Есть ответ АРСИБ

Итак, сегодня АРСИБ отреагировала на внесение столь "радостных" любому директору по ИБ поправок в закон о персданных. Реакция, правда, не та, что ожидалась. Просто констатация факта подписания нового закона. Правда, авторы пресс-релиза, видимо, далеки от темы, если смогли написать (а точнее переписать фрагмент официального пресс-релиза Кремля) такое: "Ассоциации, союзы и иные объединения операторов с учётом осуществляемой ими деятельности вправе определять дополнительные меры по обеспечению безопасностиперсональных данных при их обработке в информационных системах персональных данных". Очевидно, что Ассоциация директоров по ИБ была бы заинтересована в определении таких дополнительных мер по защите персданных. Только вот незадача - в законе о таком праве ни слова. В законе иная формулировка: "ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасностиперсональных данных". Незначительная разница формулировок, а как меняется смысл... Одно дело определять меры по защите и совсем другое - определять только дополнить разработанную регуляторами модель угроз. Правда, в одной из редакций законопроекта была похожая формулировка - "операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе устанавливать стандарты обеспечения безопасности персональных данных", но было это еще до второго чтения. Мне кажется, сейчас самое время включаться в публичную работу по влиянию на планируемую к разработке нормативную базу. Минкомсвязь к такому сотрудничеству готов, но об этом завтра...