Итак, сегодня АРСИБ отреагировала на внесение столь "радостных" любому директору по ИБ поправок в закон о персданных. Реакция, правда, не та, что ожидалась. Просто констатация факта подписания нового закона. Правда, авторы пресс-релиза, видимо, далеки от темы, если смогли написать (а точнее переписать фрагмент официального пресс-релиза Кремля) такое: "Ассоциации, союзы и иные объединения операторов с учётом осуществляемой ими деятельности вправе определять дополнительные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
Очевидно, что Ассоциация директоров по ИБ была бы заинтересована в определении таких дополнительных мер по защите персданных. Только вот незадача - в законе о таком праве ни слова. В законе иная формулировка: "ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных". Незначительная разница формулировок, а как меняется смысл... Одно дело определять меры по защите и совсем другое - определять только дополнить разработанную регуляторами модель угроз.
Правда, в одной из редакций законопроекта была похожая формулировка - "операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе устанавливать стандарты обеспечения безопасности персональных данных", но было это еще до второго чтения.
Мне кажется, сейчас самое время включаться в публичную работу по влиянию на планируемую к разработке нормативную базу. Минкомсвязь к такому сотрудничеству готов, но об этом завтра...
Очевидно, что Ассоциация директоров по ИБ была бы заинтересована в определении таких дополнительных мер по защите персданных. Только вот незадача - в законе о таком праве ни слова. В законе иная формулировка: "ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных". Незначительная разница формулировок, а как меняется смысл... Одно дело определять меры по защите и совсем другое - определять только дополнить разработанную регуляторами модель угроз.
Правда, в одной из редакций законопроекта была похожая формулировка - "операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе устанавливать стандарты обеспечения безопасности персональных данных", но было это еще до второго чтения.
Мне кажется, сейчас самое время включаться в публичную работу по влиянию на планируемую к разработке нормативную базу. Минкомсвязь к такому сотрудничеству готов, но об этом завтра...
Какой толк от доп. угроз, если есть базовые меры. Какой толк от доп.мер, если есть то же самое? Все решают уровни защищенности. Но об этом действительно завтра.
ReplyDeleteТы еще надеешься на всякие А***? Они, по-моему, сполна показали себя профессиональными тусовщиками, которые не в курсе, по какому поводу тусуют.
ReplyDeleteЕсли бы не надеялся, не подписывался бы под открытыми письмами и не пытался бы призвать АРСИБ к реакции.
ReplyDeleteРигелю: как всегда ты прав. И я, и Токаренко в кагорте, и рассказать про повод не могем. Из-за громкой музыки не слышно. party people in da house
ReplyDeleteКстати, шансы исправить ситуацию-то есть. Достаточно занять активную позицию хотя бы по одному вопросу (ФЗ-152)...
ReplyDeleteАктивную? Пока тебя нагибают, двигать ж... ты хочешь сказать? :)
ReplyDeleteА это сейчас называется активная позиция? Мне казалось, это как раз пассивная.
ReplyDeleteОпыт поправок показал, что все относительно.
ReplyDeleteО вкусах не спорят ;-)
ReplyDelete"Но об этом действительно завтра."
ReplyDeleteА что будет завтра
Достойный ответ от профессиональных тусовщиков...
ReplyDelete