четверг, 4 августа 2011 г.

Элвис-плюс и бурундуки-подписанты. Часть 2.


Сергей Викторович Вихорев опубликовал второе письмо, с более конструктивной критикой и без призывов к расстрелу. Пока читаете, я позволю себе пару конструктивных комментариев.

С.В.В.: "Во-первых, и это, наверное, главное, оппоненты сосредоточились в своей критике ответа, в основном, на ТЕХНИЧЕСКИХ вопросах защиты (критика ст. 19 Закона). Лейтмотив выступлений: «Регуляторы хотят защищать устаревшими (20-ти летней давности) СЗИ, требуют обязательную сертификацию, аттестацию и вообще все это дорого, неэффективно и отстает от современного прогресса!» При этом никто из участвующих в дискуссии не говорит, КАКИЕ интересы СУБЪЕКТА ПДн ущемлены в законе, и ПОЧЕМУ он плох для субъекта ПДн (хотя в блогах о-о-очень много разговоров именно о том, что права субъекта не защищены, и именно поэтому закон плох)."

Отмечу, что это не совсем так. Цитирую открытое письмо:


О.П.: Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.

Это замечание в письме породило целую главу под названием "Об ущербе и его компенсации". Относительно ее содержания - безусловно, это один из возможных подходов к обеспечению взыскания ущерба, но уж слишком много условий указывает автор для его реализации, вплоть до модернизации судебной системы. По нашему мнению, нужно было четко прописать в законе, так как это было в предложениях правительства - субъект имеет право потребовать ущерб от 50 тыс. до 5 млн. руб. (но без индульгенций). Далее:

О.П.: Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.

Об этом в письме ничего не сказано, однако вот заметка М.Ю.Емельянникова (которого автор рассматриваемого письма считает одним из грамотнейших экспертов), где он, после комментария С.В.Вихорева, фактически приходит к такому же выводу.

Что касается устаревших подходов к обеспечению ИБ - то за тем исключением, что, во-первых, речь шла не об устаревших СЗИ, а об устаревших методах и способах защиты (об этом, кстати, в письме ни слова, хотя автор мог бы рассказать и про "облака", и про виртуализацию, и про повсеместно используемую криптографию, и про мобильный доступ и отсутствие КЗ - это в части неприменимости методов и способов, и про аттестацию больших ИС, и про сертификацию уже имеющихся несертифицированных СЗИ - это в части дороговизны), и во-вторых,  мы боролись не за отмену закона, а за его отклонение, публичное обсуждение и доработку - я согласен с С.В.Вихоревым:

С.В.В.: Поэтому и бороться надо не за отмену закона, а за правильное содержание (с точки зрения бизнес-сообщества и субъектов ПДн) тех подзаконных актов, которые должны быть выпущены во исполнение этого закона. А с учетом того, что Дмитрий Медведев подписал Указ (речь идет об указе Президента РФ от 12 июля 2011 г. N 929 "О внесении изменения в Положение о Министерстве юстиции Российской Федерации, утвержденное Указом Президента Российской Федерации от 13 октября 2004 г. N 1313 - мое прим.), который обеспечивает участие бизнеса в экспертизе ведомственных нормативных актов с целью выявления в них положений, затрудняющих инвестиционную и предпринимательскую деятельность - это не какая-то маниловщина, а вполне реальное дело, тем более, что и сами регуляторы это понимают.

Больше действительно делать нечего. Правда, учитывая "трюк с подменой" текста, за первоначальный (подмененный) вариант которого и бизнес-сообщество, и субъекты боролись в течение долгих двух лет и в результате со всеми согласовали, и о котором С.В.Вихорев по прежнему старается умалчивать и никак не комментирует, борьба за подзаконники может превратиться в абсолютный фарс, потому как в ней будут участвовать регуляторы и, возможно, сам Сергей Викторович, как представитель этого самого "бизнес-сообщества". Широкую общественность и тем более нас, "подписантов", туда вряд ли допустят. Но я буду очень рад, если ошибусь, и мы не увидим бой двух боксеров, оплаченных одним спонсором.

3 комментария :

  1. Почему СВВ считает, что операторы НЕ ХОТЯТ защищать ПДн, "ничего не делать", как он пишет?
    Был нормальный и согласованный вариант с отраслевым регулирование. Что в нем то не устроило? Ответ один - опустеет кормушка.
    Мы готовы защищать ПДн, и уж поверьте в тех же банках (связисты, крупные предприятия и т.д.) знают как и умеют это делать. Причем ОБИ напрямую влияет на бизнес. Если вы думаете, что правительство и регуляторы лучше знают, что и как надо делать, то почитайте на досуге трехглавый. У операторов большие и обоснованные сомнения в адекватности будущих подзаконных актах.

    ОтветитьУдалить
  2. Коллеги, прошу прощения, но коментарии удалились по техническим причинам :( Кому не лень - прокомментируйте заново, пожалуйста?

    ОтветитьУдалить
  3. Есть ли смысл ругаться?! Давно пора искать положительные моменты и уживаться с действующим законодательством-все остальные вскрики и прочее у нас в России -в пользу бедных!

    ОтветитьУдалить