Формализованный метод разбора и анализа нормативных и методических документов, а также синтеза на их основе локальных актов

в 16:23, , рубрики: информационная безопасность, образование, Учебный процесс в IT

Так сложилось, что я участвовал в разработке направления персональных данных в самом начале появления документов ФСТЭК об их защите. В связи с этим пришлось перелопатить огромный объем различных нормативных документов. Чуть позже случилась работа по организации обработки персональных данных – мне пришлось создать достаточно объемный справочник для сотрудников оператора, не знакомых с требованиями законодательства. После кардинального внесения в закон изменений, этот справочник был переработан, при этом я для передачи опыта проведения такой работы создал формализованный метод анализа нормативных документов. О нем далее и пойдет речь…

Методика

Методика занимает всего один лист А4, но требует некоторых пояснений. Я исходил из принципа особенного уделения внимания психологическому состоянию разбирающего документ человека. К сожалению эта работа относится к когнитивной – требует состояния потока. При прочтении нормативного акта (далее – НА, под которым я буду иметь ввиду любой нормативный, правовой, методический документ) часто сложно удержать мысли на тексте, продираясь сквозь юридические и пунктуационные дебри текста. Поэтому лучше придерживаться правила, при котором любая операция поиска по тексту должна быть связана с одним «понятием» за одно прочтение текста (это из разряда: подчеркните в «Войне и мире» все буквы «О», зачеркните все буквы «А» и обведите в кружок все буквы «Е»).

Анализ документа (НА)

По первым трем пунктам методики. Эти шаги нужны для того, чтобы не делать «ненужной» работы. Допустим, если Вам необходимо составить трудовой договор, нет смысла читать уголовно-процессуальный кодекс. Имеется одно замечание – необходимо внимательно вчитываться в сферу действия федеральных законов. Очень часто оказывается, что одни и те же понятия в разных законах имеет различный смысл – в зависимости от рассматриваемой сферы (контекста).

Пример:

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»
Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

и
Федеральный закон от 3 декабря 2008 г. №242-ФЗ «О государственной геномной регистрации в Российской Федерации»
Статья 1. Основные понятия
3) геномная информация — персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности;

в этом примере «персональные данные» в понятии 242-ФЗ не являются «биометрическими персональными данными» в понятии 152-ФЗ.

По 5-7 пунктам, лучше увидеть:
Формализованный метод разбора и анализа нормативных и методических документов, а также синтеза на их основе локальных актов - 1
Приказ ФСТЭК №17 («правильное» расположение блоков отмечено зеленой каймой, а «неправильное» — красной).

Это общий вид размещения склейки:
Формализованный метод разбора и анализа нормативных и методических документов, а также синтеза на их основе локальных актов - 2
Закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» «до» и «после» 23 пункта методики (видно, что в шкафу лежат цветные карандаши, мелки и целая пачка разобранных документов: по персональным данным и образованию).

8 и 9 пункты – это механическая работа, которую просто надо внимательно выполнить и перепроверить.
Пункты с 8 по 15 – это «включение» максимально возможного количества когнитивных процессов запоминания информации: ее «свертки» и анализа.
На 10 пункте может подстерегать ловушка от наших законодателей, если мы пытаемся вникнуть в структуру НА: часто смысловые блоки оказываются в разных частях закона и тогда на 12 шаге может получиться «мозаика». В случае же выполнения 15 пункта с точки зрения субъекта – такая «мозаика» будет получаться всегда (разные вопросы, касающиеся, например, оператора персональных данных, будут разбросаны по всему тексту – в обязанностях, сроках, правах и т.д.).
16 пункт – позволяет очень подробно вникнуть и визуализировать во все тонкости НА. Его особенность – на этом шаге не используется цветовое разделение (визуально контрастно различимых цветов оказывается мало, по этой же причине не стоит раскрашивать рядом стоящие блоки неконтрастными цветами – лучше их чередовать: теплый-холодный).
Пункты с 17 по 21 необходимы для визуализации места НА в системе нормативных актов, а 20 пункт – еще и определиться с перечнем локальных актов, которые должны быть разработаны в организации.
Пункты с 22 по 26 имеет смысл выполнять только в случаях, когда разбираемый НА необходим для текущей работы.

