О проектах Постановлений Правительства по ПДн

О проектах Постановлений Правительства по ПДн
27 апреля я писал о проектах новых Постановлений Правительства по ПДн. Они вызвали большую дискуссию среди специалистов. Кто-то сразу выступил негативно, кто-то проанализировал тексты и отправил разработчикам свои предложения по улучшению. Кто это сделал через антикоррупционную экспертизу (по ней пока результатов нет), кто-то через контакты с авторами проектов. Среди последних был я. Именно поэтому я не стал ничего публично комментировать , надеясь, что можно будет в диалоге с авторами попробовать внести важные поправки, делающие документ более применимыми на практике.

Увы, не получилось. Вчера я, и коллеги, посылавшие свои предложения в ФСБ, получили ответ о результате рассмотрения наших поправок/предложений. Итог таков:
  • Проект Постановления Правительства по уровням защищенности. Внесено 51 предложение. Принято (местами частично) только 13; не самых критичных, а местами просто синтаксических правок ;-( 38 предложений не учтено ;-(
  • Проект Постановления Правительства по требованиям защиты. Внесено 49 предложений. Принято всего 5 (пять). В 4-х случаях изменена формулировка, так. что можно посчитать, что предложения также приняты. В принятии оставшихся 40 предложений авторами было отказано ;-(
Приводить конкретные тексты сделанных предложений, как и принятых поправок, не буду. Игра еще не закончена - есть Минкомсвязь, который может еще вмешаться в процесс и внести свои коррективы. И есть МинЮст, который будет рассматривать антикоррупционные поправки.

Если все останется так, как есть, то жить станет очень весело. И непросто. Обеспечить защиту персданных будет неимоверно сложно, а небольшим предприятиям и вовсе не под силу. В качестве только примера хочу обратить ваше внимание на такой момент. По нынешнему приказу трех ИСПДн, обрабатывающая общедоступные ПДн, классифицируется как К4. Все логично. По проекту нового Постановления понятие общедоступных ПДн из классификации исчезло вовсе. И если я напишу в Facebook, Twitter, Одноклассниках или на любом ином сайте, что я заболел ОРВИ (напишу сам, по своей воле), то этот сайт будет классифицирован не как К4 (по приказу трех), а как К1. И попытка исправить это недоразумение (я так считал) к успеху не привела - авторы проектов считают, что это информация о состоянии здоровья (даже если я сам ее опубликовал и ее публикация никакого ущерба мне ненанесет), будет относиться к 1-й категории, а вся ИСПДн - к К1.

Всем удачи!

ЗЫ. Лучше бы мы и не трогали старую редакцию закона и Постановлений Правительства.

ЗЗЫ. Почему резуляторы и остальной рынок не смогли найти общего языка описано в моем же посте неделю назад.
законодательство тенденции ФСБ персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!