Реакция на наше открытое письмо действительно получилась серьезная. Спасибо всем, коллеги. Подробнее обо всем написал Алексей Волков в своем посте тут .
Но надо честно признать, что не все согласны с нашими доводами. Вот пример другого мнения: прошу любить и жаловать - Вихорев С.В., Заместитель Генерального директора по развитию, ОАО «ЭЛВИС-ПЛЮС», опубликовал свое письмо на наше письмо.
Не стану опускаться до уровня г-на Вихорева и переходить на личности, оценивать мотивацию (желание и нежелание работать и проч.). Давайте смотреть по фактам:
1) Да со статьей Конвенции вышла промашка, дело в том, что поспешность действий Госдумы вынудила и нас писать письмо в довольно оперативном порядке, что привело к указанной ошибке, но суть от этого не меняется ибо указанные нормы в Европейском подходе присутствуют.
2) Давайте еще разок вдумчиво посмотрим на то, дана ли свобода операторам. Итак поехали:
Статья 181Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
Заметьте речь идет о том, что оператор самостоятельно выбирает состав мер по соблюдению обязанностей, налагаемых данным ФЗ (безопасность только одна из) + замечательная фраза "если иное не предусмотрено настоящим ФЗ".
Т.е. применение мер безопасности это только одна из мер для выполнения обязанностей закона. Тут не рассматривается применение или неприменение антивируса, МСЭ и проч. Идем дальше:
Статья 19 п.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Вот тут уже оператор обязан (!). И дальше идет перечисление перечня действий которые позволяют обеспечить безопасность. Хорошо, допустим он необязательный (идем от противного). Тогда читаем следующий пункт:
Т.е правительство все же нам установит уровни и требования. А дальше:
Не стану опускаться до уровня г-на Вихорева и переходить на личности, оценивать мотивацию (желание и нежелание работать и проч.). Давайте смотреть по фактам:
1) Да со статьей Конвенции вышла промашка, дело в том, что поспешность действий Госдумы вынудила и нас писать письмо в довольно оперативном порядке, что привело к указанной ошибке, но суть от этого не меняется ибо указанные нормы в Европейском подходе присутствуют.
2) Давайте еще разок вдумчиво посмотрим на то, дана ли свобода операторам. Итак поехали:
Статья 181Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
Заметьте речь идет о том, что оператор самостоятельно выбирает состав мер по соблюдению обязанностей, налагаемых данным ФЗ (безопасность только одна из) + замечательная фраза "если иное не предусмотрено настоящим ФЗ".
К числу таких мер могут, в частности, относиться:
....
3) применение правовых, организационных и технических мер по обеспечениюбезопасности персональных данных в соответствии со статьей 19 настоящего Федеральногозакона;
....
3) применение правовых, организационных и технических мер по обеспечениюбезопасности персональных данных в соответствии со статьей 19 настоящего Федеральногозакона;
Т.е. применение мер безопасности это только одна из мер для выполнения обязанностей закона. Тут не рассматривается применение или неприменение антивируса, МСЭ и проч. Идем дальше:
Статья 19 п.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Вот тут уже оператор обязан (!). И дальше идет перечисление перечня действий которые позволяют обеспечить безопасность. Хорошо, допустим он необязательный (идем от противного). Тогда читаем следующий пункт:
Ст. 19 п.3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровнизащищенности персональных данных;
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровнизащищенности персональных данных;
Т.е правительство все же нам установит уровни и требования. А дальше:
Ст.19 п.4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
ФСТЭК и ФСБ расскажут как выполнить эти требования. Где здесь свобода выбора ?
А дальше в п.5, п.6, п.7 идет речь вообще об установлении списка угроз. Как скажите мне этот список угроз вяжется с требованиями, которые надо выполнить? Т.е. заметьте устанавливаются не требования, а список актуальных угроз. Кроме того, эти документы должны быть согласованы со ФСТЭК и ФСБ, а это значит, что если им что-то не понравится, то документы надо будет поправить, ведь так ?
И в завершение хочу сказать коллеги, в некоторых комментариях поднимается риторика, что те дескать г-н Вихорев по другую сторону барикад, ему "кушать" надо. Я, представитель компании-консультанта, хотя еще раз подчеркну, что данное письмо - моя личная инициатива и никак не связана с позицией моего работодателя, НО я убежден, что поправки нужны, в т.ч. для того чтобы все мы честно работали и получали свой хлеб за честную и нужную работу. На западе у консультантов есть хлеб и они приносят пользу бизнесу, никто (ну или мало кто) не называет их прихлебателями и вытягивателями денег. Мы - эксперты, которые помогают решать проблемы нашим Заказчикам. Мы знаем как хорошо сделать нашу работу и поверьте я не дурак и не пилю сук, на котором сижу. Я убежден, что принятие поправок, за которые мы агитируем, оздоровит рынок и даст работу всем, кто хочет и может честно и хорошо работать.
ФСТЭК и ФСБ расскажут как выполнить эти требования. Где здесь свобода выбора ?
А дальше в п.5, п.6, п.7 идет речь вообще об установлении списка угроз. Как скажите мне этот список угроз вяжется с требованиями, которые надо выполнить? Т.е. заметьте устанавливаются не требования, а список актуальных угроз. Кроме того, эти документы должны быть согласованы со ФСТЭК и ФСБ, а это значит, что если им что-то не понравится, то документы надо будет поправить, ведь так ?
И в завершение хочу сказать коллеги, в некоторых комментариях поднимается риторика, что те дескать г-н Вихорев по другую сторону барикад, ему "кушать" надо. Я, представитель компании-консультанта, хотя еще раз подчеркну, что данное письмо - моя личная инициатива и никак не связана с позицией моего работодателя, НО я убежден, что поправки нужны, в т.ч. для того чтобы все мы честно работали и получали свой хлеб за честную и нужную работу. На западе у консультантов есть хлеб и они приносят пользу бизнесу, никто (ну или мало кто) не называет их прихлебателями и вытягивателями денег. Мы - эксперты, которые помогают решать проблемы нашим Заказчикам. Мы знаем как хорошо сделать нашу работу и поверьте я не дурак и не пилю сук, на котором сижу. Я убежден, что принятие поправок, за которые мы агитируем, оздоровит рынок и даст работу всем, кто хочет и может честно и хорошо работать.
