вторник, 5 июля 2011 г.

Госдума приняла поправки в 152-ФЗ !

Все, господа !

Госдума приняла поправки в 152-ФЗ. Смотреть тут.

Текст нового закона (с учетом правок) можно посмотреть здесь. От себя добавлю еще разок, что в целом по многим статьям действительно есть положительный сдвиг. Подкачала только (причем прям сильно подпортив впечатление от законопроекта) 19-я статья, и ее прям ну вот чуть-чуть подправить и будет всем счастье, но ведь на носу выборы ! не будет никто этим уже заниматься. Помните как в фильме "Гараж" - "если мы вас сейчас отсюда выпустим, то второй раз собрание по этому поводу вы уже не соберете".

Дополнение. После еще одного взгляда на новый ФЗ, пришли в голову еще некоторые крамольные мыли. А изменилось ли вообще что-то ? Давайте посмотрим:

Ст. 19 п. 3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных; 2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Не кажется ли вам, коллеги, что это очень похоже на уже существующие постановления правительства ? Нужно только классификацию заменить на "определение уровня защищенности".

Ст.19. п.4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

А это очень похоже на методические документы ФСТЭК и ФСБ. Итог - практически ничего не изменилось, кроме того, что меня по прежнему смущает противоречие, заключающееся в том, что где-то говорится что требования для государственных и муниципальных учреждений, а где-то нет, как будто просто дописать забыли :)

20 комментариев:

  1. А кто по фильму остался крайним? что-то я забыл. Кто будет крайним у нас? :)

    ОтветитьУдалить
  2. > Подкачала только 19-я статья

    Считаю, что не закон должен подстраиваться под неадекватные подзаконные, компенсируя их неадекватность, а надо соответствующие ведомства прогибать. Контраргументы?

    ОтветитьУдалить
  3. Да собственно сама статья 19 не такая уж и страшная.
    Дальше всё зависит от Правительства РФ.

    Если они определят оптимальные требования - они будут выполнятся.
    Если определят слишком жесткие требования - то они не будут выполнятся.

    ОтветитьУдалить
  4. Пока нет новых версий самих подзаконных актов трудно говорить об их неадекватности.

    Да и не подстраивается закон, а оставляет некую возможность.
    Возможность для госучреждений и ещё некоторых категорий операторов определить требования более жестко.
    Для остальных операторов - полная свобода.

    ОтветитьУдалить
  5. 19 статья не просто подкачала, она перечеркивает все те благие начинания, что есть в статье 18 прим и в законе в целом. А по каким "многим" статьям есть положительный сдвиг "ну прям ваще" - мне лично неведомо. Косметика одна. Достаточно того, что все обработчики попадают на лицензию по ТЗКИ в связи с обязательностью выполнения требований ст. 19... А уж о "полной свободе" даже говорить не приходится - требования-то уже определены. Остались только "уровни". А это разные вещи.

    ОтветитьУдалить
  6. Ну а если коснуться ЦЕЛИ - защита прав субъектов, то тут вообще нихрена... Но кому это интересно - судя по посту и каментам, вы уже на себя примеряете и говорите - "фигня, прорвемся", подразумевая, что "не достанет" регулятор. Так что все возвращается на круги своя :)

    ОтветитьУдалить
  7. Сергею Б. А у нас что, правительство стало главным экспертом по вопросам ИБ, оно способно оперативно реагировать на новые угрозы ИБ ? С какой стати они должны определять как и что должно защищаться ? Нет, так конечно когда-то было. Back in USSR

    ОтветитьУдалить
  8. > Да собственно сама статья 19 не такая уж и страшная.
    > Дальше всё зависит от Правительства РФ.

    Жизнь уже научила, что если назначить ответственным Правительство, то документы будут реально готовить регуляторы.

    ОтветитьУдалить
  9. Александр, скажите, а кто должен определять? Сам оператор? Он наопределяет... IMHO, я вижу единственную альтернативу, и вроде как Алексей Лукацкий как-то обмолвился об этом, это создание СРО. Причем именно СРО, а не "ассоциации, союзы и иные объединения операторов".

    ОтветитьУдалить
  10. Руслан, ДА, ДА ДА и еще раз ДА. Именно сам оператор ! Хватит, пора выкинуть все эти совковые пережитки, что за вас все большой дядя решит и как жить расскажет ! Оператор (бизнес) должен принимать решение и нести за него ответственность. И дело государства обеспечить то, чтобы были наказаны те, кто нарушает права граждан, а не те, кто не закупился железками на миллионы рублей. Задача СРО и всяких других ассоциаций лишь подсказывать, давать через отраслевые стандарты ориентиры, лучшие практики и повышать за счет этого общий уровень безопасности.

