НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Есть проблемы? Пишем Президенту!

Андрей Колесов
07.07.2011 09:10:32

В новелле "Вождь краснокожих" фильма Гайдая "Деловые люди" есть замечательная сцена (ее нет в рассказе О.Генри, кстати этот фильм – отличный, хотя и нечастый пример, когда фильм получился еще лучше великолепного первоисточника). Руководитель операции Сэм отправляется в городок на разведку и слушает от хозяина таверны рассказ о том, что у уважаемого жителя этого захолустного местечка штата Алабама пропал сынишка.
На что Сэм логично вопрошает: "Куда же смотрит Президент?"

Гениальность Гайдая тут проявилась в его прозорливости: он изобразил (в 1962 году) будущие нравы нашей страны – что у нас будет через 45-50 лет, про нашу страну начала XXI века!
Например, год назад я был на собрании велообщественности Москвы (человек 15), где решили написать президенту по поводу проблем велосипедистов страны…

Вчера, 6 июля, группа российских экспертов по информационной безопасности опубликовала "Открытое письмо президенту России Дмитрию Медведеву по закону о персональных данных".
В нем содержится призыв к президенту заблокировать ввод в действие принятых Госдумой в третьем (т.е. окончательном) чтении изменений в "Закон о персональных данных" (ФЗ-152). А к ИТ- и Интернет-общественности автора обратились с призывом поддержать их письмо (в виде комментариев под публикацией или самостоятельных писем президенту).

Инициатива вроде бы хорошая. То, что с этим Законом с самого начала (т.е. уже много лет) происходит что-то странное, - это почти медицинский факт. Как почти очевидным является и то, что Закон, кажется, больше всего нацелен не на защиту персональных данных и не на повышение эффективности услуг, представляемых гражданам страны (т.е. улучшение жизни граждан), а на ужесточение контроля со стороны государства и обеспечения доступа к этим данным со стороны наших служб безопасности.
Конечно, привлекательной является и идея "общественного протеста" через современные Интернет-средства – отличная возможность, в том числе, проверить наличие этой самой общественности.

Но, есть и некоторые "но".

Я не специалист в сфере ИБ, возможно, поэтому мне имена авторов письма ничего не говорят. Скорее всего, авторы правы, но все же полагаться только на их авторитет я не могу, а самостоятельно в законе я копаться не хочу, да, наверное, и не смогу (все же не спец в этом вопросе).
Вопрос мой тут вот в чем: а каково по этому поводу мнение профессионального ИБ-сообщества?

Еще более важный вопрос: а чего так поздно, в последний момент, всполошились? Где же было профессиональное ИБ-сообщество ранее?

Ведь разговоры-то про ФЗ-152 идут уже много лет. Я упоминания про него слышу чуть ли не на каждом ИТ-мероприятии. Говорят о непонятных определениях, о неясности механизмов реализации, о его приницпиальных недостатках. Но при этом все это напоминает разговоры о погоде – как о некоторой данности, даваемой нами Провидением: "Мы – люди, на погоду влиять не можем. Будет дождь – достанем зонт, не будет – уберем его".

Вот смотрите. Как раз вчера я написал пост: "Где требования к федеральным СЭД от Минкомсвязи?". Ну, то, что министерство не выполняет распоряжение правительства и срывает выполнение плана по переходу страны на безбумажный документооборот – это одна сторона вопроса. Но есть и другая – а что там будет в этих Требованиях? Мы об этом узнаем только, когда их уже подпишет Путин и они примут силу нормативных требований? А если там будет что-то "такое", то начнем писать Президенту?

Честно говоря, безразличие нашей СЭД-общественности (и СЭД-бизнеса в первую очередь) искренне удивляет.
И можно почти точно сказать: если нашему СЭД-сообществу сформулированные таки "Требования к СЭД" чем-то не понравятся, то писать Президенту будет уже поздно и никакая общественность такие "письма" поддерживать не будет.
Не будет поддерживать потому, что кулаками нужно махать во время драки, а не после нее.

