Помните ли вы, как появилось первое четверокнижие ФСТЭК? Сначала появилось 781-е постановление Правительства (17 ноября), в котором ФСТЭК и ФСБ предписывалось выпустить в трехмесячный срок нормативные документы по защите персданных. Потом требования пошло по инстанциям и когда оно спустилось до исполнителей оставалось совсем мало времени до выпуска нормативно-правовых актов (правда, ФСТЭК таковыми их не считала) с конкретизацией защитных мер. В итоге мы получили то, что получили. Кто-то даже говорил, что это чья-то диссертация. Ну да суть не в этом... Документы были выпущены в такой спешке, что потом операторы персданных долго разгребали последствия от их применения.
Сейчас, после выхода новой редакции ФЗ-152, регуляторы должны выпустить новые требования. Какими они будут? Хочется верить, что адекватными. Многие, с кем мне довелось пообщаться, говорят, что времени на разработку достаточно. Но так ли это?
С 1-го января 2012-го года начнутся проверки выполнения новых требований по безопасности, разрабатываемых ФСТЭК и ФСБ. Но чтобы проверки начались с 1-го января именно следующего года, ФСТЭК и ФСБ должны направить до 1-го ноября в прокуратуру план проверок с указанием правового основания для проведения проверочных мероприятий. Так следует из ФЗ-294 и 319-го приказа Генпрокуратуры. Правда, ситуация на практике обычно выглядит немного иначе. Например, к 1-му января в сводном плане проверок отсутствовали упоминания ФСБ, а совсем недавно на сайте ФСБ оказался план проверок, в котором присутствовало 265 организаций. Видимо внесение задним числом в план проверок - это из той же оперы, что и подмена одного законопроекта другим.
Но если все будет по-честному, то на разработку требований у регуляторов остается всего-то август, сентябрь и октябрь, т.е. 3 месяца. Немало, скажете вы. Ведь родили четверокнижие за такой срок. Не спорю, родить нормальный документ за этот срок реально. Только вот незадача... Защитные меры должны опираться на разрабатываемые Правительством уровни защищенности. А вот тут у меня зарождаются сомнения, способно ли Правительство разработать такие уровни с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности. Т.е. тут не одномерное пространство - "класс ИСПДн - список защитных мер", а многомерное. И все это за три месяца. Успеют ли?...
ЗЫ. Читающим этот пост коллегам из ФСТЭК предлагаю сотрудничество в деле разработки адекватных документов.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.