#Эксперт по информационной безопасности, #судебная экспертиза

Что ж, как говориться мы ехали-ехали и наконец, приехали.

Законопроект подменили (в полном смысле этого слова). В особенности изменилась наиболее спорная 19 статья, в такой редакции я ее даже не видел. Эта редакция в максимальной степени играет на руку регуляторам, чем все остальные версии.

Еще на форуме директоров по информационной безопасности в начале месяца Волчинская Елена Константиновна озвучила общую идею законопроекта Резника: прописать в законе как можно больше, чтобы дать регуляторам меньше свободы в разработке ведомственных документов. Нужно признать, что идея, провалилась.

Если раньше регуляторы готовили спорные и невыполнимые документы на ведомственном уровне, то теперь они перенесли многие положения на уровень федерального закона.

Разница между ведомственным документом и федеральным законом как между фейерверком и звездолетом.

В результате благими намерениями, вроде устранение коллизий законодательства или выполнения поручения президента, мы получили версию закона еще хуже, чем имели до этого.

Несколько примеров:

Часть 2 статьи 19 дает четкий перечень из 9 мероприятий по защите ПДн

Часть 3 статьи 19 правительство определяет уровни защищенности, требования по носителям и требования по защите ПДн

Часть 4 статьи 19 только ФСТЭК и ФСБ определяют состав и содержание необходимых требований к защите ПДн

Часть 5 статьи 19 актуальность угроз определяют только ФСТЭК, ФСБ, Банк России, органы государственных внебюджетных фондов и иные государственные органы в пределах своих полномочий. Все это должно быть согласовано со ФСТЭК и ФСБ (часть 7 статьи 19)

Часть 6 статьи 19 ассоциации, союзы и т.п. вправе определить только дополнительные угрозы безопасности (помните я писал заметку об отраслевом регулировании, так вот этого больше нет)

ФСТЭК и ФСБ обыграли всех, причем по всем статьям. А кто-то говорил о компромиссе?

В результате принятия законопроекта в текущем виде поручение президента не только не будет выполнено, но положение дел станет еще хуже. Теперь закон о персональных данных в России еще меньше похож на международные аналоги.

Посмотрим, чем кончится завтрашний день. Но мысль написать открытое письмо на имя президента есть. Уверен если сделать такое письмо, то оно найдет адресата.

28 комментариев

    >мысль написать открытое письмо на имя президента есть

    Как вариант Дворковичу (он вроде тебе чтой-то обещался) и Гаранту в твиттер — и чем больше человек им напишут, тем лучше 😉

    Посмотрим что дальше будет, если примут, нужно обращаться желательно коллективным письмом, а то, что прочитают я уверен

    Алексей:

    Теперь я лучше понимаю что значит «Президент не всевластен».
    Коллективное письмо надо делать, с кратким но ёмким описанием ситуации, и сбором подписей или типа того.

    Евгений, Вы правда считаете, что Гарант не вкурсе? И будет не в курсе после подписания принятого законопроекта?
    И какой смысл в этом случае обращаться к нему? Извините предположить, что Президент, на сколько я помню -юрист, не понимат смысл подписываемых им Законов я не в силах и отказываюсь.
    Есть Поручение, есть исполнение. Если Президента устраивает результат исполнения его поручения, то письма не помогут. Если нет — то письма не изменят решения. IMHO.

    Руслан, учитывая количество законов, которые подписывает президент (особенно в конце сессии), он их не читает. Это физически невозможно. Тем более невозможно понять что скрывается за каждым словом. Будь я человеком несведущим, то даже и не понял суть поправок при прочтении. А в целом спорить с вами не буду, может и знает положение дел.
    Просто ситуация складывается ненормальная и с этим нужно что-то делать. Вы не согласны?

    Евгений согласен, только не верю я, что «злые бояре обманывают царя-батюшку» и смысла писать письма не вижу. Насколько я понимаю, возможно будет третье чтение в ГД и имеет смысл вспомнить, что депутатов выбирали мы и как я понимаю мы здесь из разных регионов, соответственно поработать с депутатами. Хотя тоже бред…
    По ситуации, я все же считаю, что ситуация ненормальна, но не катастрофическая. Меня не устраивают оба законопроекта. Первая версия из-за того что большинство комерсы наплевали бы на защиту, текущая из-за непредсказуемости требований регуляторов.