Комментариев: 18

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Евгений Царев
07.07.2011 10:10:01

За последние несколько лет ИБ-сообщество стало более активным. Стали формироваться формальные и неформальные объединения которые работают над законами, подзаконными актами и т.д.
Закон о персональных данных не исключение. Более того, этот закон - краеугольный камень российского законодательства по ИБ и к нему проявляется повышенное внимание.
Все авторы письма на протяжении нескольких лет работали над законопроектом через различные рабочие группы, участвовали в парламентских слушаниях и т.п. Нас слушали. Многие наши предложения нашли отражение в законопроекте, о котором мы сегодня говорим. Проблема в том, что за 2 дня до самого важного (2-го чтения) текст законопроекта изменился до неузнаваемости. Как это произошло непонятно, однако в результате был принят совсем не тот законопроект на который было потрачено столько времени.
Именно в этом причина открытого письма.

07.07.2011 10:17:50

Спасибо за важные пояснения.
Подпишусь сейчас тоже.

Евгений Царев
07.07.2011 10:22:05

Это недостаток нашего письма, что мы не указали на такую деталь.

Алексей Волков
07.07.2011 11:34:05

Нет, Евгений, не соглашусь. В том законопроекте, что подменили, хоть и было все по-другому, но "косяков" тоже было предостаточно. Да и потом - апеллирование подковерным играм делает тебя их соучастником. Не стоит уподобляться.. Поэтому правильно, что не указали. Того, что было, больше нет. И мы в письме говорим четко о конкретном объекте.

07.07.2011 10:15:29

А может Гайдай оглянулся назад, туда, за 17-ый год, когда был царь-батюшка? Или даже просто огляделся вокруг, когда в 62-м был генсек...

07.07.2011 10:25:41

Времена генсека я хорошо помню. Такого как сейчас не было и близко! Райком (местная власть!) - вот тот уровень, куда обращались и организации и граждане. Именно тут решались (как решались - это другой вопрос) 90% проблем. Обком или ЦК - это и в голову никому не приходило (за совершенно крайним исключением).

Что касается царя-батюшки... Насколько я знаю историю, к нему в последние 100 лет дома Романовых не было принято обращаться. Была довольно оппозиционная Госдума, были весьма независимые городские думы, были забастовки, демонстрации, революции...

07.07.2011 11:24:50

Я получил еще такой комментарий-пояснение по теме от пользователя ЖЖ toparenko:

Цитата
>а самостоятельно в законе я копаться не хочу, да, наверное, и не смогу (все же не спец в этом вопросе).

Мы тоже не хотели бы копаться в хитросплетениях нашего законодательства, но жизнь вынудила smile;)

>Где же было профессиональное ИБ-сообщество ранее?

23 сентября 2009 года - первое заседание Консультативного совета при Роскомнадзоре. Создана рабочая группа по совершенствованию и гармонизации законодательства в области защиты прав субъектов персональных данных - http://www.rsoc.ru/personal-data/p212/p510/news13427.htm

20 октября 2009 года - Парламентские слушания, где были поняты проблемы реализации ЗоПД. Ссылка на стенограмму в письме. На этих же Парламентских слушаниях и была озвучена оценка расходов на приведение в 4-6% ВВП.

Как результат этих Парламентских слушаний 12 ноября 2009 появился законопроект Резника ( http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02 ), который был принят позавчера в 3-м чтении Думой

Согласно плана Минкомсвязи к марту 2010 года это ведомство должно было разработать собственный законопроект по изменениям в ЗоПД - не выполнено. В связи с этим 5 мая 2010 в первом чтении был принят занопроект Резника в первом чтении и дан месяц на внесение предложений

15 июня 2010 зарегистрировано Некоммерческое партнерство Содействие защите прав операторов и субъектов персональных данных (НП ДАТУМ) Сайт www.a-datum.ru

Июль 2010 - на общественных началах запущен сайт Общественных слушаний по совершенствованию ЗоПД fz-152.org. К большому сожалению резонанса они не получили и большинство предложений так и не вошли в законопроект...

