Итак, сегодня АРСИБ отреагировала на внесение столь "радостных" любому директору по ИБ поправок в закон о персданных. Реакция, правда, не та, что ожидалась. Просто констатация факта подписания нового закона. Правда, авторы пресс-релиза, видимо, далеки от темы, если смогли написать (а точнее переписать фрагмент официального пресс-релиза Кремля) такое: "Ассоциации, союзы и иные объединения операторов с учётом осуществляемой ими деятельности вправе определять дополнительные меры по обеспечению безопасностиперсональных данных при их обработке в информационных системах персональных данных".
Очевидно, что Ассоциация директоров по ИБ была бы заинтересована в определении таких дополнительных мер по защите персданных. Только вот незадача - в законе о таком праве ни слова. В законе иная формулировка: "ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасностиперсональных данных". Незначительная разница формулировок, а как меняется смысл... Одно дело определять меры по защите и совсем другое - определять только дополнить разработанную регуляторами модель угроз.
Правда, в одной из редакций законопроекта была похожая формулировка - "операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе устанавливать стандарты обеспечения безопасности персональных данных", но было это еще до второго чтения.
Мне кажется, сейчас самое время включаться в публичную работу по влиянию на планируемую к разработке нормативную базу. Минкомсвязь к такому сотрудничеству готов, но об этом завтра...
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.