    ОтветитьУдалить
  11. Александр Бондаренко комментирует...
    Руслан, ДА, ДА ДА и еще раз ДА.

    Подпишусь.

    ОтветитьУдалить
  12. По моему опыту, если убрать вобща все требования связанные с ПДн, то только 20% операторов будет заниматься адекватной их защитой.
    Остальные 80% просто отложат на далекое будущее.

    ОтветитьУдалить
  13. Видимо подумали и поняли что наказание за нарушение прав у нас пока не работает - доказать тяжело, оценить ущерб тяжело, найти отвественного тяжело.

    ОтветитьУдалить
  14. Сергей, по моему опыту сейчас (и далее если ничего не изменится) 95-99% операторов не занимаются адекватной защитой, а занимаются прикрытием своей пятой точки от претензий регуляторов, причем поняв, что эти претензии сводятся к небольшим штрафам расслабляются еще больше.... и что лучше ?

    ОтветитьУдалить
  15. в России принято нагибать за нарушение законодательства, а не чьих-то там прав. С этой точки зрения 152-ФЗ (в текущем виде) соответствует сложившимся реалиям.
    Вопрос в том, удастся ли вообще когда-нибудь переломить такую практику...
    С другой стороны и бизнес у нас ведется сходным образом. Понятие ответственности (тем более перед кем-то - сотрудниками, клиентами) - эфемерно. Но государства (в лице карательных органов) все-таки боятся больше.
    Так что пускай уж лучше понятные правила игры (купи ненужных железок на миллион и тебе ничего не будет), чем полная анархия...
    С ув. Turkish

    ОтветитьУдалить
  16. > пришли в голову еще некоторые кромольные мыли.
    > А изменилось ли вообще что-то

    Изменилось: вид деятельности добавился, и теперь все дышат ровно, на кого пальцем не указано.

    ОтветитьУдалить
  17. Алексей, по поводу "Руслан, ДА, ДА ДА и еще раз ДА. Именно сам оператор !" Вот абстрактно я свами согласен и тоже готов подписаться, а когда смотришь за окно получается один вопрос:
    Какой оператор? Это оператор, у которого защитой ПД занимается отдел кадров, а начальник отдела задает вопрос: Мы ведем кадровый учет. Попадаем ли мы под действие 152-ФЗ? У меня таких вопросов уже целая подборка – можно раздел юмор в блоге заводить. Только не хочется людей обижать, так как они не тупые, просто не в теме.
    Или ребята, которые гоняют вирусов с помощью Defence Center`а. Или программисты, которые не удаляют данные из СУБД, устанавливая соответствующие флаги? Чем они профессиональнее ГД или регуляторов? Регуляторы, хотя бы в теме.
    А специалиста по ЗИ не каждый оператор наймет. Ситуация вполне очевидна. Ну не тянет фирма из трех людей зарабатывающих деньги нахлебников в виде бухгалтера, сисадмина, безопастника и кадровика. Ведь им еще конкурентную зарплату подавай. Вот и пойдут в поле приходящие сисадмины-безопастники с ценником 100 руб. / час. паяющие витую пару и устанавливающие Defence Center`ы. Да я знаю волшебное слово – outsourcing. Вы на него ценник видели? Я уже больше года изобретаю законное решение для малого бизнеса с бюджетом 50-100 тыс. руб. в год. на все. Подходы уже просматривались. И тут приняли поправки…
    И все же не смотря на все, считаю, мы не готовы к закону отдающим решение оператору и в качестве стимула использующего интересы субъекта. Нет в достаточном количестве специалистов, нет осведомленности в вопросе защиты информации основных участников, нет механизма справедливого возмещения морального ущерба, да много чего нет.
    Лучше, чем спорить о цвете ушедшего поезда, собраться и помочь Евгению Родыгину с его системой добровольной сертификацией. IMHO существенно расширит поле возможных решений и компенсирует негатив.

