Помните ли вы, как появилось первое четверокнижие ФСТЭК? Сначала появилось 781-е постановление Правительства (17 ноября), в котором ФСТЭК и ФСБ предписывалось выпустить в трехмесячный срок нормативные документы по защите персданных. Потом требования пошло по инстанциям и когда оно спустилось до исполнителей оставалось совсем мало времени до выпуска нормативно-правовых актов (правда, ФСТЭК таковыми их не считала) с конкретизацией защитных мер. В итоге мы получили то, что получили. Кто-то даже говорил, что это чья-то диссертация. Ну да суть не в этом... Документы были выпущены в такой спешке, что потом операторы персданных долго разгребали последствия от их применения.
Сейчас, после выхода новой редакции ФЗ-152, регуляторы должны выпустить новые требования. Какими они будут? Хочется верить, что адекватными. Многие, с кем мне довелось пообщаться, говорят, что времени на разработку достаточно. Но так ли это?
С 1-го января 2012-го года начнутся проверки выполнения новых требований по безопасности, разрабатываемых ФСТЭК и ФСБ. Но чтобы проверки начались с 1-го января именно следующего года, ФСТЭК и ФСБ должны направить до 1-го ноября в прокуратуру план проверок с указанием правового основания для проведения проверочных мероприятий. Так следует из ФЗ-294 и 319-го приказа Генпрокуратуры. Правда, ситуация на практике обычно выглядит немного иначе. Например, к 1-му января в сводном плане проверок отсутствовали упоминания ФСБ, а совсем недавно на сайте ФСБ оказался план проверок, в котором присутствовало 265 организаций. Видимо внесение задним числом в план проверок - это из той же оперы, что и подмена одного законопроекта другим.
Но если все будет по-честному, то на разработку требований у регуляторов остается всего-то август, сентябрь и октябрь, т.е. 3 месяца. Немало, скажете вы. Ведь родили четверокнижие за такой срок. Не спорю, родить нормальный документ за этот срок реально. Только вот незадача... Защитные меры должны опираться на разрабатываемые Правительством уровни защищенности. А вот тут у меня зарождаются сомнения, способно ли Правительство разработать такие уровни с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности. Т.е. тут не одномерное пространство - "класс ИСПДн - список защитных мер", а многомерное. И все это за три месяца. Успеют ли?...
ЗЫ. Читающим этот пост коллегам из ФСТЭК предлагаю сотрудничество в деле разработки адекватных документов.
Сейчас, после выхода новой редакции ФЗ-152, регуляторы должны выпустить новые требования. Какими они будут? Хочется верить, что адекватными. Многие, с кем мне довелось пообщаться, говорят, что времени на разработку достаточно. Но так ли это?
С 1-го января 2012-го года начнутся проверки выполнения новых требований по безопасности, разрабатываемых ФСТЭК и ФСБ. Но чтобы проверки начались с 1-го января именно следующего года, ФСТЭК и ФСБ должны направить до 1-го ноября в прокуратуру план проверок с указанием правового основания для проведения проверочных мероприятий. Так следует из ФЗ-294 и 319-го приказа Генпрокуратуры. Правда, ситуация на практике обычно выглядит немного иначе. Например, к 1-му января в сводном плане проверок отсутствовали упоминания ФСБ, а совсем недавно на сайте ФСБ оказался план проверок, в котором присутствовало 265 организаций. Видимо внесение задним числом в план проверок - это из той же оперы, что и подмена одного законопроекта другим.
Но если все будет по-честному, то на разработку требований у регуляторов остается всего-то август, сентябрь и октябрь, т.е. 3 месяца. Немало, скажете вы. Ведь родили четверокнижие за такой срок. Не спорю, родить нормальный документ за этот срок реально. Только вот незадача... Защитные меры должны опираться на разрабатываемые Правительством уровни защищенности. А вот тут у меня зарождаются сомнения, способно ли Правительство разработать такие уровни с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности. Т.е. тут не одномерное пространство - "класс ИСПДн - список защитных мер", а многомерное. И все это за три месяца. Успеют ли?...
ЗЫ. Читающим этот пост коллегам из ФСТЭК предлагаю сотрудничество в деле разработки адекватных документов.
31 коммент.:
Во ФСТЭК и ФСБ уже давно идет разработка этих новых документов.
Алексей, думается Ваша помощь в разработке не понадобится...
Сергей Б.: Да, я знаю. Только в ФСБ эти документы уже скоро как 2 года разрабатываются и проблема не в контенте, а в его согласовании.
Albert: Кому думается?
Уровень безопасности связан с моделью угроз (ч.11 ст. 19). Угрозы первичны и их должны разработать (ч. 5 ст. 19), причем по видам деятельности. Кроме банковской отраслевой модели ( и вроде связисты) других пока нет.
Есть еще модель у Минздрава, НАУФОР и НАПФ.
Это мизер. Если заглянуть в ОКВЭД...
А типовая модель уже не прокатит. Они еще сами толком не осознали куда вляпались. Был же вариант с отраслевым регулированием, не захотели. Нельзя объять необъятное.
Это не они вляпались ;-( Они просто выпустят то, что СМОГУТ и вляпаемся уже мы.
А с чего Вы решили, что нужно новое 4-х книжие? ИМХО под новый ФЗ старые документы отлично ложаться - тут тебе и уровни защищенности (классы ИСПДн) и моделирование угроз. А ущерб субъекту это не ответственность ФСТЭК, пусть РКН разрабатывает. Я бы не стал ждать новых документов.
Алексею Т.: Я бы тоже не хотел новых документов, но увы... В новой нормативке нет понятия "классификация ИСПДн". Поэтому надо как минимум разрабатывать новый "приказ трех". Потом под него подкладывать 58-й приказ. А это непросто. Т.к. 58-й приказ плоский и не учитывает природу ПДн, технологии их обработки, особенности деятельности оператора.
Алексей,
А что мешает сделать аналитику этого N-мерного пространства и
получить на выходе M-уровней (читай классов)?!
Кстати, что там с вашими поправками в КоАП?
Минкомсвязь их взялась двигать или положила под сукно?
Алексей: Думается мне. Я знаю, что там есть кому этим предметно заниматься.
Евгений: Ничто не мешает. Но кто-то это должен сделать за оставшиеся 3 месяца.
Albert: Счастливый, Вы, человек ;)
А кто читал пункт 2 статьи 3 ФЗ №261-ФЗ? Мне показалось, что у нас теперь два закона. Старая редакция и соответственно под законники - для тех, кто уже в "отношениях", а вот новая редакция - только для тех, кто собирается вступить в них. И для них будут новые под законники. Али не так? ;)
Одновременно две редакции одного закона действовать не могут
Цитирую: Действие положений Федерального "закона" от 27 июля 2006 года N 152-ФЗ "О персональных данных" (в редакции настоящего Федерального закона) распространяется на правоотношения, возникшие с 1 июля 2011 года.
Вот и как это понимать???
Что правоотношения, появившиеся после 1-го числа, подпадают под данный ФЗ. Ст.4 ГК - закон обратной силы не имеет.
Вот и я про то ж. Получаем две действующих редакции. Для тех кто "до" и для тех кто "после".
Это НОРМА ПРАВА. Новый закон не может распространяться на предыдущие правоотношения, если это не оговорено специально. В прежнем законе была аналогичная формулировка (в отношении ИСПДн).
У меня конечно возник вопрос, а почему нельзя было это прямо в ФЗ специально написать, ну да ладно.
От этого суть СУЩЕСТВУЮЩЕЙ проблемы не изменилась. Все системы до 1 июля созданные и уже с данными должны соответствовать закону в старой редакции и под законникам как следствие.
Так это? Если не так, то почему и как?
И вопрос ведь не по 18 и 19 статьям (((
1. Закон разбивается на 2 части - технику (защита ПДн) и оргвопросы (защита прав).
2. По первой части закон вступил в силу только сейчас, т.к. с момента принятия закона в 2006-м году эта статья то была отложена, то переносилась. Поэтому она вступила в силу только сейчас.
3. По второй части закон вступил в силу с 2007-го года. Вторая редакция - с 27-го июля 2011 года, но задним числом его распространили и на весь июль. Но только в части защиты прав. Это значит, что если тебя наказали за ведение списка должников без их согласия в прошлом году, то суд и РКН/прокуратура были правы. А вот с 1-го июля это уже ненаказуемо ;-)
А до 27 июля 2006 года ты вообще мог плевать на защиту прав субъектов ;-)
Конечно НЕ мог! Главное не нарушать Конституцию!!!! У нее прямое действие и дополнительный ФЗ не нужен. Иначе УК - там нормы были.
Не-не-не! В предыдущих редакциях говорилось о правах и ИСПДн. Тут все вместе. Тут ФЗ в редакции.
Насчет наказаний - это в УК и КОАП написано. Но никак не ФЗ152. Так что не подходит. А в ФЗ152 - как и что выполнять - в разных редакциях по-разному.
И граница между ними проведена.
Еще раз. Закон по персданным у нас ОДИН (в последней редакции). И действует СЕЙЧАС именно последняя редакция. А в правоотношениях с 26 июля 2006 года до 1 июля 2011 года ДЕЙСТВОВАЛА старая версия закона.
>А в правоотношениях с 26 июля 2006 года до 1 июля 2011 года ДЕЙСТВОВАЛА старая версия закона.
ДЕЙСТВОВАЛА или ДЕЙСТВУЕТ? Ведь по ФЗ и ГК закон обратной силы не имеет и что уже сделано так и должно оставаться. А это процесс длящийся. Отношения-то не завершились.
А хотите я Вам перечень всех косяков не 18 и 19 статей дам? Ну там про то, что теперь общедоступным данным надо конфиденциальность обеспечить или про неотчуждаемое право, которым теперь может распоряжаться иное физическое лицо?
Кусочек есть тут (про статью 22.1): http://hayrov.blogspot.com/2011/07/blog-post_31.html?showComment=1312193315286#c5594325791684188929
давай список всех косяков
Ок. Только немножко времени надо. Я только на список потратил всю субботу. Надо же еще приписать, что не так и с чем конфликтует. В уме уже понимаю, надо НАПИСАТЬ.
В списке было очень много. Но на 8, 12, 18 и 26 прочтениях многое стало на свои места, особенно с учетом изменения в одном месте, влекущим иное понимание в десятке других статей.
Да и в консультанте общая редакция только сегодня появилась. А по ее прочтению - еще вылезло. Особенно с их сервисом сравнения редакций.
Отправить комментарий