Коллеги уже объявили (тут) о возможном принятии законопроекта Резника сразу в 2-х чтениях 17 июня. Ригель назвал, рожденный в муках компромисса документ «революцией».
Документ действительно меняет многое и специалисту будет интересно его почитать самостоятельно и полностью. Обращу внимание лишь на самую важную (на мой взгляд) статью, который регуляторы ну оооочень не хотели пропускать:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
В ней очень много интересного, но что больше всего мне нравится, так это пункт 7:
…
7. Федеральные органы исполнительной власти, иные государственные органы, органы местного самоуправления, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе издавать стандарты обеспечения безопасности персональных данных. Стандарты обеспечения безопасности персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требований, устанавливаемых Правительством Российской Федерации в соответствии с частью 5 настоящей статьи. Стандарты обеспечения безопасности персональных данных в государственных и муниципальных информационных системах персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требованиями, указанными в пункте 1 части 4 настоящей статьи.
Части 1 и 2 – это общие требования по безопасности ПДн. Часть 5 подразумевает наличие правительственных документов отраслевого характера по ПДн (для банков, страховых компаний, промышленных предприятий, медицины и т.п.). И все! Регуляторов здесь нет! Другими словами, любые отраслевые объединения операторов могут создавать свои стандарты и защищать ПДн по ним. Все что требуется, так это учитывать требования самого закона и прямых правительственных указаний для отрасли.
Регуляторам, в плане установления требований, достается только «госка» (государственный и муниципальный сектора).
Это как раз то разделение частного и государственного секторов, о котором я говорил еще год назад.
В целом документ получился хорошим.
Сегодня ночью дам детальный (насколько время позволит) анализ. Не расходитесь :) Сейчас обсуждение здесь: http://anvolkov.blogspot.com/2011/06/blog-post_15.html
>Регуляторам, в плане установления требований, достается только «госка» (государственный и муниципальный сектора).
Регуляторы на букву «Ф» еще отхватили себе кредитно-финансовый сектор, правда через ЦБ и закон о национальной платежной системе — см. http://bankir.ru/dom/showthread.php?t=107661&p=2866424&viewfull=1#post2866424
закон о НПС подтягивает регуляторов не столько по теме ПДн, сколько по традиции ;-)
По традиции или нет, но Комплекс БР ИББС и его согласование вписывается великолепно ;)
К сожалению, да. С другой стороны банковское сообщество научилось с ними общаться лучше других.
Как и обещал: http://anvolkov.blogspot.com/2011/06/blog-post_16.html Присоединяйтесь!
Документ хороший?! Ты серьезно? По мне, так тупое глумление. Вопросов стало больше, обходов необходимости зашиты стало просто немеряно, теперь вообще защищать будут только госы и те, кому деньги некуда девать. Читай — госы…
Секунду.
Для начала нужно понять кто защищался? Госы, крупные компании, банки и т.п. и подавляющее число из них не приступали к внедрению. Сделали только отмазочные документы. Выгода от такой работы? Почти нулевая.
Дальше. Те кто внедрял… Что они внедряли и как? Российские решения на ограниченную область, оставляя «поверх» нормальную защиту. Какой толк от этой работы? Почти никакого.
Теперь вопрос: А зачем законодательно заставлять защищать информацию? Где в мировой практике есть такая работающая схема?
Существующая модель убога. Она породила массу бестолковых телодвижений на рынке. Новый законопроект убирает некоторые из них. И это уже хорошо.
Защищались разные, на моем опыте от 5 до 1000 АРМ.
Отмазочные документы не делали, делали все что хотят видеть регуляторы и реально применяли в работе.
Что касается российских решений, то не понял о чем ты, если пождходить с умом, то защита строится качественно, не дорого и гармонично.
Зачем законодательно требовать защиту? Что сказать, менталитет у нас что ли такой. Пока никто не пинает, хер кто чем будет заниматься. А закон в том виде в котором он был, на моем опыте стал толчком к старту развития культуры ИБ в малом и среднем бизнесе. Появились безопасники в штате, получили бюджеты, стали наводить порядок на рабочих АРМ и т.д. и т.п.. А сейчас эти потуги в сторону развития культуры ИБ снова послали куда подальше, красавцы! Ну и дополнительно вопрос, только без обид, а че, Лета оставляла «поверх» нормальную защиту и делала отмазочные документы?
Да, я поясню, идея отраслевых стандартов — это ничтяк, но очередная пачка вопросов и перенос сроков на 2 и 3 года в зависимости от кол-ва серого вещества у оператора, позволяют считать, что это еще не конец и чтобы не выглядеть дибилом лучше еще пару лет потупить, авось отменят к чертям.