Закон должен установить рамки для правительства и регуляторов, а в этой редакции их нет.
Форум
[ Закрыто ] Открытое письмо Президенту по поводу внесений изменений в ФЗ-152
|
07.07.2011 15:26:32
|
|
|
|
|
07.07.2011 15:35:00
Простор для деяетльности.
|
|
|
|
|
09.07.2011 19:02:18
В предыдущей (компромисной) версии она выглядела примерно так:
|
|||||
|
|
|
10.07.2011 17:31:29
toparenko,, ну мы все-таки не за Президента ратуем, а за граждан РФ и различные направления бизнес-деятельности прежде всего, я надеюсь. Поручение Президента - лишь повод пожаловаться все же и попытаться отстоять свои интересы.
Ну а про изменение статьи опять же писал, что много говорится о том, что сделали не так, как хотелось. Да переиграли под свои нужды и желания, да много полезного и нужного убрали. Но странно аргументировать, что вон был когда-то текст, его показывали, а потом убрали - какие они там нехорошие все в правительстве. Предлагаю быть реалистами - есть по факту выложенный и утвержденный законопроект - против него и нужны реальные факты высказывать: в чем есть нестыковки, в чем сложности для операторов, где и как ущемляются и неучитываются права субъектов и т.д. Доводы, что вон был законопроект хороший, всем нравился, а его не приняли на гос. уровне не пройдут - это только для блогов и форумов можно, хотя прекрасно понимаю разочарование и непонимание происходящего Вот подумалось тут на досуге... все специалисты трубят о необходимости комплексного подхода к обеспечению ИБ, но при этом хотят такие вопросы, как регулирование защиты ПДн, решить с помощью одного документа - немного странно. Все-таки стоит разработать нормальную концепцию - начиная от продуманной схемы привлечения к ответственности и механизмов регулирования связанных процессов (лицензирование, оценка соответствия, проверки) и до нормативных документов верхнего уровня - AP? постановлений и т.д. Иначе какой смысл писать всю эту ерунду, об которую все ломают копья, если нет возможности нормально выполнять все требования в текущей ситуации?
Изменено:
Ronin - 10.07.2011 17:37:25
|
|
|
|
|
11.07.2011 08:59:31
Ronin,
закон ударил прежде всего по добросовестным операторам, как говорится все, что нажито непосильным трудом... и сделано во исполнение действующего закона. Кокой перечень мер установит правительство для ГИС? Какие уровни защищенности и требования к защите установит правительство для всех операторов? Какие состав и содержание этих требований установят регуляторы для всех операторов? Кто и какие угрозы безопасности ПДн, актуальные при обработке в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности, будет определять? Если Банк и внебюджетные фонды (ПФР и ФОМС) понятно, то для кого будут определять органы государственной власти субъектов Российской Федерации? Что относится к Федеральным органам исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности? За какое время появятся эти подзаконные акты? А времени до 01.01.2013 г. мало, или опять будут переносить? Одна надежда - в декабре 2012 конец света, все вопросы и решатся  |
|
|
|
|
11.07.2011 10:40:22
Пока мы видим, что даже те копромисные решения, которые достигаются путем кучи переговоров, согласований, убеждений, перечеркиваются одним росчерком пера... О каком дальнейшем взаимодействии может идти речь?!? Ну и вообще о чем можно говорить если у нас не исполняются поручения Вертикали Власти, а законодательной Власти некие "силы" могут "дать команду" на торпедирование порученного Гарантом Конституции?..
Изменено:
toparenko - 11.07.2011 10:42:32
|
|||
|
|
|
11.07.2011 10:50:18
toparenko,, ну все это также не более, чем продолжение гласа вопиющего, к сожалению. Но в том-то и проблема, что без такого подхода ничего толкового не получится и так и останется компаниям раскошеливаться и покупать красивые коробочки с наклеечками вместо организации нормального СУИБа по потребностям.
И ведь, что самое смешное, все утечки, из-за которых начался шорох - слив баз из гос систем. И сливали их явно не в обход несертифицированным СЗИ.
Изменено:
Ronin - 11.07.2011 10:51:59
|
|
|
|
|
11.07.2011 11:02:41
И Вы мне (и не только мне) предлагаете опять начинать с нуля то, что уже показали непроходным вариантом???
 ).
Не обращали внимания в рекомендациях Минсоцзрава о том, что приведение производится при наличии бюджета? Т.е. гос-ы и далее не будет приводить свои системы - а комерсам предлагается выкинуть достаточно большие суммы на защиту от регулятора очень мало имеющего общего как с реальной защитой прав субъектов, так и с информационной безопасностью. Да и вообще парадигма предлагаемая регуляторами практически не работает по инсайдерским рискам...
