Сергей, согласен с Вами и твержу об этом четыре года со всех трибун, сайтов и журналов. Это обычная мировая практика. Есть обязанность защищать данные о гражданах и ответственность для тех, кто допустил утечку. Дополнил бы Ваше предложение еще двумя тезисами. Первый. Для тех, кто не знает, как защищать, делаются рекомендации (но именно рекомендации, а не требования!). Примеры - стандарты NIST «Special Publication 800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» и BS 10012:2009 «Data protection. Specification for a personal information management system». Второй. Значимые утечки тщательно расследуются, если оператор виноват (плохо защищал) - его наказывают, и очень строго. В США ,например, уголовная ответственность за сокрытие самого факта утечки персданных. При этом не просто наказывают, а обязывают компенсировать понесенный субъектами ущерб, включая моральный. А наши 500 руб штрафа за невыполнение работ на миллионы рублей - издевательство над здравым смыслом (как и необходимость тратить миллионы на защиту). Насчет коррупционности - закон крайне коррупционный. Я много и в разных местах говорил и писал о том, что закон по ряду причин в полном объеме невыполним в принципе (интернет-торговля, денежные переводы, вызов врача на дом и многое другое). Таким образом, все без исключения операторы - нарушители закона. А вот кого и почему привлечь к ответственности - дело регулятора. Более коррупционную схему придумать трудно.

Сергей, согласен с Вами и твержу об этом четыре года со всех трибун, сайтов и журналов. Это обычная мировая практика. Есть обязанность защищать данные о гражданах и ответственность для тех, кто допустил утечку. Дополнил бы Ваше предложение еще двумя тезисами. Первый. Для тех, кто не знает, как защищать, делаются рекомендации (но именно рекомендации, а не требования!). Примеры - стандарты NIST «Special Publication 800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» и BS 10012:2009 «Data protection. Specification for a personal information management system». Второй. Значимые утечки тщательно расследуются, если оператор виноват (плохо защищал) - его наказывают, и очень строго. В США ,например, уголовная ответственность за сокрытие самого факта утечки персданных. При этом не просто наказывают, а обязывают компенсировать понесенный субъектами ущерб, включая моральный. А наши 500 руб штрафа за невыполнение работ на миллионы рублей - издевательство над здравым смыслом (как и необходимость тратить миллионы на защиту). Насчет коррупционности - закон крайне коррупционный. Я много и в разных местах говорил и писал о том, что закон по ряду причин в полном объеме невыполним в принципе (интернет-торговля, денежные переводы, вызов врача на дом и многое другое). Таким образом, все без исключения операторы - нарушители закона. А вот кого и почему привлечь к ответственности - дело регулятора. Более коррупционную схему придумать трудно.

Должно быть по классикам: "практика-критерий истины". Да я обязан защищать ПДн, а как, уж извините мое дело. Допустил утечку - получи по полной программе, нет утечек - значит защита на должном уровне. А ТЗКИ - проще купить нужного сотрудника любой организации, чем заморачиваться с проникновением в ИС. И если не дешевле, то, главное, надежнее. Так что защитить ПДн, если они кому-то очень нужны, не возможно. Предотвращение случайных утечек, это да. Но это не так и сложно. Посему закон должен: 1. Обязать оператора защищать ПДн. 2. Установить ответственность за утечку ПДн. И все. Что внутри - дело оператора. И хватит кормить интеграторов и регуляторов. А как на счет антикоррупционной экспертизы?

Михаил Юрьевич, большое спасибо за статью! Несмотря на грустную концовку (знать, судьба такая...), это блестящее публицистическое выступление - ну ведь в самом деле, "параллельные миры" создаются не Бог весть кем, вполне конкретными человеками с синдромом двоечников (можно еще сказать, синдром страуса). Странная только эта отсрочка - почему же не на год?.. Как, на Ваш взгляд, могут развиваться события - отсрочка еще на полгода, на год? Или двойку объявят высшим баллом - и начнутся тотальные проверки? Кажется. любой сценарий оптимистичным не назовешь...

Лилия, спасибо за оценку. Оптимальный, но самый маловероятный сценарий - за полгода доработают проект Резника и исправят наиболее одиозные положения закона. В том числе возможен отказ от обязательных требований к коммерческим ИСПДн, и тогда собственно тема соответствия их закону потеряет всякий смысл. Но это потребует корректировки не только закона, но и постановлений Правительства № 781 и 550. Свежо преданьице... Второй вариант, более вероятный. За полгода с законом ничего не произойдет. Переносить сроки уже неприлично. И вся мощь системы госконтроля и надзора обрушится на богатых коммерсантов и бесправных бюджетников. Почему – понятно. В промежутке между полюсами никого особо трогать не будут. Между прочим, тот же портал gosuslugi.ru по действовавшей на момент его запуска редакции закона должен был ему полностью соответствовать. Но почему-то игнорирование на нем требований безопасности никого из регуляторов не трогает. ИМХО, сигнал очевиден.