Сентябрь 2010 - наконец-то поступили предложения Правительства, хотя написаны были так, что создалось впечатление, что они вообще не читали законопроект на который давали предложения

К концу декабря 2010 была готова основа текста законопроекта ко 2-му чтению законопроекта Резника. Началось согласование с ведомствами.

2 июня 2011 года Президентом было дано поручение по форсированию работ по доработке законопроекта

14 июня 2011 был вывешен результат компромиса при согласовании. Текст изрядно изуродовали, но это уже было лучше того, что действует сейчас. Был установлен срок рассмотрения на 17 июня 2011.

17 июня рассмотрения не было и 27 июня компромисный текст был удален из ЭРК законопроекта в АСОЗД Думы.

29 июня 2011 года появился кардинально измененный текст, который был принят во 2-м чтении 1 июля и в 3-м чтении 5 июля 2011 года.

Открытое письмо пошло 7 июля 2011 года...

Этого достаточно, чтоб показать где было профессиональное сообщество ранее?
Увы... Но вопрос сейчас вышел за рамки рабочих групп ведомств и ассоциаций...

Вихорев Сергей
08.07.2011 11:04:38

Уважаемый Андрей! Ваши сомнения по поводу Открытого письма - справедливы. Я не считаю себя профаном в области ИБ и, в принципе, к моему мнению прислушиваются. вчера я подготовил Открытое писмо авторам Открытого письма Президенту. Думаю, Вам стоит познакомиться с ним. Оригинальный текст размещен по адресу http://www.elvis.ru/files/OLetVih.pdf

Но я позволю себе его привести здесь полностью:
Открытое письмо
подписантам Открытого письма Президенту Российской федерации Д. А. Медведеву от 06.07.2011 года,
(опубликовано на сайте http://personal-data.livejournal.com/286984.html и других)

«Что делали с паникерами во время войны? – Расстреливали!»
Из выступления Д. А. Медведева на заседании 06.07.2011 по вопросу об исполнении поручений Президента Российской Федерации

