среда, 15 июня 2011 г.

Скрестили пальцы?


Законопроект Резника вчера был принят во втором чтении. Третье чтение - в ближайшее время, прогноз - положительный. Ждем-с.

Эпс, пардон :) Вот я обрадовался-то :) Второе чтение только назначено - на 17 июня. Так что не был он принят... Только собирается... И, возможно, сразу и в третьем чтении. По указанной выше ссылке доступен текст законопроекта для второго и третьего чтения.

45 комментариев :

  1. Седня 15-е, назначен на 17-е...

    предложить принять законопроект во втором чтении и в целом (предлагаемая дата рассмотрения ГД 17.06.2011)

    ОтветитьУдалить
  2. Хотя, детальный анализ показывает, что радость будет несколько неполная:


    Ст. 19 ч. 2. Меры по обеспечению безопасности персональных данных включают в себя, в частности:
    2) применение методов (способов) защиты информации и прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

    Хотя на этом можно сыграть:

    Ст. 19 ч. 1. Указанные меры принимаются с учетом возможного вреда субъекту персональных данных, объема и характера обрабатываемых персональных данных, условий обработки персональных данных, актуальности угроз безопасности персональных данных, а также возможностей технической реализации этих мер.

    Письменное согласие осталось, или с ЭП. Презумпция виновности сохранилась. В остальном - почти шоколад.

    ОтветитьУдалить
  3. Видел, давненько уже :) Все молчали, боялись сглазить :) Да, еще определения обработчика я так и не увидел. И автоматизированная обработка с ИСПДн по прежнему никак не вяжется, хотя и стала более конкретной: есть ЭВМ - автоматизированная.

    ОтветитьУдалить
  4. Млин, чем больше читаю, тем больше шоколад становится молочным ломтиком Kinder Pingui... Нда-с. Те многочисленные варианты, что мне довелось повидать, были несколько иными. Вот она, цена компромисса, о чем говорила Елена Волчинская. Но все равно неплохо.

    ОтветитьУдалить
  5. а что неплохо-то? ужас вроде :(

    ОтветитьУдалить
  6. Смотря чего ожидали. По сравнению с тем, что было - неплохо. Но того либерализма, что было в ожиданиях масс - нет и в помине. Давайте дождемся пока примут. Тогда и будем давать развернутые комментарии. По крайней мере, из тех проблем, что я обозначал в презентации, по большому счету ни одна не решена :(

    ОтветитьУдалить
  7. >Да, еще определения обработчика я так и не увидел

    В определения так и не удалось засунуть, но части 2-4 ст.6 вводят "Лицо, осуществляющее обработку персональных данных по поручению оператора" ;)
    Длинно, но пусть будет ЛООПДППО

    ОтветитьУдалить
  8. to toparenko: я дочитал все до конца. Эйфория пропала. Честно сказать, я бы такой закон не принимал. Конвенции он по прежнему не соответствует.

    ОтветитьУдалить
  9. изменили-то вообще мелочи, нагрузка не снизилась нифига

    ОтветитьУдалить
  10. to pushkinist: разве что в части контроля надзорными органами. ФСТЭК и ФСБ теперь конторлирует исключительно ГОСов, а Роскомнадзора по-моему вообще нет, разве что он не будет назначен уполномоченным органом.

    ОтветитьУдалить
  11. Лично для меня изменились почти все: третьи лица, согласия, трансграничная, непосредственность ...
    Да вплоть до того, что раньше я был уполномочен кучей операторов на распространение, т.к. управление доступом относилось к нему, а теперь оно относится к предоставлению, и я оказался уполномочен на раскрытие неограниченному кругу ))

    ОтветитьУдалить
  12. Ты ЛООПДППО, и тебе теперь полегше :)

    ОтветитьУдалить
  13. >ФСТЭК и ФСБ теперь конторлирует исключительно ГОСов

    Не только - см. http://bankir.ru/dom/showthread.php?t=107661

    >а Роскомнадзора по-моему вообще нет

    РКН так и остался Уполномоченным

    Увы... Это цена компромиса...
    Хотя такой компромис не радует...

