среда, 29 июня 2011 г.

Фигура вторая, печальная


После внезапного исчезновения, текст законопроекта Резника для второго чтения вновь опубликован на сайте Думы. Это - другой текст. Комментарии - в блоге Алексея Лукацкого. От себя добавлю что, по сравнению со старым вариантом, смысл отраслевых стандартов полностью нивелирован, ущерб субъекту - полностью исключен, а все ЛООПДППО по идее попадают на лицензию по ТЗКИ, поскольку деятельность по защите ПДн они должны будут вести не на основе стандартов (идет четкий отсыл на статью 19) и не в собственных интересах (нуждах), а в интересах другого лица - со всеми вытекающими. Сдерживайте себя, коллеги. Ведь фигура-то была мной показана верно с самого начала, текст был излишне оптимистичен :(

ЗЫ. Судя по тем сопроводительным документам, что сейчас выложены на сайте Думы в ЭРК законопроекта, третьего чтения сразу не будет - везде идет речь только о втором. Так что надежда еще не умерла, хотя и наподдали ей не по-детски.

40 комментариев :

  1. Не разделяю настроения "Лелик, все пропало": анархию убрали, оставили нормальные правила игры.
    Вы когда читаете закон, читайте его как закон, а не прибавку к текущим документам регуляторов.
    Государство устанавливает минимальные требования, выше которых можно, ниже нет - это плохо?
    Вот если отрешиться пока от документов регуляторов, к закону тут претензии есть?

    ОтветитьУдалить
  2. Прошлый вариант, меня пугал возможность оператора официально отказаться от защиты ПД. В новом варианте этого нет. Как сказал Ригель, убрали анархию.
    Понятие ущерба субъекту... А ЗАЧЕМ? Судебная практика показывает, что воспользоваться этим понятием в полном объеме у субъекта нет ни одного шанса. Понятие ущерба, особенно в такой тонкой области как информация, в России в ближайшее время не будет стимулом для того что бы фирма тратила деньги на защиту. Вот и заменили на другой стимул, который в России понятен ВСЕМ.

    ОтветитьУдалить
  3. Ригелю: возможно, "пора уже лечиться электричеством, чтобы не устраивать преждевременные истерики". Но. Если мы говорим о ст. 19, то в минимальных требованиях сейчас зашито то, что больше всего раздражало в документах регуляторов. Насчет остального - я уже сказал, и не в документах регуляторов это есть, а в Конвенции и ФЗ о техрегулировании и ФЗ о лицензировании ОВД.

    К закону претензии? Есть. Он никоим образом не соответствует Евроконвенции, ради чего весь сыр-бор.

    Руслану: и именно в Евроконвенции, нами ратифицированной, заложен принцип ущерба и исходящих от него мер защиты. Мы не сами у себя в РФ придумали защиту ПДн, а ратифицировали европейский документ и должны ему соответствовать. И если уж есть проблемы с компенсацией ущерба, то в законе нужно не писать как защищать данные на 8 страниц, а на 16 страницах изложить защиту прав субъекта и компенсацию ущерба, с конкретными случаями, суммами и сроками.

    И не стоит забывать, коллеги, что данные защищаются не сами по себе, и не ради регуляторов, да и не данные вообще защищаются - а ПРАВА СУБЪЕКТА. Этот законопроект - целиком и полностью о защите данных ради данных. Отличает его от действующего закона то, что он самодостаточен.

    Так что действительно понятные правила игры. Оператора и регулятора. Субъект только полностью из нее исключен.

    ОтветитьУдалить
  4. Анонимный30.6.11

    Алексей, а Конвенция все-таки ратифицирована? Ратификационная грамота, по моим сведениям, не издавалась, т.е. не до конца пройдена процедура.
    А права субъектов в этой стране не интересны никому
    Дмитрий

    ОтветитьУдалить
  5. Анонимный30.6.11

    Не понятно, только одного какие сведения подать до 2013 г. и к какому дню ИС должны быть приведены в соответствие?

    ОтветитьУдалить
  6. Дмитрию: Конвенция совета Европы о защите физических лиц при автоматизированной обработке персональных данных подписана от имени РФ 07.11.2001 в Страссбурге. Федеральный Закон «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных» № 160-ФЗ был принят 19.10.2005 г. Все в порядке с Конвенцией. Вот доппротокол к ней о том, что должен быть независимый наблюдательный орган, так и не подписан. И если бы такой орган был - вряд ли бы регуляторы с такой легкостью протаскивали свои пасквили.

