2023-07-19 14:17:01
Идея лицензирования всех операторов ПДн не нова - такое уже было в 2008-м году, когда регуляторы считали, что любой оператор ПДн должен получать лицензию ФСТЭК на техническую защиту конфиденциальной информации (ТЗКИ). Ведь защита - это лицензируемый вид деятельности, а защищать ПДн организация обязана. Вуаля, всем в очередь за лицензией
Все бы ничего, только авторы инициатив по обязательному лицензированию забывают, что лицензия дает право заниматься определенным видом деятельности, а защита, как и обработка, персданных - это обязанность любого оператора, от которой отказаться нельзя. Следовательно, требовать получать лицензию на то, что ты и так обязан делать, странно, если не сказать хуже
РКН успел отречься от инициативы, заявив, что речь идет не обо всех операторах ПДн (а в феврале СПЧ хотел именно всех загнать в аккредитацию), а только о тех, которые обрабатывают более 1 миллиона записей о субъектах ПДн. Почему 1 миллион? В ПП-1119 по уровням защищенности верхняя граница проходит по 100 тысячам записей. В законопроекте по оборотным штрафам граница еще ниже. Почему бы не привести все к единообразию? Тем более, что все в руках Минцифры и РКН , которые и отвечают за регулирование ПДн в стране? Вводить ограничения все горазды. Внести правки в уже разработанную нормативку - никого нет, мы в домике.
РКН говорит, что они не хотят вводить ограничения, а хотят повысить уровень защиты ПДн россиян. Благое начинание Но почему вдруг РКН устанавливает требования по защите, а не ФСТЭК с ФСБ, которые по ст.19 ФЗ-152 и уполномочены это делать? Сами же идеи РКН местами странноватые. 5 человек с высшим образованием в области ИБ? Вы где столько видели в одной неИБ-компании? Финансовое обеспечение ответственности в 100 миллионов рублей? Ну хоть не 500 миллионов как у обработчиков биометрических ПДн. Подтвердить выполнение требований по ИБ? А вот это интересный пункт. Как подтвердить? У госов - это аттестация, что прописано в 17-м приказе . А у коммерческих организаций? Аудит (фу, это бумажная ИБ)? Пентест (он и так прописан в 21-м приказе)? Багбаунти (как для портала госуслуг и ЕСИА)? И кто будет проверять качество ИБ? РКН? А откуда там специалисты по ИБ? В общем, много вопросов вокруг очередной непродуманной инициативы. Лучше бы законопроект об оборотных штрафах довели до ума (но его, похоже, в эту сессию работы Госдумы уже не внесут - время вышло). Посмотрели бы на результаты, оценили бы их. А потом уже новые ограничения вводили бы. Но нет, принтер простаивает...
6.1K views11:17