#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Коллеги уже объявили (тут и тут) о возможном принятии законопроекта Резника сразу в 2-х чтениях 17 июня. Ригель назвал, рожденный в муках компромисса документ «революцией».

Документ действительно меняет многое и специалисту будет интересно его почитать самостоятельно и полностью. Обращу внимание лишь на самую важную (на мой взгляд) статью, который регуляторы ну оооочень не хотели пропускать:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

В ней очень много интересного, но что больше всего мне нравится, так это пункт 7:

7. Федеральные органы исполнительной власти, иные государственные органы, органы местного самоуправления, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе издавать стандарты обеспечения безопасности персональных данных. Стандарты обеспечения безопасности персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требований, устанавливаемых Правительством Российской Федерации в соответствии с частью 5 настоящей статьи. Стандарты обеспечения безопасности персональных данных в государственных и муниципальных информационных системах персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требованиями, указанными в пункте 1 части 4 настоящей статьи.

Части 1 и 2 – это общие требования по безопасности ПДн. Часть 5 подразумевает наличие правительственных документов отраслевого характера по ПДн (для банков, страховых компаний, промышленных предприятий, медицины и т.п.). И все! Регуляторов здесь нет! Другими словами, любые отраслевые объединения операторов могут создавать свои стандарты и защищать ПДн по ним. Все что требуется, так это учитывать требования самого закона и прямых правительственных указаний для отрасли.

Регуляторам, в плане установления требований, достается только «госка» (государственный и муниципальный сектора).

Это как раз то разделение частного и государственного секторов, о котором я говорил еще год назад.

В целом документ получился хорошим.

Автор статьи: Царев Евгений

10 комментариев

    Сегодня ночью дам детальный (насколько время позволит) анализ. Не расходитесь 🙂 Сейчас обсуждение здесь: http://anvolkov.blogspot.com/2011/06/blog-post_15.html

    >Регуляторам, в плане установления требований, достается только «госка» (государственный и муниципальный сектора).

    Регуляторы на букву «Ф» еще отхватили себе кредитно-финансовый сектор, правда через ЦБ и закон о национальной платежной системе — см. http://bankir.ru/dom/showthread.php?t=107661&p=2866424&viewfull=1#post2866424

    закон о НПС подтягивает регуляторов не столько по теме ПДн, сколько по традиции 😉

    По традиции или нет, но Комплекс БР ИББС и его согласование вписывается великолепно 😉

    К сожалению, да. С другой стороны банковское сообщество научилось с ними общаться лучше других.

    Vlad:

    Документ хороший?! Ты серьезно? По мне, так тупое глумление. Вопросов стало больше, обходов необходимости зашиты стало просто немеряно, теперь вообще защищать будут только госы и те, кому деньги некуда девать. Читай — госы…

    Секунду.
    Для начала нужно понять кто защищался? Госы, крупные компании, банки и т.п. и подавляющее число из них не приступали к внедрению. Сделали только отмазочные документы. Выгода от такой работы? Почти нулевая.
    Дальше. Те кто внедрял… Что они внедряли и как? Российские решения на ограниченную область, оставляя «поверх» нормальную защиту. Какой толк от этой работы? Почти никакого.
    Теперь вопрос: А зачем законодательно заставлять защищать информацию? Где в мировой практике есть такая работающая схема?
    Существующая модель убога. Она породила массу бестолковых телодвижений на рынке. Новый законопроект убирает некоторые из них. И это уже хорошо.

    Vlad:

    Защищались разные, на моем опыте от 5 до 1000 АРМ.
    Отмазочные документы не делали, делали все что хотят видеть регуляторы и реально применяли в работе.
    Что касается российских решений, то не понял о чем ты, если пождходить с умом, то защита строится качественно, не дорого и гармонично.
    Зачем законодательно требовать защиту? Что сказать, менталитет у нас что ли такой. Пока никто не пинает, хер кто чем будет заниматься. А закон в том виде в котором он был, на моем опыте стал толчком к старту развития культуры ИБ в малом и среднем бизнесе. Появились безопасники в штате, получили бюджеты, стали наводить порядок на рабочих АРМ и т.д. и т.п.. А сейчас эти потуги в сторону развития культуры ИБ снова послали куда подальше, красавцы! Ну и дополнительно вопрос, только без обид, а че, Лета оставляла «поверх» нормальную защиту и делала отмазочные документы?

    Vlad:

    Да, я поясню, идея отраслевых стандартов — это ничтяк, но очередная пачка вопросов и перенос сроков на 2 и 3 года в зависимости от кол-ва серого вещества у оператора, позволяют считать, что это еще не конец и чтобы не выглядеть дибилом лучше еще пару лет потупить, авось отменят к чертям.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.