    ОтветитьУдалить
  7. > какие сведения подать до 2013 г.

    Сведения, указанные в пунктах 5, 71, 10 и 11 части 3 статьи 22. Поглядите на проект и действующий закон одновременно.

    > и к какому дню ИС должны быть приведены в соответствие?

    Настоящий Федеральный закон вступает в силу со дня его официального опубликования.Действие положений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (в редакции настоящего Федерального закона) распространяется на правоотношения, возникшие с 1 июля 2011 года.

    А по действующему закону Вы должны были привести все в соответствие до 1 июля. Законопроект не противоречит текущему закону.

    ОтветитьУдалить
  8. Алексей! Я не понял, какой текст анализировал Лукацкий. В том, который выложен на сайте госдумы, нет многих вещей, описанных в его комментариях. Поясните, пожалуйста, что тут не так.

    ОтветитьУдалить
  9. Открываете электронную карту законопроекта по этой ссылке: http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02

    Находите линк "Рассмотрение законопроекта во втором чтении" и тычете в него.

    В раскрывшемся списке выбираете "Текст законопроекта ко второму чтению (Комитет Государственной Думы по конституционному законодательству и государственному строительству)" и скачиваете текст.

    Открываете и читаете.

    ОтветитьУдалить
  10. Алексей, мы все знаем, что не ту страну назвали Гондурсом. Скажите, если рассмотреть прошлую редакцию поправок, каков процент киомерсов вообще будет защищать данные?
    Я с Вами согласен - очень плохо что ущерб субъекта не присутствует в законе, но его наличие не меняет раскладов по собственно защите. Вспомните суммы компенсаций за смерть на основании решений судов и спроицируйте на на ущерб от разглашения ПД.
    Не смотря на то что мне предыдущая версия нравилась, но следует сказать что она во-первых была не рабочая (слишком много способов было игнорировать) и во-вторых была не справедлива. Школы должны были строить защиту и быть проверяемы спецорганами а банки и связисты имели полное право игнорировать требования.
    P.S. Извиняюсь за Опечатки - пишу с телефона.

    ОтветитьУдалить
  11. Пора на поклон к гаранту: "Защити батюшка!". п.3 ст.18 перечеркивается п.3 ст.19.
    За что боролись, на то и напоролись...

    ОтветитьУдалить
  12. Алексею Волкову:
    Вместо ущерба вижу вред, ну и чё? А моделированием угроз наши официалы называют оценку рисков. Во всем мире это единственно годный способ подходить к обеспечению безопасности чего-либо. В чем ужас-то, что государство хочет, чтобы операторы строили защиту осмысленно и обоснованно, а не от балды? Ты опять из 58-го приказа моделирование примеряешь (а то еще и четверокнижное) - где об этом в законе сказано? Закон кончается там, где кончается.

    ОтветитьУдалить
  13. >В чем ужас-то
    Ужас в том, что в подзаконных актах наворочают такого...
    Осмысленными и обоснованными они уж точно не будут

    ОтветитьУдалить
  14. Руслану: возможно, Вы и правы. Не все такие добросовестные, как мы. Но и со старой редакцией те, кому было пофиг, ничего не делали, и не собирались, а те, кто делал - ужасались. Эта редакция ничего общего с субъектом не имеет, и никакой новизны в сложившееся болото не привносит. Или все эти меры имеют что-то общего с реальной защитой ПДн или реальной ИБ? Или утечек меньше станет? Ничерта не изменится. Дойных коров только больше станет.

    ОтветитьУдалить
  15. Алексей, добрый день.
    Приношу извинения если комментарий немного не в тему топика.
    Сегодня получил информационное письмо о запуске проекта "7 уровней защиты ПДн" (http://zpdn-day.ru). Хотелось бы узнать Ваше мнение как эксперта в данной области о соответствии и полноте предлагаемых методик/документов 152-ФЗ и другим нормативным документам РФ в данной области.
    Спасибо!

    ОтветитьУдалить
  16. Ригелю: да перестань - рассматривать закон в изоляции от всего остального правового поля есть совершенно неправильно.

    Согласен, что оценка рисков - хороший подход к обеспечению безопасности. И в 58 приказе не было моделирования - оно было в четверокнижии. а сейчас положения 58 и ПП перетекли в закон. Ты возлагаешь надежды на то, что поменяют методологию оценки рисков. Я говорю. что в прадигме "защита данных ради данных" это бессмысленно. Основной критерий оценки рисков - вероятность утечки/искажения/уничтожения - остался неизменным, и прописан в законе. А должен быть - ущерб субъекту.

    Вред и ущерб - не одно и то же. И потом - этот вред встречается вскользь, а обязательные методы защиты - строго установлены. Нафига тут моделирование - даже сами разработчики не знают. Наверное, чтоб создать иллюзию ИБ. А ты купился...

    ОтветитьУдалить
  17. Если строго выполнять все, что требуют регуляторы, то для большинства операторов риск один - остаться без штанов.

    ОтветитьУдалить
  18. Точно. А субъект как был без них, так и остается.

    ОтветитьУдалить
  19. Any User Ch: а смысл это делать сейчас?

    ОтветитьУдалить
  20. Вред и ущерб не одно и то же, но если остальное законодательство (кодексы, особенно) оперирует моральным и имущественным вредами, есть определенный смысл.

    Даже если говорить о 58ой методологии, оцениваются и вероятность, и опасность, а не вероятность вместо опасности.

    В отрыве неправильно? А правильно, стало быть, закон под ведомственный акт подстраивать?

    ОтветитьУдалить
  21. Алексей Волков30.6.11

    Безусловно, смысл есть. Но только в рассмотрении всего правового поля, и тут ты сам себе противоречишь, говоря, что закон кончается там где кончается.

    Опасность чего, скажи? Я скажу: нарушения К Ц Д. Ущерб субъекту здесь опосредован. Но главное не это, я согласен с тобой, что можно отказаться от ряда мер по техзащите, но те, что ты будешь использовать, должны быть сертифицированы. Это и возмущает.

    Так он уже подстроен под ведомственные акты и ПП, разработанные теми же ведомствами. И это возмущает больше всего.

    ОтветитьУдалить
  22. Нет, не это тебя возмущает. Ты хочешь, чтобы ФЗ исправил недостатки, находящиеся в ведомственных актах. Сделать это он может только убрав отсылку. Поэтому в прошлый раз радовался, а теперь прибило.

    ОтветитьУдалить
  23. На самом деле вся проблема защиты кроется в жадности, все возможно реализовать написав грамотную модель угроз, обосновав все в проекте, но просто никто не хочет тратить такие деньги. А вот почему, откуда берутся такие стоимости на СЗИ.Вот например у MS для учебных учреждений действует 50 % скидака. Мне кажется интеграторам следует задуматься о стоимости оказания услуг. А учреждениям в свою очередь стоит задуматься о принятии на работу безопасника, их множество остается без работы. Пусть они даже не столь квалифицированны, но есть все возможные курсы, а к тому же в основном все РД находятся в общем доступе, никому не мешает разобраться. На самом деле закон очень нужный, вот только действительно необходимо учитывать какие могут быть последствия для субъекта.

    ОтветитьУдалить
  24. может завтра всё-таки соберутся и рассмотрят во втором чтении.

    ОтветитьУдалить
  25. Ригелю: и это, и то, что все что мне категорически не нравилось в ПП и прочем, в гипертрофированном виде перекочевало в закон.

    ОтветитьУдалить
  26. Mav: львиную долю в стоимость услуг составляет стоимость владенич сертифицированными СЗИ и их ограниченный набор. А это, в свою очередь, является следствием жадности сами знаете кого.

    ОтветитьУдалить
  27. Андрейке: по мне так лучше б перенесли.

    ОтветитьУдалить
  28. Скрестим пальцы, чтобы перенесли...

    ОтветитьУдалить
  29. У меня вот например семья, которую нужно кормить, а кроме как защитой ПДн, я ничем больше не занимаюсь, так как в нашем регионе для безопасника это единственная сфера деятельности. Мне не хотелось бы что бы сроки опять переносили.

