Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
10.6.10
Документы ЦБ/АРБ утверждены
Свершилось - документы нашей рабочей группы АРБ/ЦБ утверждены. Их согласовали ФСТЭК, ФСБ и РКН. Также присоединилась ассоциация региональных банков "Россия".
Только мне показалась веселой фраза "... стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение об их введении"?
И опять же, осталось объяснить почему, если я решу выполнять требования документов, принятые АРБ (негосударственной некоммерческой организацией), то могу не выполнять требования документов, разработанных во исполнение постановления правительства РФ №781?
Все таки юридический статус отраслевых стандартов пока висит в воздухе...
Joky, мероприятия (организационно-правовые) почти такие же что и в 781 (они не противоречат друг другу) - разница только в подходе классификации, модели угроз и мер защиты.
Главный вопрос - где утвержденные доки? Если проекты, которые висели в интернете стали документами, то они не противоречат 781, и по-моему даже несколько превышают требования 58 приказа. ЗАчем городили огород пока непонятно, посмотрим, поработаем и с ними. :-)
joky: У отраслевого стандарта нет никакого статуса, о чем ЦБ постоянно говорит на мероприятиях. Вы просто принимаете документы как стандарт организации и тогда для вас они становятся обязательными. Если не принимаете, то действуете в рамках документов регуляторов - нынешних и будущих.
Спрошу по аналогии. Если АРБ разработает свой отраслевой КоАП и банковская организация его примет в качестве обязательного для себя, она уже может не руководствоваться официальным КоАП, то есть он на нее не будет распространяться?
Вот в проекте Резника например есть такое дополнение: "Федеральными законами, определяющими случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных, государственные органы, в пределах своих полномочий, могут наделяться правом принимать нормативные правовые акты по отдельным вопросам обработки персональных данных".
Какой-никакой, но все таки юридически правильный путь для создания отраслевых стандартов. Вот только планируемый к вступлению в силу 1 июня проект изменений, насколько понимаю, благополучно был отложен до осени, и дай бог будет принят хотя бы к декабрю.
Сейчас же есть требование ПП РФ №781 "2. ФСТЭК утвердить ... нормативные правовые акты и методические документы...". Но все почему то считают, что согласование каких-то там документов заместителями начальников и начальниками управлений это то же самое что _утвердить_? А как же слова, что нормативные акты должны быть подписаны только директором ФСТЭК?
И кстати, кем были согласованы документы АРБ, все тот же достопочтенный "Начальник 2-го управления ФСТЭК А.В. Куц"?
КоАП - это федеральный закон. ФОИПы и отраслевые регуляторы не имеют права разрабатывать и вводить в действие ФЗ - это прерогатива законодательной, а не исполнительной власти.
Что касается ФСТЭК, то п.2 ПП-781 "утвердить" касается и документов ЦБ ;-) Их утвердили ;-)
Поздравляю!
ОтветитьУдалитьПервый шаг сделан.
Все остальные, думаю, будут "слизывать" с ваших доков.
Только мне показалась веселой фраза "... стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение об их введении"?
ОтветитьУдалитьИ опять же, осталось объяснить почему, если я решу выполнять требования документов, принятые АРБ (негосударственной некоммерческой организацией), то могу не выполнять требования документов, разработанных во исполнение постановления правительства РФ №781?
Все таки юридический статус отраслевых стандартов пока висит в воздухе...
Joky, мероприятия (организационно-правовые) почти такие же что и в 781 (они не противоречат друг другу) - разница только в подходе классификации, модели угроз и мер защиты.
ОтветитьУдалитьГлавный вопрос - где утвержденные доки? Если проекты, которые висели в интернете стали документами, то они не противоречат 781, и по-моему даже несколько превышают требования 58 приказа. ЗАчем городили огород пока непонятно, посмотрим, поработаем и с ними. :-)
ОтветитьУдалитьBaevsky пишет...
ОтветитьУдалитьВсе остальные, думаю, будут "слизывать" с ваших доков.
Не совсем "слизали" - http://www.a-datum.ru/forum/viewtopic.php?f=49&t=371 :-D
Алексей Т. пишет...
ЗАчем городили огород пока непонятно, посмотрим, поработаем и с ними.
Подождите, пока опубликуют ПП330-2010 - тогда поймете ;)
joky: У отраслевого стандарта нет никакого статуса, о чем ЦБ постоянно говорит на мероприятиях. Вы просто принимаете документы как стандарт организации и тогда для вас они становятся обязательными. Если не принимаете, то действуете в рамках документов регуляторов - нынешних и будущих.
ОтветитьУдалитьВопрос все таки не поняли.
ОтветитьУдалитьСпрошу по аналогии.
Если АРБ разработает свой отраслевой КоАП и банковская организация его примет в качестве обязательного для себя, она уже может не руководствоваться официальным КоАП, то есть он на нее не будет распространяться?
Вот в проекте Резника например есть такое дополнение:
"Федеральными законами, определяющими случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных, государственные органы, в пределах своих полномочий, могут наделяться правом принимать нормативные правовые акты по отдельным вопросам обработки персональных данных".
Какой-никакой, но все таки юридически правильный путь для создания отраслевых стандартов.
Вот только планируемый к вступлению в силу 1 июня проект изменений, насколько понимаю, благополучно был отложен до осени, и дай бог будет принят хотя бы к декабрю.
Сейчас же есть требование ПП РФ №781 "2. ФСТЭК утвердить ... нормативные правовые акты и методические документы...". Но все почему то считают, что согласование каких-то там документов заместителями начальников и начальниками управлений это то же самое что _утвердить_? А как же слова, что
нормативные акты должны быть подписаны только директором ФСТЭК?
И кстати, кем были согласованы документы АРБ, все тот же достопочтенный "Начальник 2-го управления ФСТЭК А.В. Куц"?
КоАП - это федеральный закон. ФОИПы и отраслевые регуляторы не имеют права разрабатывать и вводить в действие ФЗ - это прерогатива законодательной, а не исполнительной власти.
ОтветитьУдалитьЧто касается ФСТЭК, то п.2 ПП-781 "утвердить" касается и документов ЦБ ;-) Их утвердили ;-)