Свершилось — документы нашей рабочей группы АРБ/ЦБ утверждены. Их согласовали ФСТЭК, ФСБ и РКН. Также присоединилась ассоциация региональных банков «Россия».
Детали — http://www.arb.ru/site/action/list_news.php?id=3719
Зашел у меня тут разговор с коллегами, которые работают
Тут в одном закрытом клубе по ИБ зашла речь о регуляторах
Думаю надо закончить тему искусственного интеллекта
Я стараюсь в последнее время не писать о законодательстве
Как будут защищаться электронные выборы или парафраз о разработанном в России гомоморфном шифровании
Пригласили меня тут помодерировать заседание экспертов
На Магнитке традиционно проводилась закрытая сессия
Поздравляю!
Первый шаг сделан.
Все остальные, думаю, будут "слизывать" с ваших доков.
Только мне показалась веселой фраза "… стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение об их введении"?
И опять же, осталось объяснить почему, если я решу выполнять требования документов, принятые АРБ (негосударственной некоммерческой организацией), то могу не выполнять требования документов, разработанных во исполнение постановления правительства РФ №781?
Все таки юридический статус отраслевых стандартов пока висит в воздухе…
Joky, мероприятия (организационно-правовые) почти такие же что и в 781 (они не противоречат друг другу) — разница только в подходе классификации, модели угроз и мер защиты.
Главный вопрос — где утвержденные доки? Если проекты, которые висели в интернете стали документами, то они не противоречат 781, и по-моему даже несколько превышают требования 58 приказа. ЗАчем городили огород пока непонятно, посмотрим, поработаем и с ними. 🙂
Baevsky пишет…
Все остальные, думаю, будут "слизывать" с ваших доков.
Не совсем "слизали" — http://www.a-datum.ru/forum/viewtopic.php?f=49&t=371 😀
Алексей Т. пишет…
ЗАчем городили огород пока непонятно, посмотрим, поработаем и с ними.
Подождите, пока опубликуют ПП330-2010 — тогда поймете 😉
joky: У отраслевого стандарта нет никакого статуса, о чем ЦБ постоянно говорит на мероприятиях. Вы просто принимаете документы как стандарт организации и тогда для вас они становятся обязательными. Если не принимаете, то действуете в рамках документов регуляторов — нынешних и будущих.
Вопрос все таки не поняли.
Спрошу по аналогии.
Если АРБ разработает свой отраслевой КоАП и банковская организация его примет в качестве обязательного для себя, она уже может не руководствоваться официальным КоАП, то есть он на нее не будет распространяться?
Вот в проекте Резника например есть такое дополнение:
"Федеральными законами, определяющими случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных, государственные органы, в пределах своих полномочий, могут наделяться правом принимать нормативные правовые акты по отдельным вопросам обработки персональных данных".
Какой-никакой, но все таки юридически правильный путь для создания отраслевых стандартов.
Вот только планируемый к вступлению в силу 1 июня проект изменений, насколько понимаю, благополучно был отложен до осени, и дай бог будет принят хотя бы к декабрю.
Сейчас же есть требование ПП РФ №781 "2. ФСТЭК утвердить … нормативные правовые акты и методические документы…". Но все почему то считают, что согласование каких-то там документов заместителями начальников и начальниками управлений это то же самое что _утвердить_? А как же слова, что
нормативные акты должны быть подписаны только директором ФСТЭК?
И кстати, кем были согласованы документы АРБ, все тот же достопочтенный "Начальник 2-го управления ФСТЭК А.В. Куц"?
КоАП — это федеральный закон. ФОИПы и отраслевые регуляторы не имеют права разрабатывать и вводить в действие ФЗ — это прерогатива законодательной, а не исполнительной власти.
Что касается ФСТЭК, то п.2 ПП-781 "утвердить" касается и документов ЦБ 😉 Их утвердили 😉