22.10.2009

Результат парламентских слушаний

Вчера я описал парламентские слушания, прошедшие в Госдуме по теме персданных. Сегодня пора осветить предложения, которые могут "выйти в финал". Изначально предложений было с полторы сотни (их видно по вчерашним выложенным файлам). После обработки в ГосДуме осталось гораздо меньше, но, как мне кажется, они ключевые:

  1. уточнить понятия и термины
  2. сроки хранения и уничтожения ПДн должны определяться договором с субъектом, если иное не установлено законодательством
  3. разрешить обработку ПДн, предшествующую заключению договора
  4. уточнить случаи, когда согласие на обработку не требуются
  5. дополнить случаи, когда обеспечение конфиденциальности не требуется
  6. определить порядок адекватности защиты прав субъектов при трансграничной передаче
  7. ограничить права субъекта на получение сведений об операторе наличием оснований полагать, что права субъекта нарушены
  8. конкретизация условий обработки ПДн при директ-маркетинге
  9. ограничение обязанности оператора сообзать субъекту об обработке ПДн, полученных от третьих лиц
  10. исключение требования обязательного использования шифрования
  11. обязательные требования по защите ПДн распространять только на государственные ИСПДн
  12. разрешить операторам негосударственных ИСПДн самостоятельно определять меры защиты
  13. разработка отраслевых стандартов по защите ПДн под эгидой Минсвязи
  14. распространение на ИСПДн режима защиты коммерческой, профессиональной и иной, охраняемой законом тайны
  15. уточнение полномочий регуляторов в части контроля и надзора
  16. уточнение порядка и сроков уничтожения
  17. включить в содержание уведомления в РКН сведений об используемых шифровальных средствах
  18. обязать РКН информировать ФСБ и ФСТЭК о мерах, принимаемых операторами по безопасности ПДн
  19. отодвинуть срок вступления в силу ст.25.3
  20. исключить требование получения лицензии на ТЗКИ для собственных нужд
  21. внести изменения в ФЗ-294 в части определения предмета, срокой и оснований проверок в области ПДн (завтра здесь будет анализ проекта административного регламента РКН по данному вопросу - много "приятного")
  22. обеспечить публичность обсуждения технических документов ФСТЭК и ФСБ до их принятия, а не после
  23. учитывать международные стандарты по ИБ
  24. разработать совместный регламент проверок РКН, ФСТЭК и ФСБ.


Рекомендации парламентский слушаний

ЗЫ. Те, кому интересны не сканы, а DOCовские версии могут их скачать по ссылкам:

16 коммент.:

Ригель комментирует...

Четверокнижие пощадили, практически.

Анонимный комментирует...

Еще год будем создавать новую отраслевую нормативную базу по защите ИСПДн. Когда же работать начнем?

toparenko комментирует...

Ригель пишет...
Четверокнижие пощадили, практически.

См. доклад Гришанкова (он шел первым):
"Правительство своим Постановлением от 17 ноября 2007 г. N 781 утвердило Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в котором заложило достаточно жесткие требования к информационным системам персональных данных (например, обязательное использование технических и программных средств защиты информации, прошедших оценку соответствия – пункт 5), поставило оператора в полную зависимость от ФСТЭК и ФСБ (они определяют возможные каналы утечки информации – пункт 9, методы и способы защиты, а также достаточность принятых мер – пункт 3). Кроме того, данное постановление содержало поручение Минкомсвязи, ФСТЭК и ФСБ установить порядок проведения классификации информационных систем. А из этого порядка, утвержденного совместным приказом и обязательного для исполнения, «проросли» акты ФСТЭК и ФСБ, непонятного правового статуса."

Текст проекта решения еще не доработан по результатам сушаний (это тот вариант, что шел в раздатке перед слушаниями)

swan комментирует...

Складывается впечатление (в том числе по списку предложений/рекомендаций и по докладам) что попытки внести изменения, прибраться так сказать приняли околопанический бессистемный характер. Сброшены предложения от разных источников но последнее время не видно общей целевой схемы работы 152 ФЗ и соответственно не всегда проглядывается связь рекомендаций с ФЗ с требованиями и т.п.
К тому же некоторые обоснования изменений противоречат духу ФЗ и ЕК. Действительно начинается борьба с тех. требованиями по ЗИ по мелочам, а общего алгоритма нет !
В мелочах мы зароемся, господа.

Анонимный комментирует...

