Главная » Законодательство

Результат парламентских слушаний

Законодательство
На чтение 2 мин Просмотров 17 Опубликовано

Вчера я описал парламентские слушания, прошедшие в Госдуме по теме персданных. Сегодня пора осветить предложения, которые могут «выйти в финал». Изначально предложений было с полторы сотни (их видно по вчерашним выложенным файлам). После обработки в ГосДуме осталось гораздо меньше, но, как мне кажется, они ключевые:

  1. уточнить понятия и термины
  2. сроки хранения и уничтожения ПДн должны определяться договором с субъектом, если иное не установлено законодательством
  3. разрешить обработку ПДн, предшествующую заключению договора
  4. уточнить случаи, когда согласие на обработку не требуются
  5. дополнить случаи, когда обеспечение конфиденциальности не требуется
  6. определить порядок адекватности защиты прав субъектов при трансграничной передаче
  7. ограничить права субъекта на получение сведений об операторе наличием оснований полагать, что права субъекта нарушены
  8. конкретизация условий обработки ПДн при директ-маркетинге
  9. ограничение обязанности оператора сообзать субъекту об обработке ПДн, полученных от третьих лиц
  10. исключение требования обязательного использования шифрования
  11. обязательные требования по защите ПДн распространять только на государственные ИСПДн
  12. разрешить операторам негосударственных ИСПДн самостоятельно определять меры защиты
  13. разработка отраслевых стандартов по защите ПДн под эгидой Минсвязи
  14. распространение на ИСПДн режима защиты коммерческой, профессиональной и иной, охраняемой законом тайны
  15. уточнение полномочий регуляторов в части контроля и надзора
  16. уточнение порядка и сроков уничтожения
  17. включить в содержание уведомления в РКН сведений об используемых шифровальных средствах
  18. обязать РКН информировать ФСБ и ФСТЭК о мерах, принимаемых операторами по безопасности ПДн
  19. отодвинуть срок вступления в силу ст.25.3
  20. исключить требование получения лицензии на ТЗКИ для собственных нужд
  21. внести изменения в ФЗ-294 в части определения предмета, срокой и оснований проверок в области ПДн (завтра здесь будет анализ проекта административного регламента РКН по данному вопросу — много «приятного»)
  22. обеспечить публичность обсуждения технических документов ФСТЭК и ФСБ до их принятия, а не после
  23. учитывать международные стандарты по ИБ
  24. разработать совместный регламент проверок РКН, ФСТЭК и ФСБ.

Рекомендации парламентский слушаний

ЗЫ. Те, кому интересны не сканы, а DOCовские версии могут их скачать по ссылкам:

персональные данные ФСБ ФСТЭК
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Ригель

    Четверокнижие пощадили, практически.

    Ответить
  2. Анонимный

    Еще год будем создавать новую отраслевую нормативную базу по защите ИСПДн. Когда же работать начнем?

    Ответить
  3. Анонимный

    Ригель пишет…
    Четверокнижие пощадили, практически.

    См. доклад Гришанкова (он шел первым):
    "Правительство своим Постановлением от 17 ноября 2007 г. N 781 утвердило Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в котором заложило достаточно жесткие требования к информационным системам персональных данных (например, обязательное использование технических и программных средств защиты информации, прошедших оценку соответствия – пункт 5), поставило оператора в полную зависимость от ФСТЭК и ФСБ (они определяют возможные каналы утечки информации – пункт 9, методы и способы защиты, а также достаточность принятых мер – пункт 3). Кроме того, данное постановление содержало поручение Минкомсвязи, ФСТЭК и ФСБ установить порядок проведения классификации информационных систем. А из этого порядка, утвержденного совместным приказом и обязательного для исполнения, «проросли» акты ФСТЭК и ФСБ, непонятного правового статуса."

    Текст проекта решения еще не доработан по результатам сушаний (это тот вариант, что шел в раздатке перед слушаниями)

    Ответить
  4. Анонимный

    Складывается впечатление (в том числе по списку предложений/рекомендаций и по докладам) что попытки внести изменения, прибраться так сказать приняли околопанический бессистемный характер. Сброшены предложения от разных источников но последнее время не видно общей целевой схемы работы 152 ФЗ и соответственно не всегда проглядывается связь рекомендаций с ФЗ с требованиями и т.п.
    К тому же некоторые обоснования изменений противоречат духу ФЗ и ЕК. Действительно начинается борьба с тех. требованиями по ЗИ по мелочам, а общего алгоритма нет !
    В мелочах мы зароемся, господа.