    ОтветитьУдалить
  14. Конечно этот вариант лучше, чем прежний, но вопросов по прежнему хватает.

    ОтветитьУдалить
  15. to toparenko:


    4. Правительство Российской Федерации устанавливает с учетом частей 1 и 2 настоящей статьи:
    1) требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;
    2) требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.
    5. Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных с учетом частей 1 и 2 настоящей статьи.
    6. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных в государственных и муниципальных информационных системах персональных данных, установленных Правительством Российской Федерации в соответствии с частью 4 настоящей статьи, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.


    То есть ФСТЭК и ФСБ контролирует ГОСов (4 часть). А 5 часть, получается, никто не контролирует.

    ОтветитьУдалить
  16. Анонимный15.6.11

    Уважаемые, чего мы обсуждаем? Слава богу, что на русском, а не на английском или тем более не на немецком :-)
    Не такое терпим.

    ОтветитьУдалить
  17. >То есть ФСТЭК и ФСБ контролирует ГОСов (4 часть). А 5 часть, получается, никто не контролирует.

    Они постарались этот пробел (для платежных систем) устранить 1 и 2 частью ст.27 закона о национальной платежной системе:
    //2. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с защищаемой информацией.//

    ОтветитьУдалить
  18. >при осуществлении определенных видов деятельности, и не являющихся государственными...
    А кто интересно будет определять эти виды деятельности? Утвердят такой перечень, что мало не покажется!

    ОтветитьУдалить
  19. > 1 и 2 частью ст.27 закона о национальной платежной системе

    Тогда им надо отдельный закон принимать для каждой отрасли. Например "О металлургии" или "О торговле продуктами питания" :)

    > Утвердят такой перечень, что мало не покажется!

    Что да, то да.

    ОтветитьУдалить
  20. З.Ы. А что будет с поручением ДАМа в случае принятия закона?

    ОтветитьУдалить
  21. > Не такое терпим.

    Обсуждаем, потому что всем надоело быть "терпилами"...

    ОтветитьУдалить
  22. > А что будет с поручением ДАМа в случае принятия закона?

    А вы думаете он будет вникать? :) Поставит отметку "выполнено". Так же как и с лицензированием.

    ОтветитьУдалить
  23. >А вы думаете он будет вникать?
    К сожалению так. Изменить правила техосмотра!!!- бурные продолжительные аплодисменты. А ведь его стоимость вырастет в разы. Из нашего кармана. Снизить нагрузку на оператора!!! - еще более бурные и более продолжительные. Весь пар в свисток уходит.

    ОтветитьУдалить
  24. Федеральные органы исполнительной власти, иные государственные органы, органы местного самоуправления, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов ВПРАВЕ издавать стандарты обеспечения безопасности персональных данных.
    Оператор ОБЯЗАН принять решение о присоединении к стандарту обеспечения безопасности персональных данных, за исключением случаев...
    если необходимый стандарт отсутствует, оператор ВПРАВЕ издать стандарт.
    2_1. Операторы, которые осуществляют обработку персональных данных до 1 июля 2011 года, ОБЯЗАНЫ принять решение, ... и представить в уполномоченный орган ... не позднее 1 января 2013 года.
    2_2. Операторы, обеспечившие безопасность ... вправе не принимать решение о присоединении к стандарту ... уведомить уполномоченный орган не позднее 1 января 2012 года.»;

    ОтветитьУдалить
  25. 1. Уже существующие операторы, обеспечившие защиту, только уведомление до 1.01.12
    2. Остальные (в т.ч. новые) операторы обязаны присоединиться к стандарту или разработать свой.
    Теоретически 5-7 млн. операторов=5-7 млн. стандартов, согласованных с регуляторами.
    3. п.8 ст.19 - стандарты ДОЛЖНЫ БЫТЬ! до 1.01.13, иначе присоединяться не к чему. А уж для новых операторов однозначно.
    4. Откинем теорию из п.2, смогут ли за 1,5 года люди из п.7 ст.19 разработать а регуляторы согласовать отраслевые стандарты?
    ИМХО это главное в проекте - переход от идиотских приказов (особенно трехглавый)регуляторов на отраслевае стандарты.

