Выложили на сайте Госдумы НОВЫЙ текст законопроекта по персданным, который 1-го июля будут рассматривать во втором (и не дай, Президент, в третьем) чтении. Помимо коренной переработке 19-й статьи (даже не в том варианте, который я видел вчера), из текущего варианта пропали некоторые ранее уже согласованные моменты. Например, раньше обработка данных, подпадающих под 115-ФЗ, попадала в исключения, на которые не распространяется ФЗ-152. а сейчас это исключение исчезло ;-(
Но вернемся к ст.19. Давно я не видел столь грамотно проработанных текстов от наших регуляторов. Кто там их консультировал, интересно. Итак ключевые моменты статьи, растянувшейся на 8 (!) страниц:
Редко регуляторы от меня дожидаются похвалы, но сейчас я снимаю перед ними шляпу. Они предусмотрели почти все, чтобы занимательная арифметика трехлетней давности воплотилась в жизнь.
Честно говоря, данные поправки перечеркнули все те благие начинания, к которым были причастны многие читатели этого блога (включая и меня), входящие в разные рабочие группы и комитеты. Да, с точки зрения защиты прав оператора ПДн ситуация стала полегче, но с точки зрения защиты самих ПДн ситуация ухудшилась по сравнению с 58-м приказом. Теперь никаких виляний в сторону и попыток творческого подхода к чтению законов. Ситуация изменилась; и в худшую сторону.
ЗЫ. Сейчас именно тот случай, когда я уже не ратую за скорейшее принятие этого законопроекта. Лучше бы в пятницу его завернули и отложили до осени. Иначе принятый в спешке закон такого шороха всем даст, что мало не покажется.
Но вернемся к ст.19. Давно я не видел столь грамотно проработанных текстов от наших регуляторов. Кто там их консультировал, интересно. Итак ключевые моменты статьи, растянувшейся на 8 (!) страниц:
- Оператор обязан защищать ПДн.
- Моделирование угроз теперь обязательно на уровне закона.
- Средства защиты должны пройти оценку соответствия в установленном порядке.
- Уровни защищенности и требования по защите устанавливает Правительство, а уже в следующем пункте Правительство делегирует это право ФСТЭК и ФСБ.
- Госорганы, органы власти, ЦБ, внебюджетные фонды имеют право создавать модели угроз. Они должны быть согласованы с ФСТЭК и ФСБ.
- Ассоциации, союзы и иные объединения операторов могут определить дополнительные угрозы. Но уменьшить ни-ни. Это угрозы тоже должны быть согласованы с ФСТЭК и ФСБ, но... в порядке, установленном Правительством. Заметили нюанс? Для госорганов такого порядка не надо. А раз у нас порядка, согласованного Правительством, нет, то... правильно, ассоциации и союзы имеют право, но не могут им воспользоваться. Регуляторы умывают руки - демократия налицо.
- Меры по защите не могут определять никто кроме ФСТЭК и ФСБ.
- В прежнем варианте контроль и надзор со стороны ФСТЭК и ФСБ был разрешен только в отношении госорганов. Но могли ли регуляторы упустить такую кормушку? Конечно же нет. И в текущем варианте ФСТЭК и ФСБ с учетом значимости и содержания ПДн решением Правительства могут быть наделены полномочиями по контролю и надзору негосударственных информационных систем.
Редко регуляторы от меня дожидаются похвалы, но сейчас я снимаю перед ними шляпу. Они предусмотрели почти все, чтобы занимательная арифметика трехлетней давности воплотилась в жизнь.
Честно говоря, данные поправки перечеркнули все те благие начинания, к которым были причастны многие читатели этого блога (включая и меня), входящие в разные рабочие группы и комитеты. Да, с точки зрения защиты прав оператора ПДн ситуация стала полегче, но с точки зрения защиты самих ПДн ситуация ухудшилась по сравнению с 58-м приказом. Теперь никаких виляний в сторону и попыток творческого подхода к чтению законов. Ситуация изменилась; и в худшую сторону.
ЗЫ. Сейчас именно тот случай, когда я уже не ратую за скорейшее принятие этого законопроекта. Лучше бы в пятницу его завернули и отложили до осени. Иначе принятый в спешке закон такого шороха всем даст, что мало не покажется.
51 коммент.:
Где принимают ставки, что третьего в пятницу не будет? Я бы поставил.
В любой букмекерской конторе.
А что изменится-то? Вот тебе и революция. Смысл отраслевых стандартов полностью нивелирован, ущерб субъекту - полностью исключен, а все ЛООПДППО по идее попадают на лицензию по ТЗКИ, поскольку деятельность по защите ПДн они должны будут вести не на основе стандартов (идет четкий отсыл на статью 19) и не в собственных интересах (нуждах), а в интересах другого лица - со всеми вытекающими.
Если смотреть на закон и не смотреть на РД регуляторов (что, конечно, сложно - я понимаю), то баланс интересов операторов и субъектов продолжает стремиться к нормали. Был вдруг перевес в пользу первых - вернули.
Алексей, ты пока не торопись. Все еще может поменяться. Как уже поменялось на этой неделе один раз.
Ригель, нет баланса ;-( Он есть в Конвенции, но не в ФЗ-152
Я в более широком смысле. Вот если абстрагироваться пока от конкретики РД, государство устанавливает минимальные требования, выше которых можно, ниже нет - это плохо? Как принцип.
Ну в США принцип иной - делай что хошь, но если по твоей вине нанесен ущерб субъектам, к тебе придут и накажут.
В Европе подход промежуточный. Защищаться должен. Но решай сам, как. Уполномоченный орган РЕКОМЕНДУЕТ, но не обязывает различные стандарты.
Примерил это на ПДД, занятно.
"В США государство не определяет, на какой сигнал ездить, а если что-то случается, нагревает на этом руки.
В Европе государство не рекомендует ездить на красный, но пусть все решают сами."
Пешеходу это должно нравиться?
Если его не давят, ему пофигу. А если давят, то он жалуется и нарушителю мало не покажется. А у нас накажут за непристегнутый ремень, а за наезд можно отмазаться ;-(
Это правильная претензия, но не к ФЗ (ПДД).
От чтения данного документа остается какое-то мерзостное ощущение. Не хочется верить в то, что его могут принять в такой форме.
p.s. Там ещё Банк России пролез в 4 статью. Даст ли такая формулировка возможность игнорировать 19 статью?
точнее не игнорировать, а вольно интерпретировать
В этом пункте ЦБ дается право создавать свою модель угроз, РАСШИРЯЮЩУЮ ФСТЭКовскую/ФСБшную. Про меры защиты там ни слова ;-( А вот меры по защите могут разрабатывать АРБ, союзы и другие объединения. Но ЦБ не относится ни к одним из них. Но зато он свой СТО проводит под закон об НПС. Так что хитросплетений масса ;-(
Кто-нить ссылку то на законопроект может дать?
Да здесь он... http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02
Третьего чтения не будет - во всех сопроводиловках идет "принять во втором".
Алексей, я и не тороплюсь - помирать нам рановато :) Но то, что опубликовано, повергает меня в определенное состояние, которое мне не нравится.
Ригелю отвечу у себя.
Алексей, а где в тексте написано про оценку соответствия, в упор не вижу (пункт 3 поста)?
Я взял текст с сайта госдумы, у Вас другой текст?
И про моделирование угроз не вижу...
34-я страница. 3-й пункт, вносящий изменения в ст. 19.
Все там есть, может, не то взяли?
простите, нашел... без 1/2 литра...
Моделирование угроз - это оценка рисков на самом деле. Оценка рисков - это единственный нормальный подход к обеспечению безопасности.
"Ай-яй-яй, какой ужас: государство не разрешает нам защищать ПДн, как вздумается левой ноге, а хочет обоснованного с т.зр. оценки рисков!".
Субъекты в моем лице [недоум]евают.
РИГЕЛЬ - СУПЕР РЕСПЕКТ!!!!
Одного не пойму.
1. Разрабатывался закон о полиции. Сделели всенародное обсуждение - т.к. касается прав всего народа. ОК.
2. Законопроект об образовании - аналогично.
3. закон о персональных данных, стоящий в Конституции рядом с двумя предыдущими требованиями (безопасность, ограничение прав, образование) даже никто всенародно пообсуждать не предлагает. Чай бояться лоббисты народа...
Оторвать регуляторов от кормушки очень сложно. Декларация о рыночной экономике - бред, почему не используют рыночные механизмы в ЗоПДн? Это деньги, регуляторов и интеграторов. Свой кусок они не отдадут.
Про гаранта конституции, надо полагать, имелось в виду его указание разрулить тему к 1 августу?
ZZubra: а скажите, какой-то толк от всех этих обсуждений был? Отвечу за Вас - не был.
Оценка рисков - хороший подход к обеспечению безопасности. Но в прадигме "защита данных ради данных" это бессмысленно. Основной критерий оценки рисков - вероятность утечки/искажения/уничтожения - остался неизменным, и прописан в законе. А должен быть - ущерб субъекту.
Вред и ущерб - не одно и то же. И потом - этот вред встречается вскользь, а обязательные методы защиты - строго установлены. Нафига тут моделирование - даже сами разработчики не знают. Наверное, чтоб создать иллюзию ИБ.
Вот его указание "Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных."
Вот тут Алексей Вы не правы. Те правки в ФЗ о полиции какие я написал приняли. Хоть и немножко изменив формулировку.
И к изменениям в закон об образовании в связи с ЕГЭ удалось приложить руку.
Так что не надо отпихивать субъекта от возможности влиять на реализацию его конституционных прав.
ZZubra: Может быть. Но разве от поправок стало лучше? Решились все проблемы и с полицией, или с ЕГЭ? Они позволяют думать что мы влияем на процесс путем принятия незначительных косметических поправок, не меняющих сути. Мы – радуемся. Ваши поправки привнесли свщественную новизну в сложившуюся систему?
Шауро Евгению: Устранение необоснованных обременений. Ключевое слово – необоснованных. То есть если обоснованны – то можно. Чьи обоснования наиболее веские? Ясен пень. Так что это поручение – прогон.
Лучше бы закон отложили на год как с сделали ТО. А после выборов страна вернется к обсуждению.
мне вот не очень понятно, вот эти все лоббисты-либералисты у них вообще никакой власти нет чтоли? или как?
Спешка принятия закона вызвана опасением регуляторов, что ДАМ умерит их аппетиты.
Алексей Волков писал:
> Основной критерий оценки рисков - вероятность
Переверни страницу, второй - опасность ))
У меня может и глупый вопрос, но для собственника-владельца основной - чего стоит забить болт на этот закон для предприятия, пдн в котором только от работников и посетителей в бюро пропусков?
pushkinist: В Правительстве есть такой лоббист, что либералы вместе взятые отдыхают ;-(
Сергею: Есть шансы, что ДАМ умерит. Главное, пораньше.
Ригелю: Ты прав, но... результат моделирования в текущем варианте никого не волнует. Перечень защитных мер УЖЕ разработан и предлагается как обязательный. Ты можешь только его расширить, но не уменьшить.
e1am0: Ничего не стоит. Многие так и делают. Но многие все-таки законопослушны.
>e1am0: Ничего не стоит. Многие так и делают.
Не соглашусь. Это будет очень классный повод для наезда на контору, который может привести к последствиям вплоть до закрытия - поэтому если есть явные конкуренты либо недоброжелатели среди органов власти, то лучше не рисковать. Хотя понятно, что никому не охота просто "для галочки" покупать какие-нибудь Secret Net'ы пусть даже и в небольшом количестве.
Закрыть контору за это нельзя. Можно максимум, приостановить деятельность, и то - это крайний случай и то, по части ФСТЭК/ФСБ. На моей памяти такого не было ни разу. Ни один суд такого решения не примет - очень уж оно спорное. И оспаривается легко.
Второе чтение Резника - завтра. http://www.duma.gov.ru/news/273/87088/
"это будет очень классный повод для наезда на контору, который может привести к последствиям вплоть до закрытия - поэтому если есть явные конкуренты либо недоброжелатели среди органов власти, то лучше не рисковать."
таких классных поводов кроме персональных данных 9000+, и те проще в сто раз.
ни разу за это никого не закрывали
Когда у них там рабочий день заканчивается, чтобы понять статус по документу.
Гарант то сейчас во Владике с айфоном.
Алексею Волкову
С каких это пор критерий риска - вероятность? Риск - это вероятный ущерб. И попробуйте его посчитать количественно.Только субъективно - низкий, средний, высокий. Или в диссертациях - "страшные" формулы с некорректными условиями применения.
Ущерб считается элементарно. Только у безопасников исходных данных нет. Они есть у финансистов, с которыми безопасники не умеют дружить или договариваться
А вообще - у Вас замечательный блог. Жаль, раньше он мне не попался.
Ну он не единственный. Вот тут (http://zlonov.ru/%D0%B1%D0%BB%D0%BE%D0%B3%D0%B8/) еще много ссылок на российские блоги.
Я так понимаю, законопроект принят в 3 чтении и направлен в СФ (http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02).
Особо понравилась ст. 19 (ссылаюсь на вариант к 3 чтению):
ч. 2, п. 2 -- модель угроз случайно выпала;
ч. 2, пп. 3, 4 -- видимо, подразумевается сертификация и *аттестация*;
ч. 9 -- "без права ознакомления" -- на это интересно будет посмотреть.
Вопрос к Алексею Лукацкому: "Ущерб считается элементарно" -- как можно оценить ущерб, нанесенный субъекту персональных данных? Для меня, например, разглашение медицинской информации (да хоть всей карточки) никакого особого ущерба не нанесет (ну разве что моральный), а для кого-то ущерб может оказаться весьма существенным.
Так ущерб нельзя считать "вообще". Считать надо в каждом конкретном случае. В вашем случае он равен нулю. Кто-то посчитает, что ущерб равен миллиону рублей. Моральный ущерб практически никогда не обосновывается, в отличие от материального.
Но, если честно, про ущерб я писал неприменительно к ПДн. По ПДн я всегда считал и считаю, что ущерба субъекту почти нет (за редким исключением).
Алексей, добрый день!
Приведу свое мнение о толковании новых статей ФЗ:
Статья 18.1. закрепляет свободу Оператора в отношении перечня мер. Иное предусматривается только ФЗ. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
Далее, здесь же устанавливается, что Правительство устанавливает перечень мер необходимых для муниципальных и государственных операторов.
Название статьи 18.1 и нормы, содержащиеся в ней, имеют общий характер по отношению к статье 19 и ее нормам, которые являются специальными.
Следовательно, п. 3, п. 4 ст. 19 регулируют действия Правительства исключительно в рамках полномочий, установленных статьей 18.1., а именно в отношении государственных и муниципальных операторов.
И еще один аргумент: если иное устанавливается ФЗ, то в ФЗ же прямо должно об этом прописываться. При отсылочном характере нормы в ФЗ на иные нормативные акты, на мой взгляд, она вступает в противоречие с нормой об исключительной обязательности требований, содержащихся именно в ФЗ.
Отправить комментарий