    Ответить
  5. Анонимный

    По материалам слушаний осталось впечатление "лебедь раком щуку"

    Получение лицензии на ТЗКИ исключат только в случае если ЗИ осуществляется для собственных нужд или исключат и в случае когда деятельность по лицензируемому виду деятельности не является предпринимательской? Имхо, надо внести оба этих случая.

    Разделение полномочий при проверке регуляторами четко нигде так и не прописаны. Имеет ли например право Роскомнадзор проверять меры по защите информации, а если имеет, то до какой степени? В проекте адм. регламента РКН конечно написано, что вопросы ОБИ находятся в компетенции ФСТЭК и ФСБ, и РКН не проверяет то что не находится в его компетенции, однако в реальности это не так и четкой границы нет.

    Некоторые рекомендации просто лоббируют интересы своей отрасли, не учитывая других.
    Предложения РСПП, например с определением термина ПДн, с внесением термина "обработчик", ещё больше запутают операторов, т.к. "вред физическому лицу" понятние относительное и не четкое, если смотреть по антикоррупционным факторам, то почти все предложения требуют доработки (более четких определений)

    Ответить
  6. Ригель

    toparenko пишет:
    > См. доклад Гришанкова

    Вау! Комитет по безопасности правильную позицию еще в пятом годе занимал (когда заключение законопроект о ПДн писал), а толку?

    Ответить
  7. Анонимный

    +1
    К тому же хотелось бы чтобы предложения/рекомендации были классифицированы: вопросы по самому ФЗ, вопросы тех защиты, лицензирования и т.п. но для этого эти направления хорошо бы увидеть в общей схеме работы ФЗ.

    Ответить
  8. Анонимный

    Ригель пишет… а толку?

    А "хто" сказал, что уже все решено??? Это еще только самое начало процесса — и не факт, что он будет доведен до конца или не повернут "с точностью наоборот"…

    Ответить
  9. Анонимный

    Ну так а что операторам сейчас то делать???
    Ждать пока примут изменения и пока отрасль каждая примет свои стандарты?
    А ФЗ 152 то принят и РСН придти может в любой момент!
    На что мы будем ссылаться? На эти рекомендации?

    Ответить
  10. Анонимный

    Я думаю операторам не нужно "обольщаться" пока только намерения чего то изменить. "Живем" по старому… Скорее всего сильные операторы будут идти по пути юридических дебрей а слабые будут пытаться выполнять что есть.

    Ответить
  11. Nikita Gergel

    Господа, хочу все же напомнить о чем обмолвился Гришанков в самом конце слушаний — о необходимости принятия какого-либо значимого решения до конца года. Если я правильно понял, то как минимум это будет решение о переносе сроков.

    В текущей ситуации как обычно готовиться надо к худшему, а надеяться на лучшее (правда, врядли перенос сроков можно назвать лучшим). Есть все же надежда, что адекватная, но не регламентная, защита ПД позволит избавиться от нападок РКН.

    Ответить
  12. Анонимный

    Простой перенос сроков проблемы не решит а только отодвинет… нужно этапность вводить задачи и цели…

    На мой взгляд не нужно было разом все вопросы решать.
    Разбить на этапы:
    1 — регистрация операторов с целями связями и т.п.
    2 — уточнить порядок их работы юридические вопросы
    3 — проработать тех меры и т.п.

    Ответить
  13. Алексей Лукацкий

    Это ГосДума и ФЗ. И решать вопросы по частям там не принято. В новую версию ФЗ должны войти ВСЕ значимые предложения. Не войдут — ждать еще год-два пока их внесут. То, что видится из Интернет по прочтению документов, не то, что есть на самом деле 😉 Есть еще как минимум точка зрения тех, кто был на слушаниях 😉 И еще точка зрения тех, кто участвует в закулисных переговорах и разработке формулировок. Ведь то, что видно в рекомендациях — это только вершина айсберга.

    Ответить
  14. Анонимный

    >Еще год будем создавать новую
    >отраслевую нормативную базу
    >по защите ИСПДн.
    >Когда же работать начнем?

    Сюрприз, но мы уже работаем. Защищая разную информацию по-разному. В том числе и ПДн.

    Ответить
  15. Unknown

    спасибо за вордовские документы!

    Ответить
  16. AndrewZ

    Судя по тому, что в приведенном перечне рекомендаций содержится несколько различных предложений по отдельным "сложным" пунктам закона, все это увязнет, либо ограничится легкими косметическими правками. Что касается технических требований — думаю банки и телеком в итоге "отмажут" по отраслевому признаку. Ну не верю я, что откажутся от сертификации СЗИ и аттестации систем.

    Ответить
Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.