Уважаемые господа подписанты Открытого письма Президенту российской федерации Д. А. Медведеву! Зачем Вы вводите людей в заблуждение и развиваете у них фобию относительно принятого Государственной Думой 05.07.11 г. в третьем чтении законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных"? Зачем Вы отнимаете время у Президента РФ?
Передергивая факты вы искажаете смысл закона и преследуете, на мой взгляд, узкокорпоративные интересы, которые можно выразить простой фразой: «Мы не хотим тратиться на защиту персональных данных и поэтому закон для нас вреден!». При этом вы забываете, что сами являетесь субъектами персональных данных и именно ваши персональные данные в этот момент обрабатывает какой-то другой оператор. Если вы не цените свои персональные данные – флаг вам в руки, но не мешайте другим озаботиться об их защите.
Попробую показать ваше манипулирование документами на фактах. В своем письме Вы пишите: «Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования.» Я думаю, что вам, как «экспертам различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных» прежде чем писать Президенту РФ, неплохо было бы заглянуть в сам текст Конвенции. Дело в том, что статья 20 Конвенции называется «Процедура» и посвящена процедуре созыва и работы Консультативного комитета (здесь и далее цитирую по тексту Конвенции, размещенному на официальном портале уполномоченного органа по защите прав субъектов персональных данных http://pd.rsoc.ru/law/document112.htm?print=1). Эта статья не имеет никакого отношения к защите персональных данных. Этим вопросам посвящены статьи 4, 7, и 11 Конвенции. Первая из них говорит о том, что каждая Сторона, подписавшая Конвенцию, принимает необходимые меры для того, чтобы основные принципы защиты данных, изложенные в Конвенции, были реализованы в ее национальном праве. Вторая статья обязывает Стороны принимать надлежащие меры для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения. А третья – говорит о том, что ни одно из положений Конвенции не должно быть истолковано как ограничивающее или иным образом влияющее на возможность Стороны предоставить субъектам данных более широкую защиту, нежели та, которая обусловлена настоящей Конвенцией. Именно это и сделано в России в Законе «О персональных данных». Обратите внимание на то, что сама Конвенция носит ДЕКЛАРАТИВНЫЙ характер и предполагает, что каждая Сторона издаст соответствующие нормативные акты. В Европе это, наряду с национальными законами государств, еще и Директива Европарламента и Совета Европы № 95/46/ЕС.
Теперь вернемся к нашему Закону «О персональных данных». И сразу к новой статье 181: «Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, (Здесь и далее выделено мой – ВС) предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.» И как это противоречит тому о чем вы, господа подписанты говорите? Другое дело, что дальше в этой статье дан перечень таких мер, но он открытый и выбор все равно остался за оператором. Правда, теперь, Закон обязывает оператора публиковать в открытой печати документ, в котором излагается его позиция (политика) в отношении защиты персональных данных. Но это, кстати, практикуется и некоторых западных странах и ничего плохого в этом нет. Пусть каждый субъект знает как оператор защищает его персональные данные и, если это его не удовлетворит, сменит оператора.
Я уже слышу ваши, господа, возражения: «Это не так! Все равно статьей 19 определено, что требования по защите определяют ФСБ России и ФСТЭК России и они обязательны! А они не учитывают ущерба субъекту!» Но, господа, давайте не будем забывать, что согласно части 2 статьи 19 Правительство РФ с учетом возможного вреда субъекту персональных данных, устанавливает уровни защищённости персональных данных и требования под них. Меры выбираются исходя из возможных угроз, которые и должны учитывать и особенности обработки информации и возможный ущерб субъекту. Оглянитесь на часть 5 этой же 19 статьи: «Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.» И далее часть 6 этой статьи: «Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.» Так что дерзайте: объединяйтесь в ассоциации, определяйте актуальные угрозы и выбирайте под них меры, которые определят федеральные органы. Кстати, именно так уже и потупили АРБ совместно с Банком России, НАПФ (И Вам, как представителям Компании ЛЕТТА, это должно быть известно), НАУФОР, Минздравсоцразвития России, Минкомсвязи России. Эти новые положения закона фактически придают статус де-юре тому, что уже зарекомендовало себя положительно де-факто.
Теперь несколько слов о дороговизне защиты. Из своей личной практики могу сказать (а за последние три года через меня прошло достаточно большое количество проектов по защите персональных данных), что во многих организациях еще до этого закона уже была защита и значительной доработки она не потребовала. Да и по оценкам Роскомнадзора, который регулярно проводит проверки операторов, до 70% технических мер у операторов приняты, а вот что касается организационных, то тут всего 4%. Но организационные меры не самые дорогие! И сумма в 6% от ВВП – это слишком завышенная сумма. Она может быть справедлива, если все делать «с нуля», но на деле это не так.
Мне кажется, что Вы, господа подписанты, просто не хотите работать и ищете причины, чтобы защиту не делать. А параллельно раздуваете ненужную истерию и потворствуете развитию фобии у простых обывателей. Закон действует с 2006 года. Прошло уже 5 лет. За это время, можно было осилить любую защиту, если ее делать постепенно в установленные сроки. А мы все надеемся, что закон отменят…

С глубоким уважением,
С. Вихорев

Andrew
08.07.2011 12:25:22

Скажите, пожалуйста, Сергей, Вы случайно не занимаетесь крупным бизнесом в области защиты персональных данных? Тогда Ваше негодование по-человечески вполне понятно. smile8)

Вихорев Сергей
08.07.2011 14:02:33

Защитой информации (не только ПДн) - да, Крупным бизнесом - вряд ли, Но на сколько я понимаю, и остальные не так далеки от этого. На счет негодования - это громко. Просто я высказываю свою точку зрения. И эта точка основана на многолетнем практическом опыте. И еще, я люблю корректность в высказываниях и точность в оценках.

toparenko
09.07.2011 19:56:12

Чтоб не плодить ветки обсуждения Вашего Открытого письма на Открытое письмо отвечу чуть позже в блоге Алексея Волкова, где более полное обсуждение

08.07.2011 12:09:25

Прочитал сейчас в опубликованной на днях статье в PC Week - Закон “О персональных данных”: состояние и перспективы (http://www.pcweek.ru/security/article/detail.php?ID=132418)

Цитата
На протяжении последних лет ЗоПД является одним из основных драйверов роста российского рынка ИБ, способствует увеличению продаж ИБ-продуктов и консалтинговых услуг.


Можно, конечно, порадоваться за ИБ-индустрию, но все же закон приниматься должен не для поддержки развития данной отрасли.
Было бы интересно узнать как обстоят дела с автоматизацией госуслуг. Ведь защита ПД - это не цель...

toparenko
09.07.2011 20:00:10

Цель - защита прав субъектов персональных данных.
Увы... Но цель не достигается предлагаемыми мерами... Потому и предлагаем остановить этот изврат... Тем более, что дуйствующий ЗоПД уже полностью вступил в силу (хотя он также далек от заявленной цели)

08.07.2011 12:47:07

Вот тут тоже опубликовано Открытой Письмо от 06.07.11
http://lukatsky.blogspot.com/2011/07/152.html
Там большой список подписавшисься.
Сейчас увидел новость, что к списку присоединилась Наталья Касперская (InfoWatch)/

toparenko
09.07.2011 20:02:24

Еще присоединились:
- Консалтинговое агентство «Емельянников, Попова и партнеры»
- НП ДАТУМ
- Компания Deiteriy
- Ассоциация кабельных операторов МАКАТЕЛ
- Комиссия по информационной безопасности и киберпреступности РАЭК

Гришин Андрей
08.07.2011 16:01:18

Уважаемые коллеги!

К сожалению был в отпуске поэтому пропустил начавшуюся в Интернете акцию под названием: "Напиши Президенту - или заставят что-то делать".
Типичная российская позиция сидеть и ждать когда наступит коммунизм. Сидели и ждали... Извиняйте ничего не получилось.
Я тоже не считаю себя профаном в области ИБ, за 10 лет преподавания в различных ВУЗах подготовил значительное количество специалистов в данной области, наша компания одной из первых в стране развернула инфраструктуру удостоверяющих центров. В 2004 году когда шли дискуссии о законе об эцп, на одном уважаемом форуме я сказал, что пока Вы тут рассуждаете о законе, мы уже создали УЦ и активно внедряем её в жизнь.
Полностью согласен с Вихоревым Сергеем. Проблема защиты искусственно надута. Согласен, что большинство крупных операторов ПД или уже имели или планомерно внедряли технические средства защиты. Оставалось только привести в соответствие организационные меры защиты, но как показывает
опыт они наименее затратны.
Конечно 4,5 года все чего-то ждали (а ждали одного или срок по вступлению в силу закона перенесут или вовсе отменят).
Мне помнится как г-н Царев радовался, что ему ответили - закону с 1 июля быть.
И что изменилось. Требований по защите в поправках принципиально отличающихся от старой версии закона новых не появилось.
Но появилась степень MBA. Может быть она располагает рассуждать "системно".
Начинается раскручивание общественного сознания с тем чтобы реально похоронить хорошую идею по гармонизации наших законов.
Ничего страшного в поправках нет, может быть упадут доходы интеграторов в этой области, которые рисовали ужасно дорогие проекты и успешно осваивали деньги операторов.
Скромнее батеньки надо быть... А иногда и пытаться работать вместо того, чтобы писать письма...

toparenko
09.07.2011 19:40:51

Цитата
К сожалению был в отпуске поэтому пропустил начавшуюся в Интернете акцию под названием: "Напиши Президенту - или заставят что-то делать".