    ОтветитьУдалить
  26. Да, это вообще жесть. До 1 января 2012 года оператор обязан присоединиться к какому-либо стандарту, который по старым скрижалям должен был быть согласован со ФСТЭК. после издания закона оператор, не выполнивший требования ПП781 и 687, ОБЯЗАН либо издать свой стандарт, уведомив об этом РКН и ФСТЭК, либо присоединиться к какому-либо из существующих (или изданных позднее) стандартов. Другого варианта нет.

    ОтветитьУдалить
  27. Анонимный15.6.11

    Да ну, фигня какая то получилась.

    ОтветитьУдалить
  28. Фигня у коня, а нам, по ходу, с этим жить...

    ОтветитьУдалить
  29. Сегодня ночью дам детальный анализ, насколько это позволит время. Не расходитесь! :)

    ОтветитьУдалить
  30. > До 1 января 2012 года оператор обязан присоединиться к какому-либо стандарту, который по старым скрижалям должен был быть согласован со ФСТЭК

    Как вариант разрабатываем стандарт НП ДАТУМ и желающие присоединяются к нему. Да и согласовывать его "по новым скрижалям" не требуется, а только уведомить. Если регуляторы будут не согласны, то оспорить его могут через суд.

    Заодно проект "Каскад" позволит решить вопрос п.2 ч.2 ст.19 на счет появления добровольной оценки соответствия СЗИ

    ОтветитьУдалить
  31. Надо "Каскаду" давать поддержку АРСИБ и А-Датум.

    ОтветитьУдалить
  32. > Как вариант разрабатываем стандарт НП ДАТУМ и желающие присоединяются к нему.

    Готов принять самое широчайшее участие в этом :)

    ОтветитьУдалить
  33. Надо идти дальше, сообщество пользователей стандарта создает контрольный орган=регулятор его выполнения=СРО.

    ОтветитьУдалить
  34. Для этого нужно разработать стандарт и придать ему вес в общественности. а для этого без поддержки общественных объединений не обойтись.

    ОтветитьУдалить
  35. ОПЕРАТОРЫ ВСЕХ ФОРМ! ОБЪЕДИНЯЙТЕСЬ!

    ОтветитьУдалить
  36. >Надо идти дальше, сообщество пользователей стандарта создает контрольный орган=регулятор его выполнения=СРО

    Надо тогда для начала собрать 25 юриков с единым ОКВЭД (или 100 физиков) - это обязательное условие для СРО

    ОтветитьУдалить
  37. А-Датум - лучшая площадка :)

    ОтветитьУдалить
  38. какая у вас политика в части придумывания стандарта? не будет ли его выполнение таким же затратным как сто бр или 58 приказ?

    ОтветитьУдалить
  39. >какая у вас политика в части придумывания стандарта?

    Без фанатизма, но не допустить профанацию ИБ

    >не будет ли его выполнение таким же затратным как сто бр или 58 приказ?

    Если нифига не делалось, то затраты будут существенными

    ОтветитьУдалить
  40. > какая у вас политика в части придумывания стандарта?

    А у Вас? Есть идеи - присоединяйтесь! :)

    ОтветитьУдалить
  41. идея одна - не придумывать себе же лишних дел, от которых нулевая польза кому-либо :)

    ОтветитьУдалить
  42. Это, братка, не идея - это прадигма :) А "лишние дела" оператору, хочешь - не хочешь, придется делать, так как "лишние" ПДн субъекта надо защищать.

    ОтветитьУдалить
  43. про "лишние" пдн субъекта:
    трудовой кодекс обязывает и так защищать данные работников, данные клиентов есть кт или профтайна - они и так защищаются, а обязанности и меры в договоре или соглашении. что выдумывать-то тут? :D

    ОтветитьУдалить