- уточнить понятия и термины
- сроки хранения и уничтожения ПДн должны определяться договором с субъектом, если иное не установлено законодательством
- разрешить обработку ПДн, предшествующую заключению договора
- уточнить случаи, когда согласие на обработку не требуются
- дополнить случаи, когда обеспечение конфиденциальности не требуется
- определить порядок адекватности защиты прав субъектов при трансграничной передаче
- ограничить права субъекта на получение сведений об операторе наличием оснований полагать, что права субъекта нарушены
- конкретизация условий обработки ПДн при директ-маркетинге
- ограничение обязанности оператора сообзать субъекту об обработке ПДн, полученных от третьих лиц
- исключение требования обязательного использования шифрования
- обязательные требования по защите ПДн распространять только на государственные ИСПДн
- разрешить операторам негосударственных ИСПДн самостоятельно определять меры защиты
- разработка отраслевых стандартов по защите ПДн под эгидой Минсвязи
- распространение на ИСПДн режима защиты коммерческой, профессиональной и иной, охраняемой законом тайны
- уточнение полномочий регуляторов в части контроля и надзора
- уточнение порядка и сроков уничтожения
- включить в содержание уведомления в РКН сведений об используемых шифровальных средствах
- обязать РКН информировать ФСБ и ФСТЭК о мерах, принимаемых операторами по безопасности ПДн
- отодвинуть срок вступления в силу ст.25.3
- исключить требование получения лицензии на ТЗКИ для собственных нужд
- внести изменения в ФЗ-294 в части определения предмета, срокой и оснований проверок в области ПДн (завтра здесь будет анализ проекта административного регламента РКН по данному вопросу - много "приятного")
- обеспечить публичность обсуждения технических документов ФСТЭК и ФСБ до их принятия, а не после
- учитывать международные стандарты по ИБ
- разработать совместный регламент проверок РКН, ФСТЭК и ФСБ.
Рекомендации парламентский слушаний
ЗЫ. Те, кому интересны не сканы, а DOCовские версии могут их скачать по ссылкам:
- описание слушаний
- ключевой доклад Гришанкова М.И.
- все раздаточные материалы
- рекомендации (тем, кто не зарегистрирован на scribd)
Четверокнижие пощадили, практически.
ОтветитьУдалитьЕще год будем создавать новую отраслевую нормативную базу по защите ИСПДн. Когда же работать начнем?
ОтветитьУдалитьРигель пишет...
ОтветитьУдалитьЧетверокнижие пощадили, практически.
См. доклад Гришанкова (он шел первым):
"Правительство своим Постановлением от 17 ноября 2007 г. N 781 утвердило Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в котором заложило достаточно жесткие требования к информационным системам персональных данных (например, обязательное использование технических и программных средств защиты информации, прошедших оценку соответствия – пункт 5), поставило оператора в полную зависимость от ФСТЭК и ФСБ (они определяют возможные каналы утечки информации – пункт 9, методы и способы защиты, а также достаточность принятых мер – пункт 3). Кроме того, данное постановление содержало поручение Минкомсвязи, ФСТЭК и ФСБ установить порядок проведения классификации информационных систем. А из этого порядка, утвержденного совместным приказом и обязательного для исполнения, «проросли» акты ФСТЭК и ФСБ, непонятного правового статуса."
Текст проекта решения еще не доработан по результатам сушаний (это тот вариант, что шел в раздатке перед слушаниями)
Складывается впечатление (в том числе по списку предложений/рекомендаций и по докладам) что попытки внести изменения, прибраться так сказать приняли околопанический бессистемный характер. Сброшены предложения от разных источников но последнее время не видно общей целевой схемы работы 152 ФЗ и соответственно не всегда проглядывается связь рекомендаций с ФЗ с требованиями и т.п.
ОтветитьУдалитьК тому же некоторые обоснования изменений противоречат духу ФЗ и ЕК. Действительно начинается борьба с тех. требованиями по ЗИ по мелочам, а общего алгоритма нет !
В мелочах мы зароемся, господа.
По материалам слушаний осталось впечатление "лебедь раком щуку"
ОтветитьУдалитьПолучение лицензии на ТЗКИ исключат только в случае если ЗИ осуществляется для собственных нужд или исключат и в случае когда деятельность по лицензируемому виду деятельности не является предпринимательской? Имхо, надо внести оба этих случая.