    Тут интереснее. Завтра могут принять и во втором и в третьем чтении сразу, по крайней мере так планировалось.

    Имея опыт подготовки правовых актов на уровне местного самоуправления и видя весь цирк сейчас, могу предположить, что игра уже сыграна и мы наблюдаем «паровоз».

    Сейчас уже да, еще в начале недели врятли.

    Оно как бы не совсем так.
    «Правительство в зависимости от вида деятельности, при котором обрабатываются ПДн, устанавливает уровни и требования», из-за которых дальше весь сыр бор.
    Постановление о том, что у вас в уставе написано, издавалось? Ну, и что вы тогда мятётеся?

    Придумают одно постановление, и напишут: «организации всех видов деятельности обязаны соблюдать мероприятия, указанные в статье 19. Предприятия ТЭК и атомщики обязаны еще сделать три раза КУ и носить малиновые штаны.» Мало что ли было прецедентов таких?

    В этом плане ничего не меняется, только раньше на уровне ФЗ была 2-хуровневая система (Правительство/Регуляторы), а теперь стала 3-хуровневая Правительство/Регуляторы/Ряд органов исполнительной власти

    Ничего, правда? Раньше Правительство только по объему/категории данных дифференцировало, а теперь должно на отрасль народного хозяйства указывать.

    Правительство по новому закону реально не получит ни больше ни меньше прав.

    У него и так их предостаточно.

    Готов подписаться под письмом президенту, можно ли, кстати, организовать коллективное?

    Присоединяйтесь, коллеги! http://anvolkov.blogspot.com/2011/07/blog-post.html

    Зачем спешишь?)))

    Можешь считать свершившимся фактом: на «наш» законопроект у ГД меньше трех минут — кроме одобрямса ничего не будет.

    Да не спешу я. Это скорее вопль отчаяния.

    Алексей Т.:

    Очень наивный пост. 🙂 Наивность в следующем:
    а) президент не в курсе, как исполняют его поручения, давайте жаловаться Президенту. Если кто не в курсе, то ДАМ очень даже в курсе, у него есть АйПад, твиттер, он заядлый блоггер и возможно даже читает сейчас Ваш блог, Евгений. 😉
    б) А что ненормального от этого постановления? Все расслабятся и начнут наконец-то защищать ПДн, а не думать «а вдруг все отменят». Проблем в настоящее время с использованием сертифицирванных СКЗИ нет, с орг мерами также, защищайтесь не хочу. Лучше уж так, чем как последние два года.

    Тем более странно слышать это от сотрудника компании-интегратора, которая поднимается как раз на волне защиты ПДн и первая же защитила и аттестовала очень крупный НПФ. 🙂

    Алексей, наивно думать, что президент отслеживает все изменения законодательства. Даже по своим поручениям он не может оценить последствия всех поправок. Максимум что его может интересовать по ПДн — соответствие Европейской конвенции — есть прогресс в приведение в соответствие или нет.
    А про интегратора, здесь все просто. Не будет ПДн — будет что-то другое. Интеграторы ничего не потеряют. Зато убогой темы не будет

    Алексей Т.:

    Евгений, наивно думать, что президент вообще отслеживает изменения в законодательстве. 😉 И что он вообще знает о законодательстве в нашей стране. И соответствие Европейской конвенции его интересует только в моменты встреч с европейцами. Это демонстрируют хотя бы попытки перестать исполнять решения ЕСПЧ 😉 Почему бы также и от конвенции не отказаться? 😉
    И за интеграторов я не боюсь. А тема не настолько убогая, как ее в последнее время выставляют безопасники. У любой убогой задачи есть несколько красивых решений.

    vlad:

    Так, не балуйтесь Евгений, а то руководство станет обижаться и введет цензуру в вашем блоге! 🙂

    Единственное руководство этого блога я сам.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Яндекс.Метрика