Итак, сегодня АРСИБ отреагировала на внесение столь "радостных" любому директору по ИБ поправок в закон о персданных. Реакция, правда, не та, что ожидалась. Просто констатация факта подписания нового закона. Правда, авторы пресс-релиза, видимо, далеки от темы, если смогли написать (а точнее переписать фрагмент официального пресс-релиза Кремля) такое: "Ассоциации, союзы и иные объединения операторов с учётом осуществляемой ими деятельности вправе определять дополнительные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
Очевидно, что Ассоциация директоров по ИБ была бы заинтересована в определении таких дополнительных мер по защите персданных. Только вот незадача - в законе о таком праве ни слова. В законе иная формулировка: "ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных". Незначительная разница формулировок, а как меняется смысл... Одно дело определять меры по защите и совсем другое - определять только дополнить разработанную регуляторами модель угроз.
Правда, в одной из редакций законопроекта была похожая формулировка - "операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе устанавливать стандарты обеспечения безопасности персональных данных", но было это еще до второго чтения.
Мне кажется, сейчас самое время включаться в публичную работу по влиянию на планируемую к разработке нормативную базу. Минкомсвязь к такому сотрудничеству готов, но об этом завтра...
Очевидно, что Ассоциация директоров по ИБ была бы заинтересована в определении таких дополнительных мер по защите персданных. Только вот незадача - в законе о таком праве ни слова. В законе иная формулировка: "ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных". Незначительная разница формулировок, а как меняется смысл... Одно дело определять меры по защите и совсем другое - определять только дополнить разработанную регуляторами модель угроз.
Правда, в одной из редакций законопроекта была похожая формулировка - "операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе устанавливать стандарты обеспечения безопасности персональных данных", но было это еще до второго чтения.
Мне кажется, сейчас самое время включаться в публичную работу по влиянию на планируемую к разработке нормативную базу. Минкомсвязь к такому сотрудничеству готов, но об этом завтра...
Какой толк от доп. угроз, если есть базовые меры. Какой толк от доп.мер, если есть то же самое? Все решают уровни защищенности. Но об этом действительно завтра.
ОтветитьУдалитьТы еще надеешься на всякие А***? Они, по-моему, сполна показали себя профессиональными тусовщиками, которые не в курсе, по какому поводу тусуют.
ОтветитьУдалитьЕсли бы не надеялся, не подписывался бы под открытыми письмами и не пытался бы призвать АРСИБ к реакции.
ОтветитьУдалитьРигелю: как всегда ты прав. И я, и Токаренко в кагорте, и рассказать про повод не могем. Из-за громкой музыки не слышно. party people in da house
ОтветитьУдалитьКстати, шансы исправить ситуацию-то есть. Достаточно занять активную позицию хотя бы по одному вопросу (ФЗ-152)...
ОтветитьУдалитьАктивную? Пока тебя нагибают, двигать ж... ты хочешь сказать? :)
ОтветитьУдалитьА это сейчас называется активная позиция? Мне казалось, это как раз пассивная.
ОтветитьУдалитьОпыт поправок показал, что все относительно.
ОтветитьУдалитьО вкусах не спорят ;-)
ОтветитьУдалить"Но об этом действительно завтра."
ОтветитьУдалитьА что будет завтра
Достойный ответ от профессиональных тусовщиков...
ОтветитьУдалить