Разделение полномочий при проверке регуляторами четко нигде так и не прописаны. Имеет ли например право Роскомнадзор проверять меры по защите информации, а если имеет, то до какой степени? В проекте адм. регламента РКН конечно написано, что вопросы ОБИ находятся в компетенции ФСТЭК и ФСБ, и РКН не проверяет то что не находится в его компетенции, однако в реальности это не так и четкой границы нет.
Некоторые рекомендации просто лоббируют интересы своей отрасли, не учитывая других.
Предложения РСПП, например с определением термина ПДн, с внесением термина "обработчик", ещё больше запутают операторов, т.к. "вред физическому лицу" понятние относительное и не четкое, если смотреть по антикоррупционным факторам, то почти все предложения требуют доработки (более четких определений)
toparenko пишет:
ОтветитьУдалить> См. доклад Гришанкова
Вау! Комитет по безопасности правильную позицию еще в пятом годе занимал (когда заключение законопроект о ПДн писал), а толку?
+1
ОтветитьУдалитьК тому же хотелось бы чтобы предложения/рекомендации были классифицированы: вопросы по самому ФЗ, вопросы тех защиты, лицензирования и т.п. но для этого эти направления хорошо бы увидеть в общей схеме работы ФЗ.
Ригель пишет... а толку?
ОтветитьУдалитьА "хто" сказал, что уже все решено??? Это еще только самое начало процесса - и не факт, что он будет доведен до конца или не повернут "с точностью наоборот"...
Ну так а что операторам сейчас то делать???
ОтветитьУдалитьЖдать пока примут изменения и пока отрасль каждая примет свои стандарты?
А ФЗ 152 то принят и РСН придти может в любой момент!
На что мы будем ссылаться? На эти рекомендации?
Я думаю операторам не нужно "обольщаться" пока только намерения чего то изменить. "Живем" по старому... Скорее всего сильные операторы будут идти по пути юридических дебрей а слабые будут пытаться выполнять что есть.
ОтветитьУдалитьГоспода, хочу все же напомнить о чем обмолвился Гришанков в самом конце слушаний - о необходимости принятия какого-либо значимого решения до конца года. Если я правильно понял, то как минимум это будет решение о переносе сроков.
ОтветитьУдалитьВ текущей ситуации как обычно готовиться надо к худшему, а надеяться на лучшее (правда, врядли перенос сроков можно назвать лучшим). Есть все же надежда, что адекватная, но не регламентная, защита ПД позволит избавиться от нападок РКН.
Простой перенос сроков проблемы не решит а только отодвинет... нужно этапность вводить задачи и цели...
ОтветитьУдалитьНа мой взгляд не нужно было разом все вопросы решать.
Разбить на этапы:
1 - регистрация операторов с целями связями и т.п.
2 - уточнить порядок их работы юридические вопросы
3 - проработать тех меры и т.п.
Это ГосДума и ФЗ. И решать вопросы по частям там не принято. В новую версию ФЗ должны войти ВСЕ значимые предложения. Не войдут - ждать еще год-два пока их внесут. То, что видится из Интернет по прочтению документов, не то, что есть на самом деле ;-) Есть еще как минимум точка зрения тех, кто был на слушаниях ;-) И еще точка зрения тех, кто участвует в закулисных переговорах и разработке формулировок. Ведь то, что видно в рекомендациях - это только вершина айсберга.
ОтветитьУдалить>Еще год будем создавать новую
ОтветитьУдалить>отраслевую нормативную базу
>по защите ИСПДн.
>Когда же работать начнем?
Сюрприз, но мы уже работаем. Защищая разную информацию по-разному. В том числе и ПДн.
спасибо за вордовские документы!
ОтветитьУдалитьСудя по тому, что в приведенном перечне рекомендаций содержится несколько различных предложений по отдельным "сложным" пунктам закона, все это увязнет, либо ограничится легкими косметическими правками. Что касается технических требований - думаю банки и телеком в итоге "отмажут" по отраслевому признаку. Ну не верю я, что откажутся от сертификации СЗИ и аттестации систем.
ОтветитьУдалить