20-го ноября Госдума приняла в первом чтении (313 депутатов за) один из двух законопроектов Резника. Законопроект посвящен исключению требования об обязательном использовании криптографических средств для защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом «О персональных данных» (на один год).
Я стараюсь в последнее время не писать о законодательстве
На Магнитке традиционно проводилась закрытая сессия
Чтобы плавно войти в рабочий ритм, традиционно публикую
Спецоперация спецоперацией, а нормативка по расписанию.
Последние недели в СМИ стала раскручиваться история
Что-то подзатянул я с выпуском дайджеста —
А я снова про судебное решение, которое достаточно
Мобилизация мобилизацией, а законодательство по ИБ
Осталось ввести это в традицию — "Каждый год, 20 ноября, мы с друзьями переносим 152-ФЗ".
Если не будет использования шифровальных (криптографических) средств, то что же будет проверять ФСБ?
Наверно, ничего.
А ч.3 ст. 19 осталась без изменений..
Алексей, а Вы молодец! У Вас у первого эта новость из всех блогов и сайтов кто по тематике пересекается, по крайней мере, из тех что я смотрел.
Создалось впечатление, что у них там шла борьба — чьи поправки будут приняты. В итоге вместо основательных правок в закон вышли какие-то помарки.
Ну и что, что исключили строчку про криптографию. ФСБ остался регулятором, целесообразность применение криптографии будет оцениваться на основании модели нарушителя.
Я надеюсь, что выпустят таки постановление правительства со всем недостающим возом правок.
Сдвинули на год?
А что произойдет с проверками, запланированными на след. год по части выполнения данного закона?
Ну что же, товарищи по несчастью (счастью? — пока неизвестно). У нас есть еще как минимум один год окучивать область защиты ПД, причем с еще большим рвением — время есть, деньги в стране пока есть, так что вперед, Россия!
Боюсь что большинство опять будет ждать осени, чтобы снова взяться за голову.
И опять начнутся возгласы "а давайте перенесём"
Еще второе чтение с учетом возможный поправок 😉
Алексей, не подскажите, где можно найти полный текст законопроекта Резника?
Я не Алексей, но подскажу:
http://asozd2.duma.gov.ru/work/ud.nsf/38745ca737e8a34ec32575230045bcaa/2c49d5fd9d956a43c325766c0058bde9?OpenDocument&Date=2009-11-12
и
http://asozd2.duma.gov.ru/work/ud.nsf/38745ca737e8a34ec32575230045bcaa/8120ce420bce523fc325767000536e73?OpenDocument&Date=2009-11-16
1. Законопроект о переносе сроков — это первый этап, который можно и нужно было успеть быстро сделать (до 1-го января). Второй этап — менять концепцию целиком. Но это уже требует времени, большего чем один месяц.
2. По текущим проверкам ничего не меняется. РКН как имел право проверять, так и будет проверять. А ФСТЭК и ФСБ пока план проверок и не делали.
ФСТЭК и ФСБ планы сделали… просто проверять формально будут по старой практике — т.е. соответственно ТЗИ и режим))
а по вопросам ПДн проверять будут не "соответствие требованиям…", а "организацию и состояние…"
"ФСТЭК и ФСБ планы сделали… просто проверять формально будут по старой практике — т.е. соответственно ТЗИ и режим))
а по вопросам ПДн проверять будут не "соответствие требованиям…", а "организацию и состояние…""
Я или ошибаюсь, или в 294ФЗ одно и то же соответствие чему бы то ни было проверяет только один регулятор, а другим не положено. Я к тому что обозначенное соответствует зоне ответственности РКН, а технических требований до сих пор нет, т.е. ФСТЭК с ФСБ по сути после НГ делать особо то и нечего у операторов по теме ПДн.
странно но все обращают внимание на перенос сроков
КМК самое значимое это отмена обязательного СКЗИ, а как другие документы не обязывают использовать сертифицированные СКЗИ то вот где самое существтенное — возможность использования не любых СКЗИ для защиты ПДн
Кстати, а кто сказал, что не надо использовать сертифицированные СКЗИ — мероприятия ФСТЭК то никто не отменял, а в соответствии с ними необходимо осуществлять защиту. Если в указе прямо не написано "не надо использовать серт СКЗИ", это не значит "разрешено использовать несерт СКЗИ". Так что шифруем, шифруем всё, что за пределами КЗ.
Короче, нужно дружить с регуляторами (хотя бы с кураторами). Их не так много, и они такие несчастные))
Алексею респект за широту охвата проблемы в целом. Но в реальной жизни простого российского оператора всё гораздо банальнее и грязнее… но с другой стороны — проще))
Перенос сроков выполнения этого "закона" — пустое занятие. Закон необходимо отменить (вместе с подзаконными актами и НМД ФСТЭК) в силу его коррупциогенности, методологической несостоятельности, экономической и социальной вредности.
Изменения, предлагаемые Резником (впрочем, как и другими авторами), принципиально ничем не отличаются от существующей версии. Практически те же "ляпы": расплывчатые и методологически неверные определения используемых терминов (а не понятий, как это прописано в законе), которые "без слез" (или без смеха) читать невозможно; «драконовские» меры к т. н. «операторам», а не к злоумышленникам, использующим полученные данные в деструктивных, по отношению к человеку, целях и т.д.