Изменено:
toparenko - 11.07.2011 11:04:43
|
|||||
|
|
|
11.07.2011 11:10:27
Ни в коей мере - это как раз единственный адекватный подход и не с нуля, а с учетом всех наработок разумеется. говорил лишь об аппелировании к этим фактам, так как такие жалобы наверху не найдут отклика - им откуда знать что там и как было? А если и знают, то тем более не прислушаются. Просто нужно по фактам, без спешки расписать текущий законопроект - в чем именно его проблемы (отсылы к будущим подзаконным актам снова не найдут необходимых эмоций наверху, так как это нам что-то тма понятно, а здесь нужны факты), можно предложить провести проверку на коррпционную составляющую закона, привести юридическое рассмотрение противоречий в законе и далее довести необходимость рассмотрения и доработки тех процедур, на которые ссылается законопроект (то же проведение оценки соответствия и прочие уровни защищенности...). Это на мой взгляд адекватные доводы, а не эмоции, которых сейчас полно в сети. Ну и вторая строка - как раз это и имел в виду, что все базы, которые мы видим в сети и на рынках сливаются не в обход средств защиты, а просто копипастом допущенными сотрудниками. И будут там также стоять CPB с наклейками или не будут - ничего принципиального не изменится. На тему средств и проектов - практически все конкурсы и работы звучат как "приведение в соответствие", "выполнение требований", а не "защита ПДн и прав субъектов", что говорит мноое об отношении к данному законодательству и проблеме в целом 
Изменено:
Ronin - 11.07.2011 11:12:07
|
|||
|
|
|
11.07.2011 11:13:02
toparenko,
5+, почему я должен платить штраф не за отсутствие защиты, а за отсутствие бумажки на СЗИ 
Аналогия с автосигнализацией - самое надежное противоугонное устройство - амбарный замок на педали или руль. |
|
|
|
|
11.07.2011 11:23:14
Вы готовы до 13 июля 2011 подготовить рассмотрение всех противоречий и косяков в этой версии ЗоПД и обеспечить, чтоб это попало в руки ЛПР? |
|||
|
|
|
11.07.2011 11:29:39
В СФ остановить не получится, в повестке он почти под занавес (34 из 40), примут - и по домам.
|
|
|
|
|
11.07.2011 12:38:13
toparenko,, ну про СФ я думаю Вы и сами не думаете серьезно - там все нормально пройдет. Так что ориентируемся на ДАМ.
На тему анализа -думаю, что это более, чем реально, тем более, что времени уже прошло прилично, текст был просмотрен многими специалистами, включая инициативную группу и основные косяки обсуждались даже. осталось только это сформулировать нормальным языком основательно. Сам готов участвовать и оказать посильную помощь, дабы не быть голословным. На тему довдения до лиц - это больше к тем, кто имеет какие-то выходы. было бы странно возлагать это на людей с улицы, наш удел только обращения писать. |
|
|
|
|
11.07.2011 12:52:06
Вот в этом и вся проблема
Рассказать про косяки можно - были бы слушатели. Основная идея Открытого письма достучаться до них (и то если удасться создать критическую массу), потому коротко и без детализации. Остальное если удасться... |
|||
|
|
|
11.07.2011 16:02:05
Да все с этим законом понятно... Еще одно кормушечное лобби регуляторов. Мы так ждали изменений, так надеялись... А все зря. Для большинства операторов дешевле и надежнее "покормить" проверяющих, чем выстроить защиту. И их логика понятна: множество вариантов трактования норм закона,плохое качество и нереальная дороговизна услуг в этой сфере, а самое главное- ни одна компания, занимающаяся защитой информации не гарантирует что проверяющие не тронут их клиентов после того, как они все защитят, потому что как нам сказал на семинаре представитель Роскомнадзора-"пришел с проверки и не выписал ни одного предписания, начальство скажет что взял взятку. Поэтому мы всегда найдем к чему предраться". Эти и многие другие факторы делают ЗоПД неработающим. Доказывать ничего не буду, все и так знаете что 95% ничего не защищают.
В идеале, нужно чтобы роскомнадзор вступал в игру только в качестве защитника субъекта в случае поступления в его адрес заявления или обнародованного факта утечки информации. Если заявлений от субъектов не будет, значит оператор со своей обязанностью справляется. Ведь народ лучше любого регулятора проверит операторов на прочность. Не помню где взял, но очень понравилось:"пенсионер за условную плату письменно и по телефону достанет любую организацию". |
|
|
|
|
11.07.2011 16:09:01
|
|||||||
|
|
|
11.07.2011 16:29:40
Израэль Хендс,
Так 95 процентов и не будут никогда защищать, потому что это нецелесообразно. Аж 400 внеплановых в год. А операторов 7 миллионов. И 90% всех жалоб это жалобы на банки, страховые и сотовых опрераторов. А 80% операторов вообще не работают с ПДн физиков настолько, чтобы на них жалобу писали. Попытайтесь вспомнить всех операторов кому вы оставляли любые свои ПДн. На кого бы вы пожаловались? Кому вы не доверяете? Лично я только гос органам, потому что их базы все время гуляют по свету. Лично я не собираюсь жаловаться например на автосалон где я покупал машину или магазин детских игрушек, который выдал мне карту клуба, потому что я им доверяю, потому что нормальные компании заботятся о своей репутации и еще не разу не видел своих данных, ушедших от них. Ну кроме сотовых операторов))) но от них никуда не деться. Монополисты хреновы. |
|
|
|
|
11.07.2011 16:44:41
|
|||
|
|
|
11.07.2011 16:46:10
|
|||
|
|
|
11.07.2011 17:39:22
Не факт, что большая их часть утекла от ОпСоС-ов - |
||||
|
|
||||
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
