с указанными регуляторами по ИБ. И соответствующий гриф согласования должен быть на совместно принятом нормативном правовом акте. А вот ГОСТ 57580.1 это требования снова нарушает - никаких согласующих грифов на нем нет.
Не буду делать финальных выводов по обязательности принятого Банком России ГОСТа для финансовых организаций. Это пусть банковские юристы об этом думают. Но на мой взгляд, обязательными ГОСТы бывают только в случае их разработки Министерством Обороны, Федеральной службой безопасности, Службой внешней разведки и Федеральной службой по техническому и экспортному контролю. В остальных случаях увы...
В 2015-м году был принят закон "О стандартизации в Российской Федерации", 6-я статья которого так и называется "Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией". Согласно этой статье порядок стандартизации вопросов ИБ устанавливается только Правительством РФ.
Правительство в стороне не осталось и спустя полтора года с момента принятия ФЗ-162 выпустило свое Постановление под номером 1567 (оно отменило ранее действующее ПП-822 на ту же тему), которое утвердило два положения:
- о стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, а также процессов и иных объектов стандартизации, связанных с такой продукцией
- о стандартизации в отношении продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией.
Согласно нему стандартизацией ИБ у нас занимаются ФСТЭК, ФСБ, МинОбороны и СВР, а утверждает разработанные ими стандарты Росстандарт. ЦБ в списке нет.
Предметом стандартизации этих ГОСТов (в том числе и ограниченного распространения) является продукция и связанные с ней процессы. Предметом регулирования ГОСТ 57580.1 является не продукция и не процессы, а уровни и требования.
Отсюда возникает закономерный вопрос - на каком основании ГОСТ Р 57580.1 считается обязательным? В самом стандарте написано, что область его применения устанавливается в нормативных актах Банка России путем включения в них ссылки на ГОСТ, что разрешено 27-й статьей закона "О стандартизации в Российской Федерации". Ни слова про то, что ГОСТ в этом случае является обязательным. Так является ли он таковым?
Стоит обратиться к другим нормативным правовым актам. В частности к Положению Банка России от 22.09.2017 №602-П "О правилах подготовки нормативных актов Банка России", в котором перечисляются нормативные и ненормативные акты Банка России:
Национальных стандартов в их числе нет. При этом любые обязательные нормативные и нормативные правовые акты, включая и документы ЦБ, которые устанавливают обязательные требования к своим "подопечным" должны быть официально зарегистрированы в МинЮсте. Это вытекает из 1009-го Постановления Правительства.
Разумеется, не все нормативные акты ЦБ подлежат регистрации. Но согласно 602-П список нерегистрируемых документов четко определен и ГОСТы к их числу не относятся.
Согласно же разъяснениям МинЮста, утвержденным приказом от 04.05.2007 №88, национальные стандарты можно не регистрировать, но только если они не содержат нормативных предписаний. Поэтому получается, что если рассматривать ГОСТ 57580.1 как содержащий такие предписания, то он должен быть зарегистрирован МинЮстом, а это условие выполнено не было и, как следствие, применению этот ГОСТ не подлежит. Если же рассматривать ГОСТ просто как сборник рекомендаций, то тогда все нормально - это руководство к действию, но не более. Обязать его исполнять и тем более наказывать за его неисполнение нельзя.
Ну и еще. Вспоминая законы "О Центральном банке" и "О Национальной платежной системе", Банк России имеет право устанавливать обязательные требования по защите информации, но только по согласованию с ФСБ и ФСТЭК. Согласно уже упомянутому Положению Банка России 602-П, нормативный правовой акт считается совместно изданным, если он подписан/утвержден руководителями соответствующих ФОИВ, то есть в нашем случае с ФСТЭК и ФСБ. Те же 382-П, 683-П, 684-П были согласованы с указанными регуляторами по ИБ. И соответствующий гриф согласования должен быть на совместно принятом нормативном правовом акте. А вот ГОСТ 57580.1 это требования снова нарушает - никаких согласующих грифов на нем нет.
Не буду делать финальных выводов по обязательности принятого Банком России ГОСТа для финансовых организаций. Это пусть банковские юристы об этом думают. Но на мой взгляд, обязательными ГОСТы бывают только в случае их разработки Министерством Обороны, Федеральной службой безопасности, Службой внешней разведки и Федеральной службой по техническому и экспортному контролю. В остальных случаях увы...