Дорогу осилит идущий или что мы плинируем делать с 152-ФЗ

Уже не секрет, что своими действиями (начиная с письма президенту), мы с вами, уважаемые коллеги, сумели привлечь внимание к проблеме чиновников из Минкомсвязи. Нас  (Пять экспертов) на прошлой неделе пригласили на встречу, на которой сообщили, что закон подписан и ничего изменить мы не можем, с ним придется жить. Однако, работа над законом будет продолжена и нам предложили присоединиться этой работе. Понятное дело, дорога будет долгой и непростой. Однако, формальные общественные организации так и не проявили интерес к происходящему. Чтож, если они не желают заниматься ключевой проблемой современного ИБ в России, придется нам вести эту работу самим.

Viam supervadet vadens – дорогу осилит идущий.

Глубоко убежден, что для работы должна быть привлечена общественность, в прямом смысле этого слова. Очевидно, что проводить совещания с привлечением всех желающих мы не сможем, но вот информировать вас о наших активностях в направлении 152-ФЗ и прислушиваться к вашему мнению мы сможем. Поэтому сегодня во всех блогах «пяти экспертов» будет опубликована информация по текущему положению дел.


11 правил, которые нужно соблюдать, если вы входите в судебный процесс, касающийся вопросов информационной безопасности

Итак, коллеги из Минкомсвязи попросили нас дать конструктивные предложения. Мы выработали 5 пунктов:

1. Внести в КоАП и УК РФ ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.

2. Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».

3. Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР, РСС и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.

4. Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.

5. Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие фактов утечек ПДн субъектов.

Про первые 4 пункта напишут коллеги. Мне же кажется наиболее важным пункт №5. Дело в том, что практики выдвижения обязательных для операторов ПДн технических требований в цивилизованном мире нет. Держать дисциплину выполнения технических требований среди всех операторов невозможно. Поэтому применяется практика обязательности уведомления субъектов, чьи данные, например, утекли. Контролировать дисциплину в этом вопросе значительно проще. Тот поток информации об утечках, который выдают западные компании связаны именно с ответственность менеджмента за скрытие такой информации.

Правильное описание ответственности за сокрытие и контроль органа исполнительной власти снимает необходимость выставлять технические требования вовсе.

Евгений, скажите, а как повлияет подписанный закон на различные краудсорсинговые проекты? Станет ли им жить труднее от этого закона?

[Ответить]

Царев Евгений Reply:

Смотря какой проект. Но в целом для них ничего принципиально не должно поменяться.

[Ответить]

  • Your style is rally unique in comparison to other people I have
    read stuff from. Thank you for posting when you’ve got the opportunity,
    Guess I’ll just book mark this page.

    [Ответить]

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *