Мини - #ОРВ #ИБ #ИнфоБезопасность Из всего объема требований, реально хоть как-то работает 4-8% (в зависимости от профиля организации). От выполнения этих требований исходит 95% всех нормативных (читай правовых и не только) рисков https://www.tsarev.biz/news/pro-bessmyslennye-doklady-i-ekspertov-otorvannyx-ot-realnoj-zhizni/
Царев Евгений
Про бессмысленные доклады и экспертов оторванных от реальной жизни
Послушал очередную презентацию про регулирование информационной безопасности в
#ЦифроваяЭкономика #DigitalEconomy #ЦифровойПрофиль #АКЭ
https://www.rspectr.com/articles/501/cifrovye-profili-plyusy-vnedreniya-i-riski-ispolzovaniya
В законопроекте (https://regulation.gov.ru/projects#npa=89871), в частности, говорится, что при обработке #ПД с использованием инфраструктуры #ЦП пользователь дает соответствующее согласие в форме электронного документа, подписанного простой или усиленной квалифицированной электронной подписью. Вместе с тем остается непонятным, как будут храниться такие данные и кто получит доступ к цифровому профилю.
Возможны ли риски использования информации из ЦП третьими лицами? Как это предотвратить при формировании инфраструктуры проекта? Такие вопросы #RSpectr задал экспертам рынка.
Комментарий Алексея Ефремова, ведущего научного сотрудника Центра технологий госуправления #РАНХиГС при Президенте РФ:
– Законопроект вызывает очень много замечаний с точки зрения обеспечения информационной безопасности (#ИБ) и защиты персональных данных ПД.
1. Нарушены базовые принципы и действующего федерального закона о ПД, и Конвенции Совета Европы 1981 года:
– о запрете объединения баз данных, цели обработки которых несовместимы между собой (концепция ЦП),
– об обязательности письменного согласия лица на принятие решений на основании исключительно автоматизированной обработки ПД (норма о 15-секундном обновлении сведений).
2. Законопроект никак не определяет цели присвоения идентификаторов, не конкретизирует цели обмена данными и их соответствие изначальным целям, для которых эти данные были собраны и обрабатываются госорганами.
3. Документ не называет круг субъектов, которые будут иметь доступ к данным, а также их возможности по обновлению данных. Нормы проекта закона в части запросов организаций на получение сведений о гражданах и юрлицах с использованием инфраструктуры ЦП содержат коррупциогенные факторы.
4. Законопроект не упоминает о том, кто будет оператором инфраструктуры ЦП, и не указывает, кто конкретно будет нести ответственность за достоверность и безопасность данных. При возможности 15-секундного обновления информации неопределенным кругом лиц общая норма об ответственности органов власти (которые несут ее как операторы своих ИС, а не предлагаемой инфраструктуры ЦП) не обеспечит реальной сохранности, достоверности и безопасности ПД.
Соответствующее заключение по независимой антикоррупционной экспертизе законопроекта А. Ефремов направил в #Минкомсвязь.
https://to36.minjust.ru/sites/default/files/efremov_aa_ake_zakl_minkomsvyazi_cifrovoy_profil.pdf
https://www.rspectr.com/articles/501/cifrovye-profili-plyusy-vnedreniya-i-riski-ispolzovaniya
В законопроекте (https://regulation.gov.ru/projects#npa=89871), в частности, говорится, что при обработке #ПД с использованием инфраструктуры #ЦП пользователь дает соответствующее согласие в форме электронного документа, подписанного простой или усиленной квалифицированной электронной подписью. Вместе с тем остается непонятным, как будут храниться такие данные и кто получит доступ к цифровому профилю.
Возможны ли риски использования информации из ЦП третьими лицами? Как это предотвратить при формировании инфраструктуры проекта? Такие вопросы #RSpectr задал экспертам рынка.
Комментарий Алексея Ефремова, ведущего научного сотрудника Центра технологий госуправления #РАНХиГС при Президенте РФ:
– Законопроект вызывает очень много замечаний с точки зрения обеспечения информационной безопасности (#ИБ) и защиты персональных данных ПД.
1. Нарушены базовые принципы и действующего федерального закона о ПД, и Конвенции Совета Европы 1981 года:
– о запрете объединения баз данных, цели обработки которых несовместимы между собой (концепция ЦП),
– об обязательности письменного согласия лица на принятие решений на основании исключительно автоматизированной обработки ПД (норма о 15-секундном обновлении сведений).
2. Законопроект никак не определяет цели присвоения идентификаторов, не конкретизирует цели обмена данными и их соответствие изначальным целям, для которых эти данные были собраны и обрабатываются госорганами.
3. Документ не называет круг субъектов, которые будут иметь доступ к данным, а также их возможности по обновлению данных. Нормы проекта закона в части запросов организаций на получение сведений о гражданах и юрлицах с использованием инфраструктуры ЦП содержат коррупциогенные факторы.
4. Законопроект не упоминает о том, кто будет оператором инфраструктуры ЦП, и не указывает, кто конкретно будет нести ответственность за достоверность и безопасность данных. При возможности 15-секундного обновления информации неопределенным кругом лиц общая норма об ответственности органов власти (которые несут ее как операторы своих ИС, а не предлагаемой инфраструктуры ЦП) не обеспечит реальной сохранности, достоверности и безопасности ПД.
Соответствующее заключение по независимой антикоррупционной экспертизе законопроекта А. Ефремов направил в #Минкомсвязь.
https://to36.minjust.ru/sites/default/files/efremov_aa_ake_zakl_minkomsvyazi_cifrovoy_profil.pdf
rspectr.com
Цифровые профили: плюсы внедрения и риски использования
Сможет ли инфраструктура умного безбумажного документооборота гарантировать безопасность персональной информации?
#регулирование #ИБ
@kommersant цитирует исследование EY, cогласно которому, В России только 27% директоров по ИБ считают, что государство обеспечивает достаточно качественное регулирование отрасли, в мире этот показатель составляет 43%.
Российские участники опроса, в частности, отмечали, что ряд регуляторных требований слишком детализирован, например закон «О персональных данных», тогда как другие «вообще непонятно как внедрять с технической и материальной точек зрения», например «закон Яровой» и закон «О безопасности критической информационной инфраструктуры».
@kommersant цитирует исследование EY, cогласно которому, В России только 27% директоров по ИБ считают, что государство обеспечивает достаточно качественное регулирование отрасли, в мире этот показатель составляет 43%.
Российские участники опроса, в частности, отмечали, что ряд регуляторных требований слишком детализирован, например закон «О персональных данных», тогда как другие «вообще непонятно как внедрять с технической и материальной точек зрения», например «закон Яровой» и закон «О безопасности критической информационной инфраструктуры».
www.kommersant.ru
Кибербезопасность ощутила зарегулированность
Участники рынка недовольны большим числом требований