|
июля
27
|
Уже не секрет, что своими действиями (начиная с письма президенту), мы с вами, уважаемые коллеги, сумели привлечь внимание к проблеме чиновников из Минкомсвязи. Нас (Пять экспертов) на прошлой неделе пригласили на встречу, на которой сообщили, что закон подписан и ничего изменить мы не можем, с ним придется жить. Однако, работа над законом будет продолжена и нам предложили присоединиться этой работе. Понятное дело, дорога будет долгой и непростой. Однако, формальные общественные организации так и не проявили интерес к происходящему. Чтож, если они не желают заниматься ключевой проблемой современного ИБ в России, придется нам вести эту работу самим.
Viam supervadet vadens – дорогу осилит идущий.
Глубоко убежден, что для работы должна быть привлечена общественность, в прямом смысле этого слова. Очевидно, что проводить совещания с привлечением всех желающих мы не сможем, но вот информировать вас о наших активностях в направлении 152-ФЗ и прислушиваться к вашему мнению мы сможем. Поэтому сегодня во всех блогах «пяти экспертов» будет опубликована информация по текущему положению дел.
Итак, коллеги из Минкомсвязи попросили нас дать конструктивные предложения. Мы выработали 5 пунктов:
1. Внести в КоАП и УК РФ ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.
2. Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».
3. Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР, РСС и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.
4. Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.
5. Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие фактов утечек ПДн субъектов.
Про первые 4 пункта напишут коллеги. Мне же кажется наиболее важным пункт №5. Дело в том, что практики выдвижения обязательных для операторов ПДн технических требований в цивилизованном мире нет. Держать дисциплину выполнения технических требований среди всех операторов невозможно. Поэтому применяется практика обязательности уведомления субъектов, чьи данные, например, утекли. Контролировать дисциплину в этом вопросе значительно проще. Тот поток информации об утечках, который выдают западные компании связаны именно с ответственность менеджмента за скрытие такой информации.
Правильное описание ответственности за сокрытие и контроль органа исполнительной власти снимает необходимость выставлять технические требования вовсе.
июля 27, 2011 at 12:34
Евгений, скажите, а как повлияет подписанный закон на различные краудсорсинговые проекты? Станет ли им жить труднее от этого закона?
[Reply]
Царев Евгений Reply:
июля 27, 2011 at 13:44
Смотря какой проект. Но в целом для них ничего принципиально не должно поменяться.
[Reply]