Бороться нужно с преступниками, а не с законопослушными акторами, обязывая их выбрасывать баснословные суммы на абсолютно бесполезное и даже вредное дело. Под благовидными предлогами – забота о гражданах, необходимость «влезть» в ВТО и т.п. – принят закон, наносящий сокрушительных удар по российской экономике. Мало того, что на проведение абсолютно ненужных мероприятий необходимо выбросить большие деньги каждому юридическому лицу и ПБЛЮЛ (от 40 до 80 и более тыс. руб. на каждое рабочее место + аттестация сетей, не говоря уже о лицензировании и прочей глупости) – по России в целом получается астрономическая сумма, созданы беспрецедентные возможности "кошмарить" бизнес, для чего созданы и содержатся за государственный счет специальные подразделения РКН, еще по всей стране несчетное количество специалистов вместо того, чтобы заниматься производительным трудом самим, занимаются созданием тонн абсолютно ненужной макулатуры в виде положений, инструкций, моделей, актов, приказов и т.д. и т.п. и при этом мешают работать другим. Эти факторы у нас вообще никто и никогда не учитывал. А следовало бы.
В целом, этот закон наносит стране колоссальный ущерб!
Защищать нужно не то и не так! Если, конечно, перед «толкателями» этого закона не стояли и не стоят другие – деструктивные по отношению к человеку и государству – задачи.
Что и как защищать – отдельный вопрос (если кому интересно мое мнение, могу изложить), а вот прояснением второго вопроса следовало бы озаботиться прокуратуре и ФСБ.
Согласен… Государство создает инструменты давления и контроля над бизнесом… Деньги должны работать на развитие экономики, а не тратиться абсолютно в пустую. Может, организации потратят эти деньги на свое развитие и модернизацию, выдадут больше кредитов, на эти деньги смогут выплачивать своим сотрудникам зарплату и не увольнять их, вместо ни кому не нужной стопки бумаги (кроме регуляторов). Государство все время создает законы, чтобы изъять деньги у ГРАЖДАН РФ. Придумали бы лучше льготы, а не душили всех поборами. Про безопасность…. Организации, отвечающие, за свою репутацию и так по полной защищают себя со всех сторон, а ЭТОТ закон не спасет от утечки ПДн…. А только поможет заработать огромные деньги одним и головные боли всем остальным!!!!!
Атаманову:
"Закон необходимо отменить в силу его экономической и социальной вредности."
Правильно, и дальше опускать социально незащищенные слои населения, оставляя их без жилья, навешивая на них кредиты, регистрируя на них фирмы-однодневки…
А лучше вообще все законы отменить.
Налоговый Кодекс, например, очень сильно мешает..
Да что уж там, Конституцию РФ — туда же, лесом..
Лучше отменить государство, имхо…
Да здравствует анархия !
Алексей, скоро Ваш блог закроют за экстремизм 🙂
Этот комментарий был удален автором.
Анониму-2 по поводу
"Закон необходимо отменить в силу его экономической и социальной вредности":
читать нужно то, что пишут, а не то, что думается по поводу написанного!
Те, кто "навешивает кредиты" и совершает другие противоправные деяния, являются преступниками и с ними необходимо бороться, но не методами "не пущать", "не давать никакой информации" и т.п. Им, кстати, для совершения своих преступлений Ваши ПДн и не нужны! Нужны сами документы. А это уже другая статья.
А если бы Вы знали сколько препон и рогаток создал этот закон для малоимущих граждан в плане оформления льгот и субсидий, думаю ерничать не стали бы.
PS: Если выдергивать фразы из контекста и передергивать факты, можно далеко зайти.
Анархия это не отсутствие правил (законов), а их разумный минимально достаточный объем..) Стремление государства ВСЕ регулировать не есть хорошо, а критика не есть экстремизм! Я ведь не призываю лить кровь по поводу и без повода!
Про отменить закон товарищ загнул. Отменим и что?
Первые шаги сделаны. Понятно,что не так, как надо бы. Так давайте делать второй шаг, более правильно.
От того, что Вы отмените закон, Вы позволите операторам и дальше собирать данные людей,не задумываясь о том, что их бы закрывать полезно, не выкладывать практически на всеобщее рассмотрение. А ведь у нас все именно таки было. Закон встряхнул бескультурную в смысле безопасности массу операторов, заставил их подумать о том, чем они реально занимаются. Они завыли о том, что у них отнимают деньги, а то, что они бесконтрольно собирали информацию о людях, им не нужную, и разбрасывали ее повсюду, они не задумались? Если нет, закон даже в такой форме нужен. А если начали думать о своей ответственности по уму, то можно бы подумать и о корректировке подходов по уму.
ПДн защищать надо не по закону, а по совести порядочного человека.
К стати, товарищи крикуны, ПДн никто не исключал из списка защищаемой информации, которую следует защищать и по требованиям других законов. Что, и их отменим? Или будем продолжать их не выполнять.
Разговор может стоять только о выработке разумной нормативной базы, а не об отмене.
Атаманов Г.А. — всё правильно, полностью с Вами согласен, необходимо наводить порядок. Но пока порядка нет, специалистам по защите информации надо зарабатывать деньги. И во время этого процесса каждый может для себя сам решить — кошмарить или не кошмарить Заказчика, разрабатывать макулатуру или рабочие документы и т.д. Даже в таком бардаке можно реализовывать обоснованные и логичные проекты. То, что требования где-то завышены, где-то не регламентированы — это факт. Но работать надо! А еще хотелось бы, чтобы регулятор (ФСТЭК) по результатам защиты ПДн подсократил количество лицензиатов — даже на самый невнимательный взгляд процентов 50 даже в терминологии не разбираются.
То, в каком виде это издано, это вредительство, даже не по категориям до 53 года, причём злостное.
Автор абсолютно прав в своих выводах.
[url]http://www.ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=944&MID=10855&result=new#message10855[/url]
PS
Под автором я имел Атаманов Г. А.