По материалам слушаний осталось впечатление "лебедь раком щуку"

Получение лицензии на ТЗКИ исключат только в случае если ЗИ осуществляется для собственных нужд или исключат и в случае когда деятельность по лицензируемому виду деятельности не является предпринимательской? Имхо, надо внести оба этих случая.

Разделение полномочий при проверке регуляторами четко нигде так и не прописаны. Имеет ли например право Роскомнадзор проверять меры по защите информации, а если имеет, то до какой степени? В проекте адм. регламента РКН конечно написано, что вопросы ОБИ находятся в компетенции ФСТЭК и ФСБ, и РКН не проверяет то что не находится в его компетенции, однако в реальности это не так и четкой границы нет.

Некоторые рекомендации просто лоббируют интересы своей отрасли, не учитывая других.
Предложения РСПП, например с определением термина ПДн, с внесением термина "обработчик", ещё больше запутают операторов, т.к. "вред физическому лицу" понятние относительное и не четкое, если смотреть по антикоррупционным факторам, то почти все предложения требуют доработки (более четких определений)

Ригель комментирует...

toparenko пишет:
> См. доклад Гришанкова

Вау! Комитет по безопасности правильную позицию еще в пятом годе занимал (когда заключение законопроект о ПДн писал), а толку?

swan комментирует...

+1
К тому же хотелось бы чтобы предложения/рекомендации были классифицированы: вопросы по самому ФЗ, вопросы тех защиты, лицензирования и т.п. но для этого эти направления хорошо бы увидеть в общей схеме работы ФЗ.

toparenko комментирует...

Ригель пишет... а толку?

А "хто" сказал, что уже все решено??? Это еще только самое начало процесса - и не факт, что он будет доведен до конца или не повернут "с точностью наоборот"...

Анонимный комментирует...

Ну так а что операторам сейчас то делать???
Ждать пока примут изменения и пока отрасль каждая примет свои стандарты?
А ФЗ 152 то принят и РСН придти может в любой момент!
На что мы будем ссылаться? На эти рекомендации?

swan комментирует...

Я думаю операторам не нужно "обольщаться" пока только намерения чего то изменить. "Живем" по старому... Скорее всего сильные операторы будут идти по пути юридических дебрей а слабые будут пытаться выполнять что есть.

Nikita Gergel комментирует...

Господа, хочу все же напомнить о чем обмолвился Гришанков в самом конце слушаний - о необходимости принятия какого-либо значимого решения до конца года. Если я правильно понял, то как минимум это будет решение о переносе сроков.

В текущей ситуации как обычно готовиться надо к худшему, а надеяться на лучшее (правда, врядли перенос сроков можно назвать лучшим). Есть все же надежда, что адекватная, но не регламентная, защита ПД позволит избавиться от нападок РКН.

swan комментирует...

Простой перенос сроков проблемы не решит а только отодвинет... нужно этапность вводить задачи и цели...

На мой взгляд не нужно было разом все вопросы решать.
Разбить на этапы:
1 - регистрация операторов с целями связями и т.п.
2 - уточнить порядок их работы юридические вопросы
3 - проработать тех меры и т.п.

Алексей Лукацкий комментирует...

Это ГосДума и ФЗ. И решать вопросы по частям там не принято. В новую версию ФЗ должны войти ВСЕ значимые предложения. Не войдут - ждать еще год-два пока их внесут. То, что видится из Интернет по прочтению документов, не то, что есть на самом деле ;-) Есть еще как минимум точка зрения тех, кто был на слушаниях ;-) И еще точка зрения тех, кто участвует в закулисных переговорах и разработке формулировок. Ведь то, что видно в рекомендациях - это только вершина айсберга.

Анонимный комментирует...

>Еще год будем создавать новую
>отраслевую нормативную базу
>по защите ИСПДн.
>Когда же работать начнем?

Сюрприз, но мы уже работаем. Защищая разную информацию по-разному. В том числе и ПДн.

Itha комментирует...

спасибо за вордовские документы!

AndrewZ комментирует...

Судя по тому, что в приведенном перечне рекомендаций содержится несколько различных предложений по отдельным "сложным" пунктам закона, все это увязнет, либо ограничится легкими косметическими правками. Что касается технических требований - думаю банки и телеком в итоге "отмажут" по отраслевому признаку. Ну не верю я, что откажутся от сертификации СЗИ и аттестации систем.