Чего же реально не хватает?

Чего же реально не хватает?

Сегодня не выполнение требований ЗУ о защите персональных данных многие обьясняют отсутствием нормативно-правовых актов, которые должен издать КМ.

А что это должны быть за акты? Какие моменты действительно не понятны и требуют разьяснения?

Не показалось ли, что пункт 10 Статьи 6 больше напоминает «ляпсус» и выпадает из общего контекста закона?

6 days ago

10 comments

Vladimir Matviychuk, CISA, CISM Да в общем ерунды не хватает:
- Детальных требований и подходов по организации защиты.
- Типового порядка обработки персональных данных

Желательно в виде отраслевых стандартов

Vladimir Gninyuk Отраслевые стандарты, вправе навязывать «Детальные требования и подходы по организации защиты и Типового порядка обработки персональных данных» так как они могут быть специфичны для отрасли. Более того это нужно рассматривать как благо.

Исходя из наших реалий, первым такой стандарт может выпустить НБУ для того что бы «разрулить» ситуацию, например, вытекающую из Ваших замечаний (http://notesonthecuff.blogspot.com/2011/02/blog-post_13.html), которые более чем уместны.

Но отраслевые стандарты не КМ разрабатывает и не за шесть месяцев. Если закон будет сопровождаться отраслевыми стандартами - это будет хорошо. Но не реально выпустить стандарты для всех отраслей учитывающих специфику от ЧП-шника, заканчивая транснациональными компаниями…

Закон четко описывает, что есть «обработка персональных данных» и определяет правовой режим информации, как « информацию с ограниченным доступом», определяет зону ответственности и вот-вот установит «меру ответственности». Разве этого не достаточно?

Vladimir Matviychuk, CISA, CISM Практика России показала, что недостаточно не только полгода, но и четыре :)

Разрабатывать все будет Госслужба по вопросам защиты персональных данных.

Vladimir Gninyuk Хотя на самом-то деле НБУ ничего выпускать не надо, так как СОУ Н НБУ65.1 с головой.

Vladimir Gninyuk У россиян закон сложнее. И ошибка их, ИМХО, что они закон решили детализировать до инструкций.
У нас закон высокоуровневый и мне кажется - это плюс.

Vladimir Matviychuk, CISA, CISM СОУ Н НБУ65.1 не спасает - A15.1.4 (Захист данних та конфіденційність персональних даних) ссылается на существующее законодательство, которому нужно соответствовать.

Цитирую дословно:

Повинна бути розроблена й запроваджена політика організації щодо захисту даних і конфіденційності. Ця політика повинна бути доведена до відома всіх осіб, залучених до оброблення персональної інформації.
Відповідність цій політиці та всьому _існуючому законодавству_ й нормативам щодо захисту даних вимагає відповідної структури управління та контролю.
.....

Багато країн ввело законодавство, яке встановлює заходи безпеки збирання, оброблення та передавання персональних даних (взагалі інформацію щодо існуючих осіб, які можуть бути ідентифіковані за цією інформацією). Залежно від відповідного національного законодавства такі заходи безпеки можуть накладати обов’язки на тих, хто збирає, обробляє та поширює персональні дані, а можуть обмежувати можливість передавання таких даних до інших країн.


Боюсь, что это мало поможет

Vladimir Tkachenko А что мешает банку или любому другому предприятию внести вопросы защиты персональных данных в процедуру классификации информации.

Как сказано в проекте рекомендаций НБУ по внедрению стандарта в
Перелік відомостей, що містять інформацію з обмеженим доступом
и в 27001 как сказал Владимир выше.
Просто дополнить существующую инструкцию (или положение) вопросами защиты персональных данных (можно и на Закон Украины сослаться) .

Т.е. еще раз ПДн относим к ИзОД и соответствующим образом обрабатываем. И не нужно отдельных разъяснений и прочего. Или я не прав?

Vladimir Matviychuk, CISA, CISM Мешает непонимание и нежелание.

>>Просто дополнить существующую инструкцию (или положение) вопросами защиты персональных данных (можно и на Закон Украины сослаться) .

О чем я и говорю - есть над чем поработать.

На счет разъяснений - они нужны. Ибо нет даже единого понимания что есть персональные данные.

Vladimir Gninyuk Отсутствие понимания действительно присутствует. Хотя ИМХО мне например формулировка:

"персональні дані - відомості чи сукупність відомостей про
фізичну особу, яка ідентифікована або може бути конкретно
ідентифікована"

очень нравится. Она в стиле любимых:

asset - anything that has value to the organization
или
Risk is the effect of uncertainty on objectives

Начнут "разьяснять" - исказят. Начнут писать инструкции, будет как в России - сделают невозможным выполнение.

Лично у меня, пока вопросы к Закону: кое что поправить таки надо, но так, что бы инструкций не хватало, такого ощущения пока нет...

Vladimir Matviychuk, CISA, CISM Это поправимо. Начнут штрафовать - появится понимание :)
http://gska2.rada.gov.ua/pls/zweb_n/webproc4_1?pf3511=38996

Comments