После внезапного исчезновения, текст законопроекта Резника для второго чтения вновь опубликован на сайте Думы. Это - другой текст. Комментарии - в блоге Алексея Лукацкого. От себя добавлю что, по сравнению со старым вариантом, смысл отраслевых стандартов полностью нивелирован, ущерб субъекту - полностью исключен, а все ЛООПДППО по идее попадают на лицензию по ТЗКИ, поскольку деятельность по защите ПДн они должны будут вести не на основе стандартов (идет четкий отсыл на статью 19) и не в собственных интересах (нуждах), а в интересах другого лица - со всеми вытекающими. Сдерживайте себя, коллеги. Ведь фигура-то была мной показана верно с самого начала, текст был излишне оптимистичен :(
ЗЫ. Судя по тем сопроводительным документам, что сейчас выложены на сайте Думы в ЭРК законопроекта, третьего чтения сразу не будет - везде идет речь только о втором. Так что надежда еще не умерла, хотя и наподдали ей не по-детски.
Не разделяю настроения "Лелик, все пропало": анархию убрали, оставили нормальные правила игры.
ОтветитьУдалитьВы когда читаете закон, читайте его как закон, а не прибавку к текущим документам регуляторов.
Государство устанавливает минимальные требования, выше которых можно, ниже нет - это плохо?
Вот если отрешиться пока от документов регуляторов, к закону тут претензии есть?
Прошлый вариант, меня пугал возможность оператора официально отказаться от защиты ПД. В новом варианте этого нет. Как сказал Ригель, убрали анархию.
ОтветитьУдалитьПонятие ущерба субъекту... А ЗАЧЕМ? Судебная практика показывает, что воспользоваться этим понятием в полном объеме у субъекта нет ни одного шанса. Понятие ущерба, особенно в такой тонкой области как информация, в России в ближайшее время не будет стимулом для того что бы фирма тратила деньги на защиту. Вот и заменили на другой стимул, который в России понятен ВСЕМ.
Ригелю: возможно, "пора уже лечиться электричеством, чтобы не устраивать преждевременные истерики". Но. Если мы говорим о ст. 19, то в минимальных требованиях сейчас зашито то, что больше всего раздражало в документах регуляторов. Насчет остального - я уже сказал, и не в документах регуляторов это есть, а в Конвенции и ФЗ о техрегулировании и ФЗ о лицензировании ОВД.
ОтветитьУдалитьК закону претензии? Есть. Он никоим образом не соответствует Евроконвенции, ради чего весь сыр-бор.
Руслану: и именно в Евроконвенции, нами ратифицированной, заложен принцип ущерба и исходящих от него мер защиты. Мы не сами у себя в РФ придумали защиту ПДн, а ратифицировали европейский документ и должны ему соответствовать. И если уж есть проблемы с компенсацией ущерба, то в законе нужно не писать как защищать данные на 8 страниц, а на 16 страницах изложить защиту прав субъекта и компенсацию ущерба, с конкретными случаями, суммами и сроками.
И не стоит забывать, коллеги, что данные защищаются не сами по себе, и не ради регуляторов, да и не данные вообще защищаются - а ПРАВА СУБЪЕКТА. Этот законопроект - целиком и полностью о защите данных ради данных. Отличает его от действующего закона то, что он самодостаточен.
Так что действительно понятные правила игры. Оператора и регулятора. Субъект только полностью из нее исключен.
Алексей, а Конвенция все-таки ратифицирована? Ратификационная грамота, по моим сведениям, не издавалась, т.е. не до конца пройдена процедура.
ОтветитьУдалитьА права субъектов в этой стране не интересны никому
Дмитрий
Не понятно, только одного какие сведения подать до 2013 г. и к какому дню ИС должны быть приведены в соответствие?
ОтветитьУдалитьДмитрию: Конвенция совета Европы о защите физических лиц при автоматизированной обработке персональных данных подписана от имени РФ 07.11.2001 в Страссбурге. Федеральный Закон «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных» № 160-ФЗ был принят 19.10.2005 г. Все в порядке с Конвенцией. Вот доппротокол к ней о том, что должен быть независимый наблюдательный орган, так и не подписан. И если бы такой орган был - вряд ли бы регуляторы с такой легкостью протаскивали свои пасквили.
ОтветитьУдалить> какие сведения подать до 2013 г.
ОтветитьУдалитьСведения, указанные в пунктах 5, 71, 10 и 11 части 3 статьи 22. Поглядите на проект и действующий закон одновременно.
> и к какому дню ИС должны быть приведены в соответствие?
Настоящий Федеральный закон вступает в силу со дня его официального опубликования.Действие положений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (в редакции настоящего Федерального закона) распространяется на правоотношения, возникшие с 1 июля 2011 года.
А по действующему закону Вы должны были привести все в соответствие до 1 июля. Законопроект не противоречит текущему закону.
Алексей! Я не понял, какой текст анализировал Лукацкий. В том, который выложен на сайте госдумы, нет многих вещей, описанных в его комментариях. Поясните, пожалуйста, что тут не так.
ОтветитьУдалитьОткрываете электронную карту законопроекта по этой ссылке: http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02
ОтветитьУдалитьНаходите линк "Рассмотрение законопроекта во втором чтении" и тычете в него.
В раскрывшемся списке выбираете "Текст законопроекта ко второму чтению (Комитет Государственной Думы по конституционному законодательству и государственному строительству)" и скачиваете текст.
Открываете и читаете.
Алексей, мы все знаем, что не ту страну назвали Гондурсом. Скажите, если рассмотреть прошлую редакцию поправок, каков процент киомерсов вообще будет защищать данные?
ОтветитьУдалитьЯ с Вами согласен - очень плохо что ущерб субъекта не присутствует в законе, но его наличие не меняет раскладов по собственно защите. Вспомните суммы компенсаций за смерть на основании решений судов и спроицируйте на на ущерб от разглашения ПД.
Не смотря на то что мне предыдущая версия нравилась, но следует сказать что она во-первых была не рабочая (слишком много способов было игнорировать) и во-вторых была не справедлива. Школы должны были строить защиту и быть проверяемы спецорганами а банки и связисты имели полное право игнорировать требования.
P.S. Извиняюсь за Опечатки - пишу с телефона.
Пора на поклон к гаранту: "Защити батюшка!". п.3 ст.18 перечеркивается п.3 ст.19.
ОтветитьУдалитьЗа что боролись, на то и напоролись...
Алексею Волкову:
ОтветитьУдалитьВместо ущерба вижу вред, ну и чё? А моделированием угроз наши официалы называют оценку рисков. Во всем мире это единственно годный способ подходить к обеспечению безопасности чего-либо. В чем ужас-то, что государство хочет, чтобы операторы строили защиту осмысленно и обоснованно, а не от балды? Ты опять из 58-го приказа моделирование примеряешь (а то еще и четверокнижное) - где об этом в законе сказано? Закон кончается там, где кончается.
>В чем ужас-то
ОтветитьУдалитьУжас в том, что в подзаконных актах наворочают такого...
Осмысленными и обоснованными они уж точно не будут
Руслану: возможно, Вы и правы. Не все такие добросовестные, как мы. Но и со старой редакцией те, кому было пофиг, ничего не делали, и не собирались, а те, кто делал - ужасались. Эта редакция ничего общего с субъектом не имеет, и никакой новизны в сложившееся болото не привносит. Или все эти меры имеют что-то общего с реальной защитой ПДн или реальной ИБ? Или утечек меньше станет? Ничерта не изменится. Дойных коров только больше станет.
ОтветитьУдалитьАлексей, добрый день.
ОтветитьУдалитьПриношу извинения если комментарий немного не в тему топика.
Сегодня получил информационное письмо о запуске проекта "7 уровней защиты ПДн" (http://zpdn-day.ru). Хотелось бы узнать Ваше мнение как эксперта в данной области о соответствии и полноте предлагаемых методик/документов 152-ФЗ и другим нормативным документам РФ в данной области.
Спасибо!
Ригелю: да перестань - рассматривать закон в изоляции от всего остального правового поля есть совершенно неправильно.
ОтветитьУдалитьСогласен, что оценка рисков - хороший подход к обеспечению безопасности. И в 58 приказе не было моделирования - оно было в четверокнижии. а сейчас положения 58 и ПП перетекли в закон. Ты возлагаешь надежды на то, что поменяют методологию оценки рисков. Я говорю. что в прадигме "защита данных ради данных" это бессмысленно. Основной критерий оценки рисков - вероятность утечки/искажения/уничтожения - остался неизменным, и прописан в законе. А должен быть - ущерб субъекту.
Вред и ущерб - не одно и то же. И потом - этот вред встречается вскользь, а обязательные методы защиты - строго установлены. Нафига тут моделирование - даже сами разработчики не знают. Наверное, чтоб создать иллюзию ИБ. А ты купился...
Если строго выполнять все, что требуют регуляторы, то для большинства операторов риск один - остаться без штанов.
ОтветитьУдалитьТочно. А субъект как был без них, так и остается.
ОтветитьУдалитьAny User Ch: а смысл это делать сейчас?
ОтветитьУдалитьВред и ущерб не одно и то же, но если остальное законодательство (кодексы, особенно) оперирует моральным и имущественным вредами, есть определенный смысл.
ОтветитьУдалитьДаже если говорить о 58ой методологии, оцениваются и вероятность, и опасность, а не вероятность вместо опасности.
В отрыве неправильно? А правильно, стало быть, закон под ведомственный акт подстраивать?
Безусловно, смысл есть. Но только в рассмотрении всего правового поля, и тут ты сам себе противоречишь, говоря, что закон кончается там где кончается.
ОтветитьУдалитьОпасность чего, скажи? Я скажу: нарушения К Ц Д. Ущерб субъекту здесь опосредован. Но главное не это, я согласен с тобой, что можно отказаться от ряда мер по техзащите, но те, что ты будешь использовать, должны быть сертифицированы. Это и возмущает.
Так он уже подстроен под ведомственные акты и ПП, разработанные теми же ведомствами. И это возмущает больше всего.
Нет, не это тебя возмущает. Ты хочешь, чтобы ФЗ исправил недостатки, находящиеся в ведомственных актах. Сделать это он может только убрав отсылку. Поэтому в прошлый раз радовался, а теперь прибило.
ОтветитьУдалитьНа самом деле вся проблема защиты кроется в жадности, все возможно реализовать написав грамотную модель угроз, обосновав все в проекте, но просто никто не хочет тратить такие деньги. А вот почему, откуда берутся такие стоимости на СЗИ.Вот например у MS для учебных учреждений действует 50 % скидака. Мне кажется интеграторам следует задуматься о стоимости оказания услуг. А учреждениям в свою очередь стоит задуматься о принятии на работу безопасника, их множество остается без работы. Пусть они даже не столь квалифицированны, но есть все возможные курсы, а к тому же в основном все РД находятся в общем доступе, никому не мешает разобраться. На самом деле закон очень нужный, вот только действительно необходимо учитывать какие могут быть последствия для субъекта.
ОтветитьУдалитьможет завтра всё-таки соберутся и рассмотрят во втором чтении.
ОтветитьУдалитьРигелю: и это, и то, что все что мне категорически не нравилось в ПП и прочем, в гипертрофированном виде перекочевало в закон.
ОтветитьУдалитьMav: львиную долю в стоимость услуг составляет стоимость владенич сертифицированными СЗИ и их ограниченный набор. А это, в свою очередь, является следствием жадности сами знаете кого.
ОтветитьУдалитьАндрейке: по мне так лучше б перенесли.
ОтветитьУдалитьСкрестим пальцы, чтобы перенесли...
ОтветитьУдалитьУ меня вот например семья, которую нужно кормить, а кроме как защитой ПДн, я ничем больше не занимаюсь, так как в нашем регионе для безопасника это единственная сфера деятельности. Мне не хотелось бы что бы сроки опять переносили.
ОтветитьУдалить>У меня вот например семья, которую нужно кормить
ОтветитьУдалитьЛетит небольшой самолет, в нем американец, англичанин, представитель африканского континента и русский - летчик. Авария, самолет падает. Их четверо, а парашютов только три. Надо делить.
Негр: "У меня семья, 18 детей, 49 внуков, мне их кормить надо".
Русский дал ему парашют, тот выпрыгнул.
Американец:"Как дальше делить будем?"
Русский: "А че делить, берем парашюты и прыгаем"
Англичанин: "Так их же не хватает"
Русский: "А я негру мешок с сухарями дал, пускай семью кормит"
Закону о ПДн почти 5 лет, защищайте на здоровье.
mav: понимаю Ваши чаяния. Интеграторы здесь между молотом и наковальней. Точнее, не так: оператор - корова, регулятор - цистерна, а интегратор - это доильный аппарат. И всех можно понять - регулятор ведь тоже человек, ему тоже надо семью кормить. А оператору - работать по основному виду деятельности, и данные защищать. Вот только коровой быть неохота.
ОтветитьУдалитьСергей, так вот мы и пытаемся защищать, но наш народ уперт и непредсказуем, у нас в стране законы пишутся что бы их нарушать. На самом деле идеология большинства операторов не предпринимать ни каких действий, посмотрим что дальше будет и так уже 5 лет. Наша контора из тех, кто не навязывает бессмысленный ПЭМИН и аттестацию, но это так мысли в слух....больше не буду засорять блог!
ОтветитьУдалитьmav: Ваша контора - приятное исключение из правил. В отношении операторов - согласен. Но раз уж так было до сегодня - может, стоит подумать, почему? И не коснется ли ужесточение мер тех, кто и так добросовестно защищал данные?
ОтветитьУдалитьИМХО нужно добиться, чтобы операторы (те, которых большинство - малые, средние) для начала хотя бы как нибудь, с минимальными затратами, организовали защиту ПДн. Защита должна быть, пусть несертифицированными СЗИ. Выяснится, что недостаточно - усиливать. Нельзя требовать сразу, получится обратный эффект: как положено по НД нет средств, а дешевле - нет смысла.
ОтветитьУдалитьАлексей, опять по поводу Конвенции: на официальном сайте информационного офиса Совета Европы в России написано следующее: "Конвенция о защите физических лиц при автоматизированной обработке персональных данных (подписана, но не ратифицирована)". Так что о каком соответствии Конвенции может идти речь, если европейцы считают, что мы ее не ратифицировали (я им склонен верить).
ОтветитьУдалитьДмитрий
Если, все же, вы считаете, что она ратифицирована дайте ссылку на официальный перевод. Я нашел в интернете три разных варианта.
ОтветитьУдалитьДмитрий
> о каком соответствии Конвенции может идти речь, если европейцы считают, что мы ее не ратифицировали
ОтветитьУдалитьДа, это так. Но мы-то считаем, что ратифицировали. Мы об этом писали с коллегами. И это, кстати, камень преткновения и в безвизовом режиме, и в ВТО.
> нужно добиться, чтобы операторы
ОтветитьУдалитьДобиться этого можно лишь реальными штрафами (миллионами) и возможностью получения субъектом достойной компенсации.
Вся проблема в том, что сертификация, аттестация и прочая ботва реальной защиты не прибавляет, зато кормит пузатую до безобразия регуляторскую тучу.
2Дмитрий
ОтветитьУдалитьАлексей выше уже написал о том, что мы подписали и ратифицировали саму Конвенцию.
Но для того, чтоб это было признано в Европах необходимо еще:
1. Подписать и ратифицировать Доппротокол к Конвенции
2. Привести свое законодательство в области ПДн к Европейскому
3. Выполнив п.п. 1, 2 предоставить ратификационные грамоты в Европу (иначе их просто не принимают, сколько бы мы их туда не подавали)
Учитывая, что ни первое ни второе мы до сих пор не сделали мы и не будем относиться к государствам не обеспечивающим адекватный уровень защиты ПДн и от нас никто не примет ратификационные грамоты...
to toparenko: а значит, что и ВТО, и отмена виз нам еще долго не светит :)
ОтветитьУдалить