Три примера выполнения описанных действий:

Формализованный метод разбора и анализа нормативных и методических документов, а также синтеза на их основе локальных актов - 3
Приказ ФСТЭК №21.
Формализованный метод разбора и анализа нормативных и методических документов, а также синтеза на их основе локальных актов - 4
Приказ ФСТЭК №31 (приложение с таблицами приклеено отдельно, в стороне)
Формализованный метод разбора и анализа нормативных и методических документов, а также синтеза на их основе локальных актов - 5
Составной документ (Постановление Правительства РФ №1119, Приказ ФСБ РФ №378 и Приказ ФСТЭК №17). Все классификации и определение требований выполняется последовательно слева-направо: определяется наличие НДВ, уровень защищенности, требования к режиму, группа класса криптосредства, точный класс криптосредства, класс ГИС и его уточнение уровнем защищенности ПДн.

Синтез документа (ЛА)

При разработке ЛА по сути описан стандартный метод разработки содержания и его наполнения. Отдельно имеет смысл отметить 3 и 5 пункты.
В 3 пункте, в случае отсутствия какого-либо текстового «наполнения» для создаваемого документа, имеет смысл обратиться к аналогам НА/ЛА в другой области права, воспользовавшись 6 статьей Гражданского кодекса РФ:

Статья 6. Применение гражданского законодательства по аналогии
1. В случаях, когда предусмотренные пунктами 1 и 2 статьи 2 настоящего Кодекса отношения прямо не урегулированы законодательством или соглашением сторон и отсутствует применимый к ним обычай, к таким отношениям, если это не противоречит их существу, применяется гражданское законодательство, регулирующее сходные отношения (аналогия закона).
2. При невозможности использования аналогии закона права и обязанности сторон определяются исходя из общих начал и смысла гражданского законодательства (аналогия права) и требований добросовестности, разумности и справедливости.

В 5 пункте упоминается «каноническая форма текста». Это не общепринятое наименование взято из замечательной, но трудно читаемой книги Курносова Ю.В. и Конотопова П.Ю. «Аналитика: методология, технология и организация информационно-аналитической работы» (более подробно о ней можно прочитать с 3-го снизу абзаца на 335 странице и далее, издание РУСАКИ, 2004 г.).

Примеры «синтеза»:
Правила обработки персональных данных для государственной организации (тут наглядно представлен 15 пункт разбора – пункты сгруппированы не по тексту закона, а по субъектам, видам отношений, срокам и т.д.);
Согласие на обработку персональных данных, в котором учтены все ссылки на него по тексту закона (может отличаться от последней редакции закона);
Запрос субъекта персональных данных оператору персональных данных (содержит «немного больше», чем имеет право запрашивать субъект, но т.к. операторы в большинстве своем закона не читали – это на них производит неизгладимое впечатление и, обычно, они соглашаются решить вопрос с субъектом миром, без ругани и скандалов).

Еще пример – отрисованы уже сами Правила (не в виде интеллект карты, а в виде алгоритма – в него вырождается mind-карта, если все логично выстроено):

Формализованный метод разбора и анализа нормативных и методических документов, а также синтеза на их основе локальных актов - 6
Полная последовательность всех шагов по организации обработки и обеспечения безопасности персональных данных в организации.
Формализованный метод разбора и анализа нормативных и методических документов, а также синтеза на их основе локальных актов - 7
Алгоритм 1 шага — подготовка к обработке персональных данных в организации.
Формализованный метод разбора и анализа нормативных и методических документов, а также синтеза на их основе локальных актов - 8
Алгоритм 4 шага — необходимые действия оператора по обработке персональных данных в организации в зависимости от способа обработки.
Формализованный метод разбора и анализа нормативных и методических документов, а также синтеза на их основе локальных актов - 9
Алгоритм 8 шага — необходимые действия оператора по обработке персональных данных в организации в зависимости от категории обрабатываемых персональных данных.

Заключение

В заключении напомню, что оспорить «буквальное чтение» написанного в нормативных актах очень сложно, поэтому призываю именно так и читать/писать документы.
И, естественно, эту методику с некоторыми модификациями можно использовать не только для разбора нормативных документов, но и для анализа любой литературы (в первую очередь учебной) и синтеза различных отчетов, аналитических записок, курсовых работ и диссертаций.
И последнее, для того, чтобы использовать описанную методику быстро, не задумываясь, просто взглянув на документ, необходимо достаточно много «тренироваться», как и в любом деле, в котором человек хочет стать профессионалом или добиться заметных результатов.

Мой личный e-mail

Мой личный e-mail для вопросов, замечаний и предложений xanton@list.ru

Автор: ZZubra

Источник

Поделиться

* - обязательные к заполнению поля