    ОтветитьУдалить
  30. >У меня вот например семья, которую нужно кормить
    Летит небольшой самолет, в нем американец, англичанин, представитель африканского континента и русский - летчик. Авария, самолет падает. Их четверо, а парашютов только три. Надо делить.
    Негр: "У меня семья, 18 детей, 49 внуков, мне их кормить надо".
    Русский дал ему парашют, тот выпрыгнул.
    Американец:"Как дальше делить будем?"
    Русский: "А че делить, берем парашюты и прыгаем"
    Англичанин: "Так их же не хватает"
    Русский: "А я негру мешок с сухарями дал, пускай семью кормит"
    Закону о ПДн почти 5 лет, защищайте на здоровье.

    ОтветитьУдалить
  31. mav: понимаю Ваши чаяния. Интеграторы здесь между молотом и наковальней. Точнее, не так: оператор - корова, регулятор - цистерна, а интегратор - это доильный аппарат. И всех можно понять - регулятор ведь тоже человек, ему тоже надо семью кормить. А оператору - работать по основному виду деятельности, и данные защищать. Вот только коровой быть неохота.

    ОтветитьУдалить
  32. Сергей, так вот мы и пытаемся защищать, но наш народ уперт и непредсказуем, у нас в стране законы пишутся что бы их нарушать. На самом деле идеология большинства операторов не предпринимать ни каких действий, посмотрим что дальше будет и так уже 5 лет. Наша контора из тех, кто не навязывает бессмысленный ПЭМИН и аттестацию, но это так мысли в слух....больше не буду засорять блог!

    ОтветитьУдалить
  33. mav: Ваша контора - приятное исключение из правил. В отношении операторов - согласен. Но раз уж так было до сегодня - может, стоит подумать, почему? И не коснется ли ужесточение мер тех, кто и так добросовестно защищал данные?

    ОтветитьУдалить
  34. ИМХО нужно добиться, чтобы операторы (те, которых большинство - малые, средние) для начала хотя бы как нибудь, с минимальными затратами, организовали защиту ПДн. Защита должна быть, пусть несертифицированными СЗИ. Выяснится, что недостаточно - усиливать. Нельзя требовать сразу, получится обратный эффект: как положено по НД нет средств, а дешевле - нет смысла.

    ОтветитьУдалить
  35. Анонимный1.7.11

    Алексей, опять по поводу Конвенции: на официальном сайте информационного офиса Совета Европы в России написано следующее: "Конвенция о защите физических лиц при автоматизированной обработке персональных данных (подписана, но не ратифицирована)". Так что о каком соответствии Конвенции может идти речь, если европейцы считают, что мы ее не ратифицировали (я им склонен верить).
    Дмитрий

    ОтветитьУдалить
  36. Анонимный1.7.11

    Если, все же, вы считаете, что она ратифицирована дайте ссылку на официальный перевод. Я нашел в интернете три разных варианта.
    Дмитрий

    ОтветитьУдалить
  37. > о каком соответствии Конвенции может идти речь, если европейцы считают, что мы ее не ратифицировали

    Да, это так. Но мы-то считаем, что ратифицировали. Мы об этом писали с коллегами. И это, кстати, камень преткновения и в безвизовом режиме, и в ВТО.

    ОтветитьУдалить
  38. > нужно добиться, чтобы операторы

    Добиться этого можно лишь реальными штрафами (миллионами) и возможностью получения субъектом достойной компенсации.

    Вся проблема в том, что сертификация, аттестация и прочая ботва реальной защиты не прибавляет, зато кормит пузатую до безобразия регуляторскую тучу.

    ОтветитьУдалить
  39. 2Дмитрий

    Алексей выше уже написал о том, что мы подписали и ратифицировали саму Конвенцию.

    Но для того, чтоб это было признано в Европах необходимо еще:
    1. Подписать и ратифицировать Доппротокол к Конвенции
    2. Привести свое законодательство в области ПДн к Европейскому
    3. Выполнив п.п. 1, 2 предоставить ратификационные грамоты в Европу (иначе их просто не принимают, сколько бы мы их туда не подавали)


    Учитывая, что ни первое ни второе мы до сих пор не сделали мы и не будем относиться к государствам не обеспечивающим адекватный уровень защиты ПДн и от нас никто не примет ратификационные грамоты...

    ОтветитьУдалить
  40. to toparenko: а значит, что и ВТО, и отмена виз нам еще долго не светит :)

    ОтветитьУдалить