Законопроект № 1070431-7 "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности" выглядит как специализированный и не предвещающий серьезных изменений в жизни всех организаций страны. https://sozd.duma.gov.ru/bill/1070431-7 И действительно, в три федеральных закона вносятся правки, направленные на защиту информации о конкретной группы лиц и вполне обоснованно и аргументировано.
Но ситуация с предлагаемыми изменениями в 152-ФЗ "О персональных данных" совсем другая.
В пояснительной записке к законопроекту информация о защищаемых лицах упоминается:
Дополнительной гарантией обеспечения безопасности персональных данных защищаемых лиц выступает устанавливаемая законопроектом мера по организации взаимодействия операторов информационных систем персональных данных с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации.
Смотрим сам законопроект:
Статья 4
Внести в часть 2 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2011, № 31, ст. 4701) следующие изменения:
1) пункт 6 дополнить словами «, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них»;
2) пункт 9 дополнить словами «, включая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации».
Вот так будут выглядеть требования 152-ФЗ после принятия закона:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, включая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации
Нет никаких исключений. Все операторы ПДн и все операторы ИСПДн будут обязаны выполнять эти меры защиты. Вне зависимости от наличия обработки информации о защищаемых лицах.
Все это ВСЕ, поскольку это не только организации, внесенные в реестр РКН как операторы ПДн.
Рассмотрение законопроекта в Госдуме запланировано на 15 декабря 2020 года
включить указанный законопроект в проект порядка работы Государственной Думы на 15 декабря 2020 года для рассмотрения в первом чтении.
И в правовом управлении не видят необходимости запрашивать заключение от Правительства РФ
необходимости получения на данный законопроект заключения Правительства Российской Федерации не усматривается.
В настоящий момент времени, ГосСОПКА описана только в законодательстве по обеспечению безопасности критической информационной инфраструктуры. И подзаконные акты к 187-ФЗ определяют деятельность субъектов КИИ, причем в зависимости от категории значимости.
Что предлагается выполнить законопроектом и какими НПА это будет описано для операторов ПДн не понятно.
Напомню, что по 152-ФЗ "Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных."
Какой смысл вкладывал авторский коллектив в "взаимодействие с ГосСОПКА" не понятно, а правовых оснований для разработки новых НПА по разъяснению этих требований в законопроект не заложено.
Неуже ли хотят заставить ФСБ подписать с каждым юрлицом и ИП страны -
РЕГЛАМЕНТ взаимодействия подразделений Федеральной службы безопасности
Российской Федерации при осуществлении информационного обмена в области обнаружения,
предупреждения и ликвидации последствий компьютерных атак?
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Законопроект принят в первом чтение
ОтветитьУдалитьВсе верно. ГосСОПКА же должна окупаться, и все операторы ПДн будут обязаны платно подключиться к одному из центров СОПКИ.
ОтветитьУдалитьЗаметим, не ГИС обязывают к системе подключаться (что было бы логичнее), а операторов ПДн.
Изящный ход!
Больше похоже на саботаж работоспособности бизнес-организаций, точнее вредительство, та сказали бы в 37-м
УдалитьБольшинство ГИС еще и и ИСПДн одновременно.
УдалитьГИС МОЖЕТ быть кто-нибудь и поддержит средствами на исполнение требований, а вот бизнес, пусть даже и с госучастием...это вряд ли. Денег нет на реализацию требований для ЗОКИИ или ИСПДн, а что уже тут говорить о подключении к ГосСОПКА для них. Сейчас очень модная тема пошла...прямо как в США, всё оправдывать национальной безопасностью, бездумно, абсолютно не задумываясь о последствиях для исполнителей инициатив писак из Думы. Я несколько лет проработал в одной организации (ФОИВ) на практически самом верху пищевой цепочки и понимаю как сейчас принимаются решения в ФСТЭК. Печально, что с 2016 года, как я уволился, ничего не изменилось. Чиновники и руководители думать головой не хотят, не модно это, подумать и потом принять решение. Сначала решение задачи, а разгребать проблемы потом. Типа, иначе, так ни одну задачу не решеить, если долго думать. Печально всё это...(
Удалитьпод эти требования подпадают и ИП. Такая вот поддержка малого бизнеса
УдалитьМы с Вами обсуждали уже необходимость выполнения требований по ЗИ или ИБ, которые клепают, как ошалелые, думцы, регуляторы и т.п. Вы сказали, что законы и законные требования надо выполнять. Вот теперь, скоро, будем все выполнять, ну или почти все....ведь насколько я понимаю, ДИТ г. Москвы выполнять эти или другие законные требования, в том числе предусмотренные Конституцией, не собирается.
ОтветитьУдалить"пункт 9 дополнить словами «, включая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации»." исключен из законопроекта
ОтветитьУдалитьА п. 6) "обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них." остался?
ОтветитьУдалитьА п. 6) "обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них." остался?
ОтветитьУдалитьПринятый вариант. Ст. 3 http://publication.pravo.gov.ru/Document/View/0001202012300041?index=5&rangeSize=1
Удалить