Итак, сегодня АРСИБ отреагировала на внесение столь "радостных" любому директору по ИБ поправок в закон о персданных. Реакция, правда, не та, что ожидалась. Просто констатация факта подписания нового закона. Правда, авторы пресс-релиза, видимо, далеки от темы, если смогли написать (а точнее переписать фрагмент официального пресс-релиза Кремля) такое: "Ассоциации, союзы и иные объединения операторов с учётом осуществляемой ими деятельности вправе определять дополнительные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
Очевидно, что Ассоциация директоров по ИБ была бы заинтересована в определении таких дополнительных мер по защите персданных. Только вот незадача - в законе о таком праве ни слова. В законе иная формулировка: "ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных". Незначительная разница формулировок, а как меняется смысл... Одно дело определять меры по защите и совсем другое - определять только дополнить разработанную регуляторами модель угроз.
Правда, в одной из редакций законопроекта была похожая формулировка - "операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе устанавливать стандарты обеспечения безопасности персональных данных", но было это еще до второго чтения.
Мне кажется, сейчас самое время включаться в публичную работу по влиянию на планируемую к разработке нормативную базу. Минкомсвязь к такому сотрудничеству готов, но об этом завтра...
Очевидно, что Ассоциация директоров по ИБ была бы заинтересована в определении таких дополнительных мер по защите персданных. Только вот незадача - в законе о таком праве ни слова. В законе иная формулировка: "ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных". Незначительная разница формулировок, а как меняется смысл... Одно дело определять меры по защите и совсем другое - определять только дополнить разработанную регуляторами модель угроз.
Правда, в одной из редакций законопроекта была похожая формулировка - "операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе устанавливать стандарты обеспечения безопасности персональных данных", но было это еще до второго чтения.
Мне кажется, сейчас самое время включаться в публичную работу по влиянию на планируемую к разработке нормативную базу. Минкомсвязь к такому сотрудничеству готов, но об этом завтра...
11 коммент.:
Какой толк от доп. угроз, если есть базовые меры. Какой толк от доп.мер, если есть то же самое? Все решают уровни защищенности. Но об этом действительно завтра.
Ты еще надеешься на всякие А***? Они, по-моему, сполна показали себя профессиональными тусовщиками, которые не в курсе, по какому поводу тусуют.
Если бы не надеялся, не подписывался бы под открытыми письмами и не пытался бы призвать АРСИБ к реакции.
Ригелю: как всегда ты прав. И я, и Токаренко в кагорте, и рассказать про повод не могем. Из-за громкой музыки не слышно. party people in da house
Кстати, шансы исправить ситуацию-то есть. Достаточно занять активную позицию хотя бы по одному вопросу (ФЗ-152)...
Активную? Пока тебя нагибают, двигать ж... ты хочешь сказать? :)
А это сейчас называется активная позиция? Мне казалось, это как раз пассивная.
Опыт поправок показал, что все относительно.
О вкусах не спорят ;-)
"Но об этом действительно завтра."
А что будет завтра
Достойный ответ от профессиональных тусовщиков...
Отправить комментарий