IT ManagerБезопасностьУправление ИБ

Совершенно секретные личные данные

Владимир Пышнов | 11.05.2010
27 июля 2006 г. был принят Федеральный Закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Перевязанный новогодней праздничной ленточкой, карающий меч Фемиды готов был обрушиться на незадачливые головы топ-менеджеров компаний и других учреждений, не соответствующих требованию закона о ПДн, начиная с 1.01.2010, но неожиданно завис в поднятом положении ровно на один год по решению Госдумы. По информации NEWSru.com, основная причина переноса действия закона –«российские банки (респект и уважение автора!), не успевшие привести свои ПДн в соответствие с ФЗ 152».

Безусловно, закон нужен. Обнаружение своего имени, фамилии, паспортных данных, финансовой истории в базах на CD и DVD, активно продающихся с лотков на многочисленных российский базарах и загадочно высвечивающихся черными буквами на белом (или ином) фоне браузеров, давно не нравится россиянам (сразу после принятия ФЗ 152 в 2007 году, согласно опросу InfoWatch, 94% респондентов  были убеждены, что России необходим закон «О персональных данных»).

Однако, существует проверенное российской суровой действительностью предположение, что данный закон будет работать в интересах конкретных людей. В условиях тотальной коррупции, применение данного закона создает предпосылку выборочного  применения его к вполне определенным организациям и персонам, лишениям лицензий на деятельность, административной и уголовной ответственности руководителя организации и других лиц, виновных в нарушении ФЗ.

На «пятипутье»

Как известно из сказок, у былинного русского богатыря на перепутье обычно есть 3 пути: «путь в духе идеи чучхе»,  «халтурный», «дорогой», но в данном случае прибавляются 2 дополнительных - четвертый, приписываемый некоторыми «доброжелателями» русскому народу, - «обломовский путь» и пятый-«путь для забывчивых».
Путь в духе идеи «чучхе» - это когда аттестация (лицензирование) производится самостоятельно, затраты -в зависимости от категории (К3-от 100 тыс.руб., К1 - от 1 млн. руб.). Не стоит забывать о некоторых накладных расходах - в случае создания службы ИБ с «нуля», это - оборудование, штат специалистов по ИБ и т.п.  Время получения «индульгенционного бланка» - от трех месяцев до бесконечности (всё, естественно, зависит от систем ПДн, объема работ и степени защиты, например, одному из крупных банков, согласно www.connect.ru,  потребовался год на подготовку-создание службы и год на аттестацию), вероятность получения документа - высокая.

«Халтурный» имеет внешний вид «самого легкого и дешевого», что-то покупается, что-то берется в аренду (в том числе, «варяги» - специалисты по ИБ), однако халтурщиков не любит никто, в т.ч. ФСТЭК, поэтому им придется активизировать связи или пополнять армию россиян, помогающих безбедно жить коррупционерам.

«Дорогой » путь предполагает привлечение специализированной организации - лицензиата ФСТЭК, которая будет разрабатывать модели угроз и комплекс мер, направленных на беспощадную борьбу с ними. В данном случае большинство работ будет переложено с хрупких плеч организации на опытного лицензиата ФСТЭК. (естественно, данный путь не избавляет организацию от жесткого следования предписанным лицензиатом указаниям). Можно посоветовать организации, выбравшей путь привлечения лицензиата, проконсультироваться с другим лицензиатом, ибо там, где один видит категорию К2, другой найдет К3 с значительно меньшим итоговыми расходами для организации. Подводя черту, общие затраты «дорогого» пути составляют от 0,5 млн. рублей , время получения лицензии (аттестации) - от 3 месяцев, вероятность – достаточно высокая.  

Основная идея индифферентного «обломовского» пути – «о законе 152 мы знаем, хороший такой закон», но продолжаем жить, как будто закона нет, и ничего не случилось, а все решать на месте в конкретном случае с конкретными людьми.

Последний путь для тех, «кто помнил, но забыл». По старинному русскому обычаю «креститься после прозвучавшего грома», конкретные усилия организацией данного типа будут прилагаться только после опубликования случаев применения жестких санкций к компаниям-конкурентам со стороны регуляторов 152 ФЗ.

Будущее, пришедшее на новый год с румяным Дедом Морозом в шапке с надписью «2011» и загадочно улыбающейся Снегурочкой, уверенно покажет, по какому из 5 вышеупомянутых былинных путей пойдет большинство российских организаций.

Владимир Пышнов, ИТ-директор

Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Мысли вслух

Не успели мы отбиться от вызовов и задач, которые взвалила на нас принудительная удаленка, как уже растут новые вызовы. В частности, нас ждет будущее всеобщей цифровизации, и будущее это будет непременно светлым и радостным, но только если мы в него впишемся.
Как никогда важно задуматься о том, насколько безопасны компьютеры наших работников, которые становятся одним из основных векторов атак для злоумышленников.

Я первое время ходил на все встречи с диктофоном, что спасал о меня от ситуации, когда я полностью понял собеседника, идеально подстроился, обо всем договорился… но вот о чем договорился и вообще, что обсуждали –, не помню хоть убей.

Компании сообщают

Мероприятия

Конференция Yandex Scale
ОНЛАЙН
23.09.2020 — 25.09.2020
Форум промышленной роботизации
Санкт-Петербург, Чернорецкий пер. 4-6
23.09.2020 — 24.09.2020
Сбер Конф
ОНЛАЙН
24.09.2020
10:00
Импортозамещение BI
ОНЛАЙН
24.09.2020
10:00-12:00