Посмотрите чуть выше мой ответ автору. А потом сравните хотя бы тот вариант 19 статьи который резко выкинули 29 июля:
Цитата
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор обязан принимать или обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с ними (далее – меры по обеспечению безопасности персональных данных). Указанные меры принимаются с учетом возможного вреда субъекту персональных данных, объема и характера обрабатываемых персональных данных, условий обработки персональных данных, актуальности угроз безопасности персональных данных, а также возможностей технической реализации этих мер.
2. Меры по обеспечению безопасности персональных данных, за исключением случаев, предусмотренных частью 3 настоящей статьи, включают в себя, в частности:
1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применение методов (способов) защиты информации и прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
3) оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) учет машинных носителей персональных данных;
5) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
6) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
8 ) контроль принимаемых мер по обеспечению безопасности персональных данных.
3. Оператор, на которого в соответствии с законодательством Российской Федерации возложена обязанность обеспечивать сохранение охраняемой законом тайны, принимает меры по обеспечению безопасности персональных данных, составляющих соответствующую охраняемую законом тайну, при их обработке в информационных системах персональных данных в соответствии с требованиями, установленными для защиты сведений, составляющих соответствующую охраняемую законом тайну. Указанные меры должны обеспечивать соблюдение прав субъектов персональных данных, предусмотренных настоящим Федеральным законом.
4. Правительство Российской Федерации устанавливает с учетом частей 1 и 2 настоящей статьи:
1) требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;
2) требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.
5. Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных с учетом частей 1 и 2 настоящей статьи.
6. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных в государственных и муниципальных информационных системах персональных данных, установленных Правительством Российской Федерации в соответствии с частью 4 настоящей статьи, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
7. Федеральные органы исполнительной власти, иные государственные органы, органы местного самоуправления, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе издавать стандарты обеспечения безопасности персональных данных. Стандарты обеспечения безопасности персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требований, устанавливаемых Правительством Российской Федерации в соответствии с частью 5 настоящей статьи. Стандарты обеспечения безопасности персональных данных в государственных и муниципальных информационных системах персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требованиями, указанными в пункте 1 части 4 настоящей статьи.
8. Оператор обязан принять решение о присоединении к стандарту обеспечения безопасности персональных данных, за исключением случаев, предусмотренных частью 22 статьи 25 настоящего Федерального закона. В случае, если необходимый стандарт обеспечения обработки персональных данных отсутствует, оператор вправе издать стандарт обеспечения безопасности персональных данных. Решение о присоединении к стандарту обеспечения безопасности персональных данных или об издании стандарта обеспечения безопасности персональных данных оператор принимает самостоятельно, если иное не установлено федеральным законом или международным договором Российской Федерации.
9. Федеральные органы исполнительной власти, иные государственные органы, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов уведомляют федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, об изданных ими стандартах обеспечения безопасности персональных данных, а также о свом решении о присоединении к стандартам обеспечения безопасности персональных данных.

И Вы хотите сказать, что предлагалось ничего не делать?

toparenko
09.07.2011 19:53:11

Цитата
Требований по защите в поправках принципиально отличающихся от старой версии закона новых не появилось.

Еще раз посмотрите на то, что поручил Президент:
Цитата
5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.
Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.
Срок – 1 августа 2011 г.

Выполнили с точностью до наоборот

Цитата
может быть упадут доходы интеграторов в этой области, которые рисовали ужасно дорогие проекты и успешно осваивали деньги операторов

Вы действительно прочитали то, что приняли в 3-м чтении?
Там как раз так все и осталось: и свердорогие проекты, и защита от регулятора вместо реальной защиты, и полное игнорирование инсайдерских рисков являющихся основным каналом утечки...

Одно только радует - не прошли предложения Правительства окончательно профанизирующие всю защиту (но идея осталась). Предлагалось такое:
Цитата
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
1. Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
2. В случае нарушения положений настоящего Федерального закона, повлекшего за собой неправомерный доступ к персональным данным, неправомерное уничтожение, изменение, блокирование, копирование, предоставление, распространение или иные неправомерные действия в отношении персональных данных, субъект таких персональных данных вправе требовать от оператора, виновного в таком нарушении, выплаты компенсации в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по усмотрению суда.
3. Оператор освобождается от ответственности в виде выплаты компенсации, предусмотренной настоящей статьей, в случае если он обеспечил определенный в соответствии с настоящим Федеральным законом уровень защищенности персональных данных путем выполнения установленных требований к защите персональных данных при их обработке в информационных системах персональных данных или в случае если неправомерный доступ к персональным данным, неправомерное уничтожение, изменение, блокирование, копирование, предоставление, распространение или иные неправомерные действия в отношении персональных данных произошли в результате возникновения чрезвычайного и непредотвратимого при данных условиях обстоятельства.".

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии