Реакция на наше открытое письмо действительно получилась серьезная. Спасибо всем, коллеги. Подробнее обо всем написал Алексей Волков в своем посте тут.
Но надо честно признать, что не все согласны с нашими доводами. Вот пример другого мнения: прошу любить и жаловать - Вихорев С.В., Заместитель Генерального директора по развитию, ОАО «ЭЛВИС-ПЛЮС», опубликовал свое письмо на наше письмо.
Не стану опускаться до уровня г-на Вихорева и переходить на личности, оценивать мотивацию (желание и нежелание работать и проч.). Давайте смотреть по фактам:
1) Да со статьей Конвенции вышла промашка, дело в том, что поспешность действий Госдумы вынудила и нас писать письмо в довольно оперативном порядке, что привело к указанной ошибке, но суть от этого не меняется ибо указанные нормы в Европейском подходе присутствуют.
2) Давайте еще разок вдумчиво посмотрим на то, дана ли свобода операторам. Итак поехали:
Статья 181 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
Заметьте речь идет о том, что оператор самостоятельно выбирает состав мер по соблюдению обязанностей, налагаемых данным ФЗ (безопасность только одна из) + замечательная фраза "если иное не предусмотрено настоящим ФЗ".
Т.е. применение мер безопасности это только одна из мер для выполнения обязанностей закона. Тут не рассматривается применение или неприменение антивируса, МСЭ и проч. Идем дальше:
Статья 19 п.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Вот тут уже оператор обязан (!). И дальше идет перечисление перечня действий которые позволяют обеспечить безопасность. Хорошо, допустим он необязательный (идем от противного). Тогда читаем следующий пункт:
Т.е правительство все же нам установит уровни и требования. А дальше:
Не стану опускаться до уровня г-на Вихорева и переходить на личности, оценивать мотивацию (желание и нежелание работать и проч.). Давайте смотреть по фактам:
1) Да со статьей Конвенции вышла промашка, дело в том, что поспешность действий Госдумы вынудила и нас писать письмо в довольно оперативном порядке, что привело к указанной ошибке, но суть от этого не меняется ибо указанные нормы в Европейском подходе присутствуют.
2) Давайте еще разок вдумчиво посмотрим на то, дана ли свобода операторам. Итак поехали:
Статья 181 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
Заметьте речь идет о том, что оператор самостоятельно выбирает состав мер по соблюдению обязанностей, налагаемых данным ФЗ (безопасность только одна из) + замечательная фраза "если иное не предусмотрено настоящим ФЗ".
К числу таких мер могут, в частности, относиться:
....
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
....
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
Т.е. применение мер безопасности это только одна из мер для выполнения обязанностей закона. Тут не рассматривается применение или неприменение антивируса, МСЭ и проч. Идем дальше:
Статья 19 п.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Вот тут уже оператор обязан (!). И дальше идет перечисление перечня действий которые позволяют обеспечить безопасность. Хорошо, допустим он необязательный (идем от противного). Тогда читаем следующий пункт:
Ст. 19 п.3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
Т.е правительство все же нам установит уровни и требования. А дальше:
Ст.19 п.4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
ФСТЭК и ФСБ расскажут как выполнить эти требования. Где здесь свобода выбора ?
А дальше в п.5, п.6, п.7 идет речь вообще об установлении списка угроз. Как скажите мне этот список угроз вяжется с требованиями, которые надо выполнить? Т.е. заметьте устанавливаются не требования, а список актуальных угроз. Кроме того, эти документы должны быть согласованы со ФСТЭК и ФСБ, а это значит, что если им что-то не понравится, то документы надо будет поправить, ведь так ?
И в завершение хочу сказать коллеги, в некоторых комментариях поднимается риторика, что те дескать г-н Вихорев по другую сторону барикад, ему "кушать" надо. Я, представитель компании-консультанта, хотя еще раз подчеркну, что данное письмо - моя личная инициатива и никак не связана с позицией моего работодателя, НО я убежден, что поправки нужны, в т.ч. для того чтобы все мы честно работали и получали свой хлеб за честную и нужную работу. На западе у консультантов есть хлеб и они приносят пользу бизнесу, никто (ну или мало кто) не называет их прихлебателями и вытягивателями денег. Мы - эксперты, которые помогают решать проблемы нашим Заказчикам. Мы знаем как хорошо сделать нашу работу и поверьте я не дурак и не пилю сук, на котором сижу. Я убежден, что принятие поправок, за которые мы агитируем, оздоровит рынок и даст работу всем, кто хочет и может честно и хорошо работать.
ФСТЭК и ФСБ расскажут как выполнить эти требования. Где здесь свобода выбора ?
А дальше в п.5, п.6, п.7 идет речь вообще об установлении списка угроз. Как скажите мне этот список угроз вяжется с требованиями, которые надо выполнить? Т.е. заметьте устанавливаются не требования, а список актуальных угроз. Кроме того, эти документы должны быть согласованы со ФСТЭК и ФСБ, а это значит, что если им что-то не понравится, то документы надо будет поправить, ведь так ?
И в завершение хочу сказать коллеги, в некоторых комментариях поднимается риторика, что те дескать г-н Вихорев по другую сторону барикад, ему "кушать" надо. Я, представитель компании-консультанта, хотя еще раз подчеркну, что данное письмо - моя личная инициатива и никак не связана с позицией моего работодателя, НО я убежден, что поправки нужны, в т.ч. для того чтобы все мы честно работали и получали свой хлеб за честную и нужную работу. На западе у консультантов есть хлеб и они приносят пользу бизнесу, никто (ну или мало кто) не называет их прихлебателями и вытягивателями денег. Мы - эксперты, которые помогают решать проблемы нашим Заказчикам. Мы знаем как хорошо сделать нашу работу и поверьте я не дурак и не пилю сук, на котором сижу. Я убежден, что принятие поправок, за которые мы агитируем, оздоровит рынок и даст работу всем, кто хочет и может честно и хорошо работать.
Подпишусь под всеми словами Александра. Ошибки бывают и большой респект за то, что эксперты умеют их признавать. Прозрачнее наше законодательство делать надо.
ОтветитьУдалить> Где здесь свобода выбора ?
ОтветитьУдалитьА _там_ её и не должно быть.
Требования ФСБ и ФСТЭК устанавливаются для тех обработок, которые Правительство отметит как критичные.
Для остальных - пожалуйста - по усмотрению оператора, но чур не во вред субъекту.
Слово "критичные" в законе не упоминается. Значит может быть установлено для любых видов. А если даже определят только для критичных, то все остальные получают полный "расслабон", т.к. отсутствует какая бы то ни было ответственность за непринятие мер или допущение утечки персональных данных.
ОтветитьУдалитьАлександр, ну вот как с Вами разговаривать!
ОтветитьУдалить> отсутствует какая бы то ни было
Какая бы то, да? У нас УК отменили? И ГК отменили? И даже КОАП отменили? И в ФЗ не написано, что субъекту компенсируются и убытки, и имущественный, и моральный?
> остальные получают полный "расслабон"
"Здрасьте, приехали!" это называется. Пять минут назад Вы плачетесь, что всех загнали под регуляцию, теперь Вы плачетесь, что не всех загнали под регуляцию.
А я не пойму (кроме ЦБ и внебюджетных фондов) кто будет разрабатывать угрозы безопасности, актуальные при обработке в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности. Что за федеральные органы исполнительной власти и органы субъектов и для кого угрозы, по тексту статьи - для всех операторов.
ОтветитьУдалитьРигелю:
ОтветитьУдалитьДа, я считаю обе крайности неправильными, как жесткое регулирование, так и полное отсутствие оного. Если дается свобода - должна быть ответственность. Поэтому я не призываю все "взять и отменить". Необходимо сделать так, чтобы принятие мер по защите было обоснованной необходимостью, а не законодательной неизбежностью.
Александр, я не против хорошего, но с хлесткостью лозунгов не надо уподобляться агитаторам КПРФ.
ОтветитьУдалитьСледя за информацией в сети и читая информацию о то , что
ОтветитьУдалить"Вы" пишите: Что все угрозы прошлого века и что они не актуальны и "мы", т.е. у Вас закрыто угроз больше. В предыдущей версии "Вы" уже, потирая руки, хотели создавать организацию, создавть (согласовать) систему сертификации дополнить угрозами, но не тут-то было.
Думаю и в такой редакции, которая появилась, все не так уж плохо. Угрозы расписаны для типовых ИСПДн(конфиденциальность), скажите, сколько таких Вам встречалось по отношению к специальным? Так чтоспокойно стоим систему защиты и разрабатываем документы.
>В предыдущей версии "Вы" уже, потирая руки, хотели создавать организацию, создавть (согласовать) систему сертификации дополнить угрозами, но не тут-то было.
ОтветитьУдалитьСозданию системы добровольной сертификации СЗИ ни старая, ни новая редакция абсолютно не мешают. Другой вопрос, что у нас сейчас вообще нет ничего кроме обязательной сертификации СЗИ, не смотря на то, что законом о техрегулировании предусмотрено 3 (три) вида оценки соответствия...
Ну и кто виноват, что за все время, которое было с момента создания закона никто не разработал техрегламентов на СЗИ? Вот о чем могло, но не захотело побеспокоиться экспертное сообщество. И был бы установленный порядок оценки соответствия СЗИ в виде декларирования соответствия.
ОтветитьУдалить>никто не разработал техрегламентов на СЗИ
ОтветитьУдалитьАга... И так как с ЗоПД сделают - все что годами нарабатывалось и согласовывалось на помойку, а вместо этого вбасывается абсолютно "левый" текст за который дружно голосует законодательная Власть...