    ОтветитьУдалить
  18. Руслан, а скажите что изменится с принятием закона в таком виде ? Или вы думаете, что если придет внешний интегратор, обложит тех же самых кадровиков и бухгалтеров кучей железок и бессмысленных журналов, то станет лучше в плане безопасности ? Цель конечная какая ? Если защитить права субъекта – то нужно действовать только через рыночные инструменты, а не вводить обязаловку. Сертифицированные средства положат на полку до прихода регуляторов. Вот берем простой пример с автомобильной аптечкой, формально она нужна чтобы пройти техосмотр (типичный пример базовых требований), ее можно купить за 100 рублей, но в случае чего жизнь она вам не спасет, лекарств и бинтов хватит только чтобы палец при порезе помазать… тогда для чего она такая нужна ? проверяющим показывать ? чтобы взятки брали за отсутствие ? Нет, она нужна, чтобы ей можно было воспользоваться в экстренной ситуации и если завтра отменят норму о том, чтобы в машинах была аптечка – поверьте, ничего с точки зрения смертности не изменится, умные люди как возили с собой нормальную аптечку так и будут возить, а тем кому пофиг – тем пофиг. Так какова же цель ? Ее нужно сперва определить, а потом о средствах достижения думать.

    ОтветитьУдалить
  19. Все бы ничего, если бы закон установил рамки, в которых правительство и регуляторы устанавливали бы свои требования. А так - Правительство Российской Федерации с учетом ... устанавливает - а кто оценит вред субъекту, актуальность угроз, объем и содержание?
    Федеральный орган (короче ФСБ и ФСТЭК), решением Правительства Российской Федерации с учетом значимости и содержания ... могут быть наделены полномочиями по контролю ...в информационных системах персональных данных не являющихся государственными информационными системами.
    Беспредел регуляторов нам обеспечен.

    ОтветитьУдалить
  20. Александр, с персданными есть ровно одна проблема – как оценить вред субъекту в условиях России. Есть судебная практика, оценивающая жизнь, здоровье и т.п. Есть судебная практика, оценивающая моральный вред. Суммы Вам известны? В таких условиях, к какому результату мы придём?
    Про цели Вы говорите правильно. И какова цель предыдущей редакции законопроекта? Установить баланс между интересами оператора и субъекта? IMHO, в России есть одна маленькая проблема – в тематике персданных нет конфликта интересов оператора и субъекта. Более того в нормальной ситуации конфликта не должно быть в принципе: оператор должен быть так же заинтересован в сохранности персданных. И как будем искать баланс? И баланс между чем? И кто будет искать этот баланс в конкретной организации? Начальник отдела кадров, системщик Вася Пупкин или главбух Кащеев И.И.? Или вообще отдадим это решение собственнику бизнеса (не директору)?
    Я НЕ_СЧИТАЮ текущую версию законопроекта удачной или что-то меняющей. Я считаю, что предыдущая версия была ровно такая же если оценивать с точки зрения процесса защиты персданных. Для начала вообще с конфиденциальности слазить надо… Сейчас на руках мы имеем проект который вызывает, справедливо, большую критику со стороны профессионалов и " представителей экспертного сообщества в области информационной безопасности". И у нас есть время выработать нормальные поправки, с учетом Российской действительности. В случае отклонения Президентом поправок, я вижу принципиальных два пути: В начале осенней сессии ГД лихо принимает другие поправки принципиально не отличающиеся от этих, или на той же осенней сессии ГД принимает криво правленый вариант исходного законопроекта. Если же гром грянет и будут общественные слушанья, то результат можно спрогнозировать глядя на такие документы как последний Лужковский генплан и закон "О полиции". Но полученный "продукт" пересмотреть будет уже существенно сложнее. И вся процедура будет окончена 1 августа, сами знаете почему.
    Короче, IMHO, надо не законопроект тормозить, а разрабатывать систему добровольной оценки соответствия, как альтернативы ФСТЭКовским решениям. И с учетом этого опыта заходить на изменения в законопроекте.
    Хотя есть изменения в 152-ом или нет а добровольная оценка соответствия нужна, как говорится "до-зарезу", ну как минимум мне.
    P.S. За что ж Вы так все отрасль и себя разом… Что, правда нет современных решений? А Касперский, Infowatch… ;) Ну это так с улыбкой, а не ухмылкой. Понимаю, наболело, выпрыгнуло. Хотя убирая бантики, по сути, Вы правы.Недостаток, IMHO, один - письмо вышло эмоциональным, а не информативным. А эмоции можно развалить фактами. По крайней мере, я бы именно так комментировал Ваше письмо на месте регуляторов. Комментарий к письму здесь, иначе там он будет не правильно истолкован, т.к. в целом позицию поддерживаю.

    ОтветитьУдалить