Выложили на сайте Госдумы НОВЫЙ текст законопроекта по персданным, который 1-го июля будут рассматривать во втором (и не дай, Президент, в третьем) чтении. Помимо коренной переработке 19-й статьи (даже не в том варианте, который я видел вчера), из текущего варианта пропали некоторые ранее уже согласованные моменты. Например, раньше обработка данных, подпадающих под 115-ФЗ, попадала в исключения, на которые не распространяется ФЗ-152. а сейчас это исключение исчезло ;-(
Но вернемся к ст.19. Давно я не видел столь грамотно проработанных текстов от наших регуляторов. Кто там их консультировал, интересно. Итак ключевые моменты статьи, растянувшейся на 8 (!) страниц:
Редко регуляторы от меня дожидаются похвалы, но сейчас я снимаю перед ними шляпу. Они предусмотрели почти все, чтобы занимательная арифметика трехлетней давности воплотилась в жизнь.
Честно говоря, данные поправки перечеркнули все те благие начинания, к которым были причастны многие читатели этого блога (включая и меня), входящие в разные рабочие группы и комитеты. Да, с точки зрения защиты прав оператора ПДн ситуация стала полегче, но с точки зрения защиты самих ПДн ситуация ухудшилась по сравнению с 58-м приказом. Теперь никаких виляний в сторону и попыток творческого подхода к чтению законов. Ситуация изменилась; и в худшую сторону.
ЗЫ. Сейчас именно тот случай, когда я уже не ратую за скорейшее принятие этого законопроекта. Лучше бы в пятницу его завернули и отложили до осени. Иначе принятый в спешке закон такого шороха всем даст, что мало не покажется.
Но вернемся к ст.19. Давно я не видел столь грамотно проработанных текстов от наших регуляторов. Кто там их консультировал, интересно. Итак ключевые моменты статьи, растянувшейся на 8 (!) страниц:
- Оператор обязан защищать ПДн.
- Моделирование угроз теперь обязательно на уровне закона.
- Средства защиты должны пройти оценку соответствия в установленном порядке.
- Уровни защищенности и требования по защите устанавливает Правительство, а уже в следующем пункте Правительство делегирует это право ФСТЭК и ФСБ.
- Госорганы, органы власти, ЦБ, внебюджетные фонды имеют право создавать модели угроз. Они должны быть согласованы с ФСТЭК и ФСБ.
- Ассоциации, союзы и иные объединения операторов могут определить дополнительные угрозы. Но уменьшить ни-ни. Это угрозы тоже должны быть согласованы с ФСТЭК и ФСБ, но... в порядке, установленном Правительством. Заметили нюанс? Для госорганов такого порядка не надо. А раз у нас порядка, согласованного Правительством, нет, то... правильно, ассоциации и союзы имеют право, но не могут им воспользоваться. Регуляторы умывают руки - демократия налицо.
- Меры по защите не могут определять никто кроме ФСТЭК и ФСБ.
- В прежнем варианте контроль и надзор со стороны ФСТЭК и ФСБ был разрешен только в отношении госорганов. Но могли ли регуляторы упустить такую кормушку? Конечно же нет. И в текущем варианте ФСТЭК и ФСБ с учетом значимости и содержания ПДн решением Правительства могут быть наделены полномочиями по контролю и надзору негосударственных информационных систем.
Редко регуляторы от меня дожидаются похвалы, но сейчас я снимаю перед ними шляпу. Они предусмотрели почти все, чтобы занимательная арифметика трехлетней давности воплотилась в жизнь.
Честно говоря, данные поправки перечеркнули все те благие начинания, к которым были причастны многие читатели этого блога (включая и меня), входящие в разные рабочие группы и комитеты. Да, с точки зрения защиты прав оператора ПДн ситуация стала полегче, но с точки зрения защиты самих ПДн ситуация ухудшилась по сравнению с 58-м приказом. Теперь никаких виляний в сторону и попыток творческого подхода к чтению законов. Ситуация изменилась; и в худшую сторону.
ЗЫ. Сейчас именно тот случай, когда я уже не ратую за скорейшее принятие этого законопроекта. Лучше бы в пятницу его завернули и отложили до осени. Иначе принятый в спешке закон такого шороха всем даст, что мало не покажется.
Где принимают ставки, что третьего в пятницу не будет? Я бы поставил.
ОтветитьУдалитьВ любой букмекерской конторе.
ОтветитьУдалитьА что изменится-то? Вот тебе и революция. Смысл отраслевых стандартов полностью нивелирован, ущерб субъекту - полностью исключен, а все ЛООПДППО по идее попадают на лицензию по ТЗКИ, поскольку деятельность по защите ПДн они должны будут вести не на основе стандартов (идет четкий отсыл на статью 19) и не в собственных интересах (нуждах), а в интересах другого лица - со всеми вытекающими.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьЕсли смотреть на закон и не смотреть на РД регуляторов (что, конечно, сложно - я понимаю), то баланс интересов операторов и субъектов продолжает стремиться к нормали. Был вдруг перевес в пользу первых - вернули.
ОтветитьУдалитьАлексей, ты пока не торопись. Все еще может поменяться. Как уже поменялось на этой неделе один раз.
ОтветитьУдалитьРигель, нет баланса ;-( Он есть в Конвенции, но не в ФЗ-152
Я в более широком смысле. Вот если абстрагироваться пока от конкретики РД, государство устанавливает минимальные требования, выше которых можно, ниже нет - это плохо? Как принцип.
ОтветитьУдалитьНу в США принцип иной - делай что хошь, но если по твоей вине нанесен ущерб субъектам, к тебе придут и накажут.
ОтветитьУдалитьВ Европе подход промежуточный. Защищаться должен. Но решай сам, как. Уполномоченный орган РЕКОМЕНДУЕТ, но не обязывает различные стандарты.
Этот комментарий был удален автором.
ОтветитьУдалитьПримерил это на ПДД, занятно.
ОтветитьУдалить"В США государство не определяет, на какой сигнал ездить, а если что-то случается, нагревает на этом руки.
В Европе государство не рекомендует ездить на красный, но пусть все решают сами."
Пешеходу это должно нравиться?
Если его не давят, ему пофигу. А если давят, то он жалуется и нарушителю мало не покажется. А у нас накажут за непристегнутый ремень, а за наезд можно отмазаться ;-(
ОтветитьУдалитьЭто правильная претензия, но не к ФЗ (ПДД).
ОтветитьУдалитьОт чтения данного документа остается какое-то мерзостное ощущение. Не хочется верить в то, что его могут принять в такой форме.
ОтветитьУдалитьp.s. Там ещё Банк России пролез в 4 статью. Даст ли такая формулировка возможность игнорировать 19 статью?
точнее не игнорировать, а вольно интерпретировать
ОтветитьУдалитьВ этом пункте ЦБ дается право создавать свою модель угроз, РАСШИРЯЮЩУЮ ФСТЭКовскую/ФСБшную. Про меры защиты там ни слова ;-( А вот меры по защите могут разрабатывать АРБ, союзы и другие объединения. Но ЦБ не относится ни к одним из них. Но зато он свой СТО проводит под закон об НПС. Так что хитросплетений масса ;-(
ОтветитьУдалитьКто-нить ссылку то на законопроект может дать?
ОтветитьУдалитьДа здесь он... http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02
ОтветитьУдалитьТретьего чтения не будет - во всех сопроводиловках идет "принять во втором".
Алексей, я и не тороплюсь - помирать нам рановато :) Но то, что опубликовано, повергает меня в определенное состояние, которое мне не нравится.
Ригелю отвечу у себя.
Алексей, а где в тексте написано про оценку соответствия, в упор не вижу (пункт 3 поста)?
ОтветитьУдалитьЯ взял текст с сайта госдумы, у Вас другой текст?
ОтветитьУдалитьИ про моделирование угроз не вижу...
34-я страница. 3-й пункт, вносящий изменения в ст. 19.
ОтветитьУдалитьВсе там есть, может, не то взяли?
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьпростите, нашел... без 1/2 литра...
ОтветитьУдалитьМоделирование угроз - это оценка рисков на самом деле. Оценка рисков - это единственный нормальный подход к обеспечению безопасности.
ОтветитьУдалить"Ай-яй-яй, какой ужас: государство не разрешает нам защищать ПДн, как вздумается левой ноге, а хочет обоснованного с т.зр. оценки рисков!".
Субъекты в моем лице [недоум]евают.
РИГЕЛЬ - СУПЕР РЕСПЕКТ!!!!
ОтветитьУдалитьОдного не пойму.
1. Разрабатывался закон о полиции. Сделели всенародное обсуждение - т.к. касается прав всего народа. ОК.
2. Законопроект об образовании - аналогично.
3. закон о персональных данных, стоящий в Конституции рядом с двумя предыдущими требованиями (безопасность, ограничение прав, образование) даже никто всенародно пообсуждать не предлагает. Чай бояться лоббисты народа...
Оторвать регуляторов от кормушки очень сложно. Декларация о рыночной экономике - бред, почему не используют рыночные механизмы в ЗоПДн? Это деньги, регуляторов и интеграторов. Свой кусок они не отдадут.
ОтветитьУдалитьПро гаранта конституции, надо полагать, имелось в виду его указание разрулить тему к 1 августу?
ОтветитьУдалитьZZubra: а скажите, какой-то толк от всех этих обсуждений был? Отвечу за Вас - не был.
ОтветитьУдалитьОценка рисков - хороший подход к обеспечению безопасности. Но в прадигме "защита данных ради данных" это бессмысленно. Основной критерий оценки рисков - вероятность утечки/искажения/уничтожения - остался неизменным, и прописан в законе. А должен быть - ущерб субъекту.
ОтветитьУдалитьВред и ущерб - не одно и то же. И потом - этот вред встречается вскользь, а обязательные методы защиты - строго установлены. Нафига тут моделирование - даже сами разработчики не знают. Наверное, чтоб создать иллюзию ИБ.
Вот его указание "Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных."
ОтветитьУдалитьВот тут Алексей Вы не правы. Те правки в ФЗ о полиции какие я написал приняли. Хоть и немножко изменив формулировку.
ОтветитьУдалитьИ к изменениям в закон об образовании в связи с ЕГЭ удалось приложить руку.
Так что не надо отпихивать субъекта от возможности влиять на реализацию его конституционных прав.
ZZubra: Может быть. Но разве от поправок стало лучше? Решились все проблемы и с полицией, или с ЕГЭ? Они позволяют думать что мы влияем на процесс путем принятия незначительных косметических поправок, не меняющих сути. Мы – радуемся. Ваши поправки привнесли свщественную новизну в сложившуюся систему?
ОтветитьУдалитьШауро Евгению: Устранение необоснованных обременений. Ключевое слово – необоснованных. То есть если обоснованны – то можно. Чьи обоснования наиболее веские? Ясен пень. Так что это поручение – прогон.
ОтветитьУдалитьЛучше бы закон отложили на год как с сделали ТО. А после выборов страна вернется к обсуждению.
ОтветитьУдалитьмне вот не очень понятно, вот эти все лоббисты-либералисты у них вообще никакой власти нет чтоли? или как?
ОтветитьУдалитьСпешка принятия закона вызвана опасением регуляторов, что ДАМ умерит их аппетиты.
ОтветитьУдалитьАлексей Волков писал:
ОтветитьУдалить> Основной критерий оценки рисков - вероятность
Переверни страницу, второй - опасность ))
У меня может и глупый вопрос, но для собственника-владельца основной - чего стоит забить болт на этот закон для предприятия, пдн в котором только от работников и посетителей в бюро пропусков?
ОтветитьУдалитьpushkinist: В Правительстве есть такой лоббист, что либералы вместе взятые отдыхают ;-(
ОтветитьУдалитьСергею: Есть шансы, что ДАМ умерит. Главное, пораньше.
Ригелю: Ты прав, но... результат моделирования в текущем варианте никого не волнует. Перечень защитных мер УЖЕ разработан и предлагается как обязательный. Ты можешь только его расширить, но не уменьшить.
e1am0: Ничего не стоит. Многие так и делают. Но многие все-таки законопослушны.
>e1am0: Ничего не стоит. Многие так и делают.
ОтветитьУдалитьНе соглашусь. Это будет очень классный повод для наезда на контору, который может привести к последствиям вплоть до закрытия - поэтому если есть явные конкуренты либо недоброжелатели среди органов власти, то лучше не рисковать. Хотя понятно, что никому не охота просто "для галочки" покупать какие-нибудь Secret Net'ы пусть даже и в небольшом количестве.
Закрыть контору за это нельзя. Можно максимум, приостановить деятельность, и то - это крайний случай и то, по части ФСТЭК/ФСБ. На моей памяти такого не было ни разу. Ни один суд такого решения не примет - очень уж оно спорное. И оспаривается легко.
ОтветитьУдалитьВторое чтение Резника - завтра. http://www.duma.gov.ru/news/273/87088/
ОтветитьУдалить"это будет очень классный повод для наезда на контору, который может привести к последствиям вплоть до закрытия - поэтому если есть явные конкуренты либо недоброжелатели среди органов власти, то лучше не рисковать."
ОтветитьУдалитьтаких классных поводов кроме персональных данных 9000+, и те проще в сто раз.
ни разу за это никого не закрывали
Когда у них там рабочий день заканчивается, чтобы понять статус по документу.
ОтветитьУдалитьГарант то сейчас во Владике с айфоном.
Алексею Волкову
ОтветитьУдалитьС каких это пор критерий риска - вероятность? Риск - это вероятный ущерб. И попробуйте его посчитать количественно.Только субъективно - низкий, средний, высокий. Или в диссертациях - "страшные" формулы с некорректными условиями применения.
Ущерб считается элементарно. Только у безопасников исходных данных нет. Они есть у финансистов, с которыми безопасники не умеют дружить или договариваться
ОтветитьУдалитьА вообще - у Вас замечательный блог. Жаль, раньше он мне не попался.
ОтветитьУдалитьНу он не единственный. Вот тут (http://zlonov.ru/%D0%B1%D0%BB%D0%BE%D0%B3%D0%B8/) еще много ссылок на российские блоги.
ОтветитьУдалитьЯ так понимаю, законопроект принят в 3 чтении и направлен в СФ (http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02).
ОтветитьУдалитьОсобо понравилась ст. 19 (ссылаюсь на вариант к 3 чтению):
ч. 2, п. 2 -- модель угроз случайно выпала;
ч. 2, пп. 3, 4 -- видимо, подразумевается сертификация и *аттестация*;
ч. 9 -- "без права ознакомления" -- на это интересно будет посмотреть.
Вопрос к Алексею Лукацкому: "Ущерб считается элементарно" -- как можно оценить ущерб, нанесенный субъекту персональных данных? Для меня, например, разглашение медицинской информации (да хоть всей карточки) никакого особого ущерба не нанесет (ну разве что моральный), а для кого-то ущерб может оказаться весьма существенным.
Так ущерб нельзя считать "вообще". Считать надо в каждом конкретном случае. В вашем случае он равен нулю. Кто-то посчитает, что ущерб равен миллиону рублей. Моральный ущерб практически никогда не обосновывается, в отличие от материального.
ОтветитьУдалитьНо, если честно, про ущерб я писал неприменительно к ПДн. По ПДн я всегда считал и считаю, что ущерба субъекту почти нет (за редким исключением).
Алексей, добрый день!
ОтветитьУдалитьПриведу свое мнение о толковании новых статей ФЗ:
Статья 18.1. закрепляет свободу Оператора в отношении перечня мер. Иное предусматривается только ФЗ. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
Далее, здесь же устанавливается, что Правительство устанавливает перечень мер необходимых для муниципальных и государственных операторов.
Название статьи 18.1 и нормы, содержащиеся в ней, имеют общий характер по отношению к статье 19 и ее нормам, которые являются специальными.
Следовательно, п. 3, п. 4 ст. 19 регулируют действия Правительства исключительно в рамках полномочий, установленных статьей 18.1., а именно в отношении государственных и муниципальных операторов.
И еще один аргумент: если иное устанавливается ФЗ, то в ФЗ же прямо должно об этом прописываться. При отсылочном характере нормы в ФЗ на иные нормативные акты, на мой взгляд, она вступает в противоречие с нормой об исключительной обязательности требований, содержащихся именно в ФЗ.