четверг, 21 июля 2011 г.

Паровоз вперед летит


Говорил я с пенька гражданина, с трибуны доцента - настала очередь и о профессии кое-что сказать. Читая протокол знаменитого трехсотого заседания Совета Федерации, можно наткнуться на интересное предложение в поддержку принятия законопроекта, высказанное вице-спикером СФ Светланой Орловой. По ее мнению, закон необходим потому, что "надо двигаться вперед". Почему вперед - понятно: сторонники поправок говорят, дескать, 152-ФЗ в его предстоящем виде будет локомотивом и сподвигнет всех защищать не только ПДн, но и все остальное. А требования потом приведут в норму, все устаканится.

Но коллеги, давайте все же не путать нашу личную заинтересованность с общественной необходимостью. Мне точно так же, как и вам, хочется кушать, как преподавателю мне жаль студентов, в большинстве своем работающих в лучшем случае системными администраторами. И те поправки, что подменили, НАШУ позицию точно бы не ухудшили: нам-то какая разница, ставить DeviceLock сертифицированный или нет - все равно оба с одинаковым "косяком".

По моему глубокому убеждению, гораздо проще, основываясь на больших штрафных санкциях и неизбежной обязанности оператора компенсировать ущерб субъекту, убедить руководство внести кое-какие коррективы в процессы обработки данных и потратить немного денег на приобретение дополнительного ПО и оборудования. Теперь же, после принятия поправок, возможно, многим ИБ-шникам придется заявить, что годами совершенствовавшаяся СУИБ для защиты ПДн никуда не годится, соблюдение обязательных требований законодательства будет тормозить бизнес-процессы, а имеющееся ПО и оборудование можно выкинуть на помойку и закупать новое, с такими же названиями, но в три раза дороже.

Руководитель, выслушав такое заявление, посмотрев на перечень защищаемой информации в виде "ФИО, должность, домашний адрес, зарплата" и сопоставив смету затрат со смехотворным размером ответственности, будет смотреть на ИБ-шника взглядом, в котором будет читаться немой вопрос: "ты что, идиот?" И даже не знаешь, на кого в ответ пальцем показать...

9 комментариев :

  1. Анонимный22.7.11

    был весной на семинаре по организации обработки ПДн, проводимом начальником управления по защите прав субъектов ПДн местного Роскомнадзора.
    Было заявлено, что готовятся поправки в КоАП (возможно и в УК) повышающие эту самую ответственность на порядок. А конкретно по защите ПДн порядка даже на два (цифра прозвучала - штраф до 1 млн. рублей)

    Думаю, что те ребята, что протащили такую форму изменений в 152-ФЗ достаточно последовательны, чтобы после принятия изменений сделать соответствующие изменения по ответственности.

    С ув. Turkish

    ОтветитьУдалить
  2. Слышал аналогичное в Москве от Контемирова Ю.Е. - главного "по тарелочкам" вцентральном аппарате.

    ОтветитьУдалить
  3. Тут все зависит от того, за ЧТО будут драть. Одно дело за ущерб и (хрен с ним) за утечки, и совсем другое - за формальное неисполнение требований. В последнем случае, к удовольствию регуляторов, нужно будет построить бестолковый и дорогой framework, состоящий из увесистой пачки никем не исполняемых документов и нескольких весьма дорогих болванчиков, и по-прежнему обрабатывать и защищать данные в скопе "нормальной" СУИБ, тратя средства акционеров и собственные силы на поддержку двух инфраструктур.

    ОтветитьУдалить
  4. Так как на субъекта по большому счету им плевать, то новых статей не будет. Посему 13.11 - от РКН, и 13.12 и 13.13 - от ФСТЭК и ФСБ.

    ОтветитьУдалить
  5. Анонимный22.7.11

    > Тут все зависит от того, за ЧТО будут драть. Одно дело за ущерб и (хрен с ним) за утечки

    Алексей, Вы же прекрасно понимаете, что ущерб в случае даже утечек слабо доказуем. В отличие от неисполнения формальных требований.

    С ув. Turkish

    ОтветитьУдалить
  6. Конечно понимаю. Мы все уже давно все поняли :(

    ОтветитьУдалить
  7. Руководитель, выслушав такое заявление, посмотрев на перечень защищаемой информации в виде "ФИО, должность, домашний адрес, зарплата" и сопоставив смету затрат со смехотворным размером ответственности, будет смотреть на ИБ-шника взглядом, в котором будет читаться немой вопрос: "ты что, идиот?" И даже не знаешь, на кого в ответ пальцем показать...



    А именно так сейчас и получается...

    ОтветитьУдалить
  8. После принятия будет так же - скажут, давайте дождемся предписания и "зарядим" юристов. И в случае с СУИБ - правильно, надо сказать, сделают.

    ОтветитьУдалить
  9. > Руководитель, выслушав такое заявление, посмотрев на перечень защищаемой информации в виде "ФИО, должность, домашний адрес, зарплата" и сопоставив смету затрат со смехотворным размером ответственности, будет смотреть на ИБ-шника взглядом, в котором будет читаться немой вопрос: "ты что, идиот?"

    >Было заявлено, что готовятся поправки в КоАП (возможно и в УК) повышающие эту самую ответственность на порядок. А конкретно по защите ПДн порядка даже на два (цифра прозвучала - штраф до 1 млн. рублей)

    Если так, то дешевле будет купить пачку сертифицированных вендов и девайслоков.

    ОтветитьУдалить