Выложили на сайте Госдумы НОВЫЙ текст законопроекта по персданным, который 1-го июля будут рассматривать во втором (и не дай, Президент, в третьем) чтении. Помимо коренной переработке 19-й статьи (даже не в том варианте, который я видел вчера), из текущего варианта пропали некоторые ранее уже согласованные моменты. Например, раньше обработка данных, подпадающих под 115-ФЗ, попадала в исключения, на которые не распространяется ФЗ-152. а сейчас это исключение исчезло ;-(
Но вернемся к ст.19. Давно я не видел столь грамотно проработанных текстов от наших регуляторов. Кто там их консультировал, интересно. Итак ключевые моменты статьи, растянувшейся на 8 (!) страниц:
Редко регуляторы от меня дожидаются похвалы, но сейчас я снимаю перед ними шляпу. Они предусмотрели почти все, чтобы занимательная арифметика трехлетней давности воплотилась в жизнь.
Честно говоря, данные поправки перечеркнули все те благие начинания, к которым были причастны многие читатели этого блога (включая и меня), входящие в разные рабочие группы и комитеты. Да, с точки зрения защиты прав оператора ПДн ситуация стала полегче, но с точки зрения защиты самих ПДн ситуация ухудшилась по сравнению с 58-м приказом. Теперь никаких виляний в сторону и попыток творческого подхода к чтению законов. Ситуация изменилась; и в худшую сторону.
ЗЫ. Сейчас именно тот случай, когда я уже не ратую за скорейшее принятие этого законопроекта. Лучше бы в пятницу его завернули и отложили до осени. Иначе принятый в спешке закон такого шороха всем даст, что мало не покажется.
Но вернемся к ст.19. Давно я не видел столь грамотно проработанных текстов от наших регуляторов. Кто там их консультировал, интересно. Итак ключевые моменты статьи, растянувшейся на 8 (!) страниц:
- Оператор обязан защищать ПДн.
- Моделирование угроз теперь обязательно на уровне закона.
- Средства защиты должны пройти оценку соответствия в установленном порядке.
- Уровни защищенности и требования по защите устанавливает Правительство, а уже в следующем пункте Правительство делегирует это право ФСТЭК и ФСБ.
- Госорганы, органы власти, ЦБ, внебюджетные фонды имеют право создавать модели угроз. Они должны быть согласованы с ФСТЭК и ФСБ.
- Ассоциации, союзы и иные объединения операторов могут определить дополнительные угрозы. Но уменьшить ни-ни. Это угрозы тоже должны быть согласованы с ФСТЭК и ФСБ, но... в порядке, установленном Правительством. Заметили нюанс? Для госорганов такого порядка не надо. А раз у нас порядка, согласованного Правительством, нет, то... правильно, ассоциации и союзы имеют право, но не могут им воспользоваться. Регуляторы умывают руки - демократия налицо.
- Меры по защите не могут определять никто кроме ФСТЭК и ФСБ.
- В прежнем варианте контроль и надзор со стороны ФСТЭК и ФСБ был разрешен только в отношении госорганов. Но могли ли регуляторы упустить такую кормушку? Конечно же нет. И в текущем варианте ФСТЭК и ФСБ с учетом значимости и содержания ПДн решением Правительства могут быть наделены полномочиями по контролю и надзору негосударственных информационных систем.
Редко регуляторы от меня дожидаются похвалы, но сейчас я снимаю перед ними шляпу. Они предусмотрели почти все, чтобы занимательная арифметика трехлетней давности воплотилась в жизнь.
Честно говоря, данные поправки перечеркнули все те благие начинания, к которым были причастны многие читатели этого блога (включая и меня), входящие в разные рабочие группы и комитеты. Да, с точки зрения защиты прав оператора ПДн ситуация стала полегче, но с точки зрения защиты самих ПДн ситуация ухудшилась по сравнению с 58-м приказом. Теперь никаких виляний в сторону и попыток творческого подхода к чтению законов. Ситуация изменилась; и в худшую сторону.
ЗЫ. Сейчас именно тот случай, когда я уже не ратую за скорейшее принятие этого законопроекта. Лучше бы в пятницу его завернули и отложили до осени. Иначе принятый в спешке закон такого шороха всем даст, что мало не покажется.
