Кроме того, если читать текст ст. 19 как положено, по-русски, получим: «Обеспечение безопасности персональных данных достигается, в частности, … применением организационных и технических мер по обеспечению безопасности персональных данных … и принятием мер»! Что это, если не абракадабра?
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
Комментарий:
1) «Модифицированы» не означает «искажены». Персональные данные могут быть модифицированы (т.е. изменены) сотрудником в неурочное время или находящимся в отпуске в порядке исправления допущенных им ранее ошибок без согласования или вопреки указаниям своего начальника, т.е. в результате несанкционированного доступа. Однако в результате такого несанкционированного доступа ложные данные стали истинными. Разве после этого необходимо восстановить старые – ложные – данные?
А если данные были уничтожены вследствие санкционированного доступа, их что, не нужно восстанавливать? Получается, что восстановление уничтоженных (преднамеренно или непреднамеренно) персональных данных сотрудником, допущенным к их обработке (осуществляющим санкционированный доступ), не повышает безопасность персональных данных?
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
Комментарий:
1) «Регистрация» и «учет» - это синонимы[4].
Все действия, совершаемые с данными в информационной системе, учесть либо невозможно, либо нецелесообразно. Более того, в этом нет никакой необходимости, но стоить это будет невероятно дорого.
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Комментарий:
1) Грамматическая ошибка. Правильно - «контролем за … уровнем …». Если «контролем уровня», тогда «принимаемых мер».
2) Меры, перечисленные в п.3-9 ч.2 ст.19, в содержательном плане входят в состав п.2 и при этом не являются исчерпывающими.
3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
Комментарий:
О каком вреде субъекту идет речь в данном предложении? О любом «возможном»? Из текста следует именно это, но это есть абсурд.
Правительство не может учесть вред, который может быть причинен субъекту персональных данных ни вообще, ни в частности. Формулировка этого пункта – полнейшая белиберда.
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
Комментарий:
1) «Уровни защищенности … при … обработке …» - это полный абсурд.
2) «Правительство Российской Федерации с учетом … актуальности угроз безопасности персональных данных устанавливает: … уровни защищенности персональных данных … в зависимости от угроз безопасности этих данных» – очередная белиберда.
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
Комментарий:
Как уже было отмечено выше, требования могут предъявляться только к объекту или субъекту, но никак не к сфере или виду деятельности.
Исполнение требований обеспечивает определенный уровень соответствия системе требований и никак не связано с «уровнем защищенности». Так, например, требование применить железный щит вместо деревянного повысит «уровень защищенности» от стрелы и никак не повлияет на «уровень защищенности» от снаряда. Другими словами, «уровень защищенности» определяется соответствием системы защиты средствам нападения, а не требованиям уставов.
Защищенность» – это общее понятие, приемлемого определения которого на сегодняшний день не существует. Равно как не существует и самой «защищенности» в физическом смысле. Возможно говорить о «чувстве защищенности», т.е. категории психологической. Но устанавливать уровни можно только того, что имеет физические параметры. Устанавливать уровни того, чего не существует, да еще в законе, – это, по меньшей мере, некорректно.
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
Комментарий: