Pull to refresh

Comments 119

Скорее всего никакого ажиотажу не будет среди интернет магазинов)) А потребителям, в большей свой массе, важнее то где цена выше, а не наличие сертификатов и тд.
ИМХО.
В свете последних событий с утечкой личных данных для кого-то наличие сертификата и будет решающим фактором (особенно для тех, кто обжегся уже). Но ажиотажа среди ИМ не будет — это факт. Тем более, что это не бесплатное удовольствие.
Учитывая 2 вышеописанных условия можно сделать вывод, что сертификацию пройдут магазины для взрослых, где цена — это не первый фактор, а защита информации важна. А магазины бытовой техники, где важна низкая цена, а разглашение личной информации, в принцпе, никак не навредит — ничего проходить не будут.
Лично у меня, как у покупателя в интернет-магазине, приоритеты выбора такие:

1. Репутация магазина.
2. Безопасность платежа (см. п.1).
3. И уже третьим пунктом — цены.
Для меня тоже цена не главное. Мне важнее скорость доставки и способы оплаты.
Как только там появятся чиновники — пиши пропало. Это должна быть независимая, саморегулируемая организация, предоставляющая услугу, а никак не знак свыше, от нашего правительства, что без этого клейма, в дальнейшей перспективе, ты можешь оказаться вне закона.
Я когда, в первый раз новость прочла, тоже обратила внимание на слово «чиновники». Бюрократы и сюда добираются.
UFO landed and left these words here
Это не инициатива, это лобби. Не путайте эти вещи. Это очень важно.
UFO landed and left these words here
Так они себя зарекомендовали.
К чему не прикоснутся, там начинается дележ бюджетов, сертификация, запреты. Все это начинает приводить к взяткам и так далее по накатанной.
У нас в стране связываться с государством — всегда себе дороже.
Поправлюсь.
С государством связываться хорошо, когда оно что-то у тебя покупает за бюджетные средства.
Не когда тебе что-то от него надо, типа сертификата или справки из военкомата.
UFO landed and left these words here
Кстати, поздравляю с регистрацией ))
UFO landed and left these words here
Подскажите, что значит саморегулируемая?

На данный момент я в процессе развития подобного сервиса, думаю что можно проводить и техническую проверку интернет-магазина.

Хотя уже есть глобальная организация, занимающаяся технической проверкой магазинов — McAffee Secure
Хотя уже есть глобальная организация, занимающаяся технической проверкой магазинов — McAffee Secure

На соответствие 152-ФЗ? O_o
На наличие уязвимостей позволяющих злоумышленникам завладеть вашими персональными данными и информацией о банковской карте.
Как-то мне кажется, что наличие такой бумажки не спасёт от ответственности, а значит только для самоуспокоения она годится.
Ага, и оценка «условий хранения персональных данных, списки сотрудников, имеющих к ним доступ, используемый магазином софт и др.» поди будет происходить как тут рассказывают.
Надеюсь, до такого маразма не дойдет…
Ну купилпрошел магазин добровольно сертификацию, а кто потом будет следить за выполнением требований? Да хоть каждый год покупай этот сертификат… как техосмотр на авто, ей Богу…
Наверное, это им и нужно. У нас же как: чем больше проверок и бумагомарательства, тем лучше (не простым смертным, конечно).
Начнут с добровольного, а потом под шумок впаяют обязаловку.
Как правило, так и бывает.
Случится еще какая-нибудь утечка важной информации, и точно обязательную введут. Ладно бы действительно заботились о безопасности данных, а то ведь будут просто продавать эти сертификаты (как chuma3 выше написал).
Просто мысли вслух:
А может в данном случае и не нужен никакой сертификационный орган? По крайней мере, пока. В нашей коррупционной стране контролирующие органы имеют тенденцию вырождаться в каких-то уродцов, которые начинают сосать деньги с одновременной деградацией выполнения своих прямых обязанностей (вспомним хотя бы контроль за теплоходом «Булгария»). В результате владельцы уже привыкли решать вопросы не путем повышением безопасности и надежности, а путем заноса некоторой суммы «кому следует». Отсюда есть сомнения, что этот вариант решения проблемы реально заработает. Тем более, если сертификация добровольная.

Другой вариант решения проблемы:
Ввести в обиход весьма чувствительные материальные выплаты за утечку персональных данных. Например, за нарушение закона о персональных данных государство налагает штраф, начиная с N лямов (вплоть до уголовной ответственности) плюс иски за моральный ущерб от каждого пострадавшего. В сумме может набежать весьма крупная сумма. Один интернет-магазин «влетит» на десяток-другой лямов, второй — остальные после этого уже «зачешутся». Причем «чесаться» будут гораздо эффективнее, чем при добровольной сертификации.

P.S. Повторяю: это мысли вслух. Причем навскидку. Не уверен, что мысль здравая и без изъянов, поэтому прошу не расстреливать минусами. С интересом выслушаю критику.
Представляете, чем может обернуться для школьника, который собрал на какой нибудь халявной CMS себе интернет-магазин и данные проиндексируются? За него будут родители платить? А если ИП-шник? А ведь он отвечает всем своим имуществом (прощай квартира), а не как ООО — только в пределах уставного капитала. Случится может всякое и пока рано думать о штрафных санкциях, но в умах людей должно отложиться то, что покупка в интернет — это на их страх и риск.
Пардон, я, похоже, не нажал кнопку «ответить», а просто написал комментарий. В итоге получился как бы не ответ вам, а новый самостоятельный комментарий. Мой ответ здесь — habrahabr.ru/blogs/infosecurity/125473/#comment_4130166
На первый взгляд мысль хорошая, но в нашей коррупционной стране чувствительные материальные выплаты зачастую не идут ни в доход государства, ни, тем более, пострадавшим. Тем более, что непробиваемых защит не бывает и открывается широкая возможность для шантажа «я твой сервер вскрыл — отвали-ка пару лимонов, а то ПДн клиентов утекут в паблик и попадёшь на пару десятков лимонов», а поскольку нарушение закона о ПДн налицо (конфиденциальность ПДн уже нарушена), то редкий предприниматель, по-моему, пойдёт в полицию с заявление о шантаже, если ему придётся заплатить эти пару десятков миллионов.
Я думаю, в защите ПДн не следует перегибать палку сильнее, чем в остальных областях. Никто ведь не наказывает, например, владельцев банков, магазинов за то, что злоумышленники обезоружили их охрану, взломали сейфы и унесли что-то. Вот если ограбление/воровство подставное — тогда другое дело, а так — нет. Т.е. считается, что виноваты злоумышленники, начинается их поиск, а претензии к владельцам не предъявляются. Да, банку или магазину от этого не легче — потери у них всё равно есть, но хотя бы никто не налагает на них дополнительную ответственность.
Так и в случае с интернет-магазином должно быть. Если я поставил нормальную защиту, настроенную грамотными специалистами — ко мне претензий никаких не должно быть ни со стороны государства, ни со стороны частных лиц. Да, потери у меня всё равно есть (теряю лояльность клиентов), но хотя бы никто на меня не налагает дополнительную ответственность.

P.S. Спасибо за аргументированный комментарий.
А кто будет проверять нормальная ли защита, грамотные ли спецы её настраивали? Для банков, их охраны и сейфов, афаик, существуют акты, регламентирующие минимальный уровень безопасности, который они обязаны обеспечить, а если не обеспечат, то и очередная проверка может привести к тому, что банк лишится лицензии, а не только банкротство вследствие ограбления.

Читаю закон о ПДн и вроде вижу разумные вещи, читаю технические требования — тоже вроде ничего сверхъестественного, но когда читаю организационные и юридические требования, то вижу, с одной стороны, что это намного увеличит издержки малого бизнеса и, в лучшем случае, заставит их вернуться к бумажному учёту, а с другой (а также как следствие первой) — широчайшее поле для коррупции если не вернутся, но и все эти неподъёмные для фирмы из 4-х человек, балансирующей на грани рентабельности, процедуры проходить не будут. К тому же, согласно закону, фирму могут оштрафовать (а то и принудительно ликвидировать) даже если ПДн не утекли, технические и организационные требования выполнены, но вот юридически недостаточно оформлены (нет сертификатов на ПО и железо, хотя оно такое же как сертифицированное, не издан какой-то дурацкий приказ, модель угроз расписана не по ГОСТу, нет в штате сотрудников с ВО в области ИБ и т. д.). В общем, имхо, как обычно: закон неплохой, но вот его реализация…
Так, давайте по порядку:

1. Ваши контраргументы по шантажу хакерами отпали? Согласны со мною, что предлагаемое мною решение они не смогут использовать для шантажа?

2. Что касается закона о ПДн, то полностью разделяю ваше негативное мнение.

3. Теперь обсудим ваши вопросы.
Сомнения, насколько я понял, теперь касаются не преимуществ/недостатков предлагаемого решения, а тонких мест его реализации, не так ли? Реализация, на мой взгляд, обсуждаема.

А кто будет проверять нормальная ли защита, грамотные ли спецы её настраивали?

Хороший вопрос. Думаю, должны быть специализированные фирмы (по аналогии с бухгалтерскими аудиторскими компаниями) и независимые эксперты. Если утечка ПДн уже произошла, то к делу подключаются еще и следственные органы.

Как вам такой вариант?
1. Не уверен даже в корректности случая с банками. Положил я деньги, прихожу за ними, а мне говорят «извините, нас ограбили, деньги выплатить не можем». Если они мне не выплатят, то, вроде как, несут и дополнительную ответственность за моральный вред и/или недополученные доходы, не говоря об учёте инфляции и т. п. То есть дополнительная ответственность есть, гражданская передо мной уж точно.

3. Тот, кому я передал свои конфиденциальные персональные данные должен нести ответственность передо мной за их конфиденциальность в любом случае, это даже не обсуждаемо. Вот административная (штрафы) и уголовная ответственность — тут варианты могут быть. Самый простой — по факту утечки проводится экспертиза и делается вывод были ли предприняты необходимые разумные меры защиты или нет.
1. Насчет гражданской ответственности — не точно, а «фифти-фифти» — см. habrahabr.ru/blogs/infosecurity/125473/#comment_4133867

3. Если вы согласны, что штрафы и уголовная ответственность — по результатам экспертизы, то о каком виде ответственности вы говорили безоговорочно («в любом случае»)?
Ну в случае с нынешним законом о ПДн, думаю легко доказать, что при нужной степени заботливости и осмотрительности (которая зафиксирована в нормативных документах) оно не приняло даже минимальные меры (которые тоже зафиксированы). И пускай сайт был взломан с помощью анализа наводок на электросеть, а зашифрованные по ГОСТу ПДн расшифрованы квантовым компьютером, но если они забыли написать какую-нибудь бумажку или удалить несертифицированную аську, то есть не совершили какие-то действия, которые конкретный взлом не облегчили, но которые они были обязаны совершить, то всё равно все меры они не приняли и тут шансы с фифи-фифти склоняются, имхо, и сильно в сторону субъекта ПДн.

Гражданской — компенсация морального вреда, нанесение ущерба деловой репутации, возмещение недополученных доходов и т. п.
Насколько я помню, изначально обсуждался предлагаемый мною вариант решения проблемы, а не о том, какие хреновые правила действуют сейчас. Давайте же будем критиковать мой вариант, а не хреновый закон ПДн (тем более, что выше я уже согласился с вами насчет его хреновости).
Думаю, должны быть специализированные фирмы (по аналогии с бухгалтерскими аудиторскими компаниями) и независимые эксперты.

По сути это тоже самое, только «все меры» закреплены не законом, а «обычаями делового оборота».

И на второй коммент сразу отвечу:
Уголовная и административная ответственность — это наказание, невиновного человека нельзя наказывать (за редким исключением). Причём это наказание государством, потерпевшему это доставит в лучшем случае моральное удовлетворение. Гражданская — это компенсация неисполнения обязательств перед «контрагентом», в том числе не только по договору, но и наложенных законом. Безвинная ответственность в гражданском праве вполне обыденная вещь. Простейший пример — при заключении любого договора с фирмой ответственность несёт фирма, а не конкретный виновный сотрудник. Как фирма будет с сотрудником разбираться — её дело.
И на второй коммент сразу отвечу
Удобнее было бы, конечно же, отвечать непосредственно под ним, а не здесь.

Безвинная ответственность в гражданском праве вполне обыденная вещь.
Я правильно понял — вы за наказание безвинных «гражданских», потому что это, по-вашему, обыденно?

Простейший пример — при заключении любого договора с фирмой ответственность несёт фирма, а не конкретный виновный сотрудник.
Вы считаете, что в этом случае фирма безвинна? А кто брал в штат этого разгильдяя, который не выполняет обязательства своего работодателя по договору с третьими лицами?
А мне как-то наоборот, ну как скажете.
Я правильно понял — вы за наказание безвинных «гражданских», потому что это, по-вашему, обыденно?

Ещё раз: гражданская ответственность это не наказание, это компенсация. Вы взяли у меня 100 рублей в долг — вы и верните. А украли их у вас, потеряли вы или потратили — мне не интересно. Хотя в некоторых случаях (взяли, а отдавать и не собирались, например) могу попросить государство вас наказать за виновные действия (мошенничество). А можете вы попросить укравшего наказать и, само собой, потребовать у него компенсации уже ваших (не моих, мне вы отдали) убытков.

Вы считаете, что в этом случае фирма безвинна? А кто брал в штат этого разгильдяя, который не выполняет обязательства своего работодателя по договору с третьими лицами?

Никаких объективных причин не доверять ему не было, судом права занимать материально ответственные должности не лишён. Даже отказ ему в приёме на работу по причине того, что он был когда-то судим за кражу будет дискриминацией и тут он уже может подать в суд на фирму…
А украли их у вас, потеряли вы или потратили — мне не интересно.
К счастью, государству/закону это интересно. И я полностью согласен с ними, что следует различать ситуации, когда можно привлекать к материальной ответственности (назовем это так, раз у нас разногласия в терминологии), а когда нельзя.

Никаких объективных причин не доверять ему не было, судом права занимать материально ответственные должности не лишён.
Любопытно, откуда тогда берутся хорошие фирмы (проколов по человеческому фактору у которых либо нет, либо катастрофически мало), а откуда — разгильдяйские? Ведь и там, и там работники черпаются из одного общего трудового ресурса, но конечные результаты почему-то сильно отличаются. Мистика какая-то получается. А может всё проще и подбор персонала — это не совсем игра в рулетку?
К счастью, государству/закону это интересно.

Вы серьезно считаете, что если я вам дам в долг под расписку, вы деньги получите, а потом их у вас украдут, то вы сможете их мне не отдавать и я даже через суд не смогу их с вас востребовать?
А может всё проще и подбор персонала — это не совсем игра в рулетку?

Подбор персонала дело, конечно важное, но в нашей стране, увы, часто происходит с нарушением законов. Не понаслышке, например, знаю, что сотрудники (часто начальники) служб безопасности пользуются своими старыми связями для недоступной обычным гражданам «пробивке» соискателей/работников по базам своей бывшей службы.

К тому же совсем необязательно, что если сотрудник нарушил закон, то он разгильдяй или закоренелый преступник. Я думаю мы вы можете представить ситуации, когда вы готовы сделать, что угодно, лишь бы кто-то третий что-то не сделал или сделал.

1. Я серьезно считаю, что тот, кто сумеет в суде доказать свою невиновность согласно ст.401 ГК РФ, будет иметь полное право ничего не платить контрагенту. Таков закон.

2. Мы сейчас не о нарушении законов в подборе персонала говорим. А о том, должна ли фирма нести ответственность за подбор персонала и правильно ли это. Я считаю, что правильно. Аргумент привел.
1.
1. Лицо, не исполнившее обязательства либо исполнившее его ненадлежащим образом, несет ответственность при наличии вины (умысла или неосторожности), кроме случаев, когда законом или договором предусмотрены иные основания ответственности.
В случае если я дам вам деньги в долг, а вы не отдадите этот ст. 401 действовать не будет на основании выделенного, будет действовать ст. 393, 394, 395, потому что они предусматривают ответственность на основании факта заключения договора.

2. Я говорил что она не должна? Я говорил, что вины фирмы нет. Это как раз безвинная ответственность, если только сотрудника не принимали с умыслом. что он украдёт или, хотя бы, зная что судом ему запрещено занимать эту должность неосторожно надеясь, что он больше незаконно обогащаться не будет.
Что-то я не уловил логику вашего опровержения моего утверждения насчет «фифти-фифти»:
1. Как ваша цитата из ст.401 опровергает мою отсылку к этой же(!) статье? Если статья предусматривает исключения, то это всего лишь означает, что сказанное в ней в одних случаях применимо, а в других — нет. Таким образом, моё «фифти-фифти» остается в силе.
2. Вы можете привести хоть сто примеров исключений из ст.401, но это никак не опровергнет «фифти-фифти». Чтобы его опровергнуть, надо доказать, что не существует ни одного случая, когда ответственность с пострадавшего снимается (логика, однако).
Вы акцентировали внимание на первой половине предложения, я на второй применительно к данному конкретному случаю (вы взяли у меня деньги в долг и не вернули не по своей вине).

В каждом конкретном случае сначала нужно разбираться нет ли ответственности независимо от наличия вины, а только в случае если ответственность есть только при наличии вины, разбираться есть ли вина: 50/50 превращается в 75/25 — логично?
… применительно к данному конкретному случаю (вы взяли у меня деньги в долг и не вернули не по своей вине)
1. А с каких это пор мы рассматриваем ваш пример с долгом, а не предлагаемое мной решение проблемы ответственности интернет-магазинов?
2. Логика «С долгом поступают так, значит с предложенным вариантом решения следует поступать точно так же» мне непонятна. А почему так, а не по-другому? Особенно, если ст.401 это предписывает (за некоторыми исключениями).

В каждом конкретном случае сначала нужно разбираться нет ли ответственности независимо от наличия вины
Я еще только предложил вариант решения (т.е. он пока гипотетический и в жизнь никак не воплощен), а вы уже забежали вперед и ищете для него в законе уже существующее исключение?! Однако…
С тех пор как вы написали «К счастью, государству/закону это интересно» я этот пример и обсуждаю. А вы, оказывается, что-то другое…

Я считаю, что ситуации дал я вам деньги на сохранение или свои личные данные очень близки (особенно если это данные о моей банковской карте). Потому и правовые нормы нужно применять аналогичные.

Я считаю, что да, для персональных данных такое исключение из 401 должно быть. То есть разбираться виноваты ли вы в том, что мои данные переданные вам утекли не нужно. Нужно разбираться от вас ли они утекли и, если от вас, то какую ответственность вы несёте передо мной. А если ещё окажется, что вы не принимали разумных мер, чтобы предотвратить утечку, то и перед государством должны нести.
С тех пор как вы написали «К счастью, государству/закону это интересно» я этот пример и обсуждаю.
Странная у вас логика. Я сказал «государству интересно», подтвердив статьей ст.401, что в общем случае ему вовсе не плевать на то, предпринимались ли меры для исполнения обязательств. Вы же кинулись мне доказывать обратное, зчем-то выкинув из рассмотрения общую часть, выискав исключение в виде частного случая и сведя всё обсуждение к этому частному случаю. Однако…

Я считаю, что ситуации дал я вам деньги на сохранение или свои личные данные очень близки.
Не мешайте в одну кучу договор на хранение и покупку в магазине.
В договоре хранения сохранность сохраняемого — ваша основная цель и основная обязанность хранителя. Поэтому если эта цель не достигнута — это конец.
А при покупках в магазинах ваша основная цель — получить от магазина товар, а у магазина — продать его вам. Ваши ПДн при этом — вещь вообще третьестепенная, ибо в обычном магазине они вообще не нужны, а в интернет-магазине от них с огромной радостью бы отказались (геморрой с защитой ПДн еще тот), но не могут — надо же как-то доставить товар до вас.
Так что не вижу причины сводить ситуацию покупки в магазине к договору хранения. Ситуации слишком разные по сути.
Странная у вас логика.

Я воспринял это в том смысле, что закон вас освобождает от ответственности в любом случае, если вы докажете, что предприняли разумные меры для исполнения обязательства. Был не прав. Извините за отнятое время.
Не мешайте в одну кучу договор на хранение и покупку в магазине.

Не мешайте в одну кучу покупку и доставку. Все известные мне интернет-магазины спрашивают персональные данные (хотя бы номер телефона и e-mail) и в случае самовывоза (если он есть). И по сути ситуации не разные — я даю что-то кому-то с какой-то целью, а мое что-то используется с другой целью.

Не мешайте в одну кучу покупку и доставку.
Оригинальный способ доказательства НЕтретьестепенности чего-либо: начать дробить что-то (в данном случае покупку в магазине) на кучу маленьких подопераций, после чего найти ту подоперацию, в которой третьестепенная вещь становится основной, и на этом основании приравнивать друг к другу разные действия. Хотите я таким способом докажу, что покупка в интернет-магазине схожа голосованию на выборах? ;)
Я говорил что она не должна?
Хорошо, уточним вашу позицию: вы считаете, что должна, но считаете это несправедливым, т.к. вины фирмы нет? Так?
Если так, то я скажу: вины фирмы не может быть только в том случае, только если от ее усилий ничего не зависит (для нее это становится игрой в рулетку). А в случае трудовых ресурсов, как я уже показал, это совершенно не так — ситуации с кадрами в разных фирмах очень сильно отличаются. Значит зависит, значит не рулетка, значит вину снимать нельзя.
Я считаю должна и считаю это справедливым — её отношения со своими сотрудниками её личное дело. Но вот называть её виноватой из-за того, что у них в штате нет телепатов и пророков — язык не поворачивается. Это как — сажать гендиректора за то, что его грузчик в процессе исполнения служебных обязанностей «немного превысил полномочия» и у его клиента что-то украл? Ну а как же, гендиректор принял грузчика на работу и значит создал ему условия для кражи — соучастник!

Ещё раз — должна, справедливо должна, но не виновата. ССЗБ — нечего было добровольно вступать в отношения, при которых согласно закону, ты можешь нести безвинную ответственность.
Но вот называть её виноватой из-за того, что у них в штате нет телепатов и пророков — язык не поворачивается.
Вас послушать, так невольно придётся допустить существование штатных телепатов и пророков в тех фирмах, где каким-то странным образом либо вообще нет разгильдяйства, либо оно исчезающе мало. :)

Это как — сажать гендиректора за то, что его грузчик в процессе исполнения служебных обязанностей «немного превысил полномочия» и у его клиента что-то украл?
Можно с этого момента поподробнее? В первый раз слышу, что закон предусматривает уголовную ответственность невиновного гендиректора за уголовное преступление грузчика.

А вашу логику «не виноват, но это справедливо, что он несет ответственность за то, в чем не виноват» я никогда не пойму. :)
Вас послушать, так невольно придётся допустить существование штатных телепатов и пророков
Либо случайность, либо существуют, если понимать телепатию и пророчество как выявление скрываемых работником мотивов и прогнозирование его поведения.
В первый раз слышу, что закон предусматривает уголовную ответственность невиновного гендиректора за уголовное преступление грузчика.
Значит зависит, значит не рулетка, значит вину снимать нельзя.

Если украл работник фирмы, то фирма виновна в краже. Ваша логика? Кража уголовное преступление, есть два лица в ней виновных, почему одно привлекают к уголовной ответственности, а другое нет? А т. к. юридическое лицо привлекать к уголовной ответственности нельзя, то надо привлечь, как минимум, её руководителя. А можно и глубже порыть.
Либо случайность, либо существуют
Вы уж определитесь со своим мнением как-нибудь поточнее, а то я теперь не знаю, с чего начинать аргументацию (раз у вас взаимоисключающие позиции).
А т. к. юридическое лицо привлекать к уголовной ответственности нельзя, то надо привлечь, как минимум, её руководителя.
Вы можете это сногсшибательное утверждение подтвердить хоть какой-то ссылкой на законы?
По сути это тоже самое, только «все меры» закреплены не законом, а «обычаями делового оборота».
То же самое в сравнении с чем?
Думаю, должны быть специализированные фирмы (по аналогии с бухгалтерскими аудиторскими компаниями) и независимые эксперты.

Сейчас, согласно действующему закону о ПДн и постановлениям правительства, такие «специализированные фирмы» уже есть, называются ФСБ и ФСТЭК, если не ошибаюсь. Замена их на коммерческие, имхо, принципиально ситуацию не изменит.
Одно но: ФСБ и ФСТЭК оплачиваются из кармана налогоплательщиков и сильно раздувать их штат (а работы в будущем станет ой как много!) особого резона нет. Это как если бы бухгалтерский аудит взяли и выкинули, перекинув всё на плечи, скажем, налоговой.
По отрывочным сведениям соответствующие их подразделения и лаборатории находятся на полной самоокупаемости, а чтобы не переработаться условия сертификации и тарифы на неё установлены отсекающие.

В последней редакции закона вроде что-то изменилось, но соответствующих подзаконных актов нет ещё. На самом деле мне всё равно кто и как будет контролировать операторов, главное чтобы:
а) была хоть какая-то гарантия, что у них robots.txt корректно настроен :)
б) этот контроль не убивал (и не откидывал в средние века) малый и средний бизнес, который сейчас балансирует на грани рентабельности.

По отрывочным сведениям соответствующие их подразделения и лаборатории находятся на полной самоокупаемости...
Не по отрывочным, а по реальным сведениям (мы в прошлом году получили 3 лицензии ФСБ по криптосредствам) цена за лицензию чисто символическая (не самоокупаемая). Но ФСБ делала их долго.

Другое дело — аттестация рабочего места. Вот там действовали коммерческие организации (не подразделение ФСБ). В итоге сделали быстро, но цены на порядок выше (самоокупаемость есть).
Про лицензирование вроде бы вообще речи не было в топике, а только про сертификации, аттестации, проверки соответствия и т. п.
Вы говорили о самоокупаемых подразделениях ФСБ — вот я и привел вам пример, чем на самом деле занималось ФСБ в нашем конкретном случае и насколько для них это самоокупаемо.

А вот от действительно самоокупаемой операции, тестирующей безопасность рабочего места (аттестация рабочего места), они наотрез отказались («мы этим не занимаемся») и посоветовали нам найти соответствующую коммерческую фирму.
главное чтобы:
а) была хоть какая-то гарантия, что у них robots.txt корректно настроен :)
Вот это как раз отнюдь не главное. Защита ПД в принципе не должна зависеть от наличия/отсутствия/корректной настройки robots.txt.
Ну смайлик не просто так стоит, имелось в виду, что главное чтоб хоть какая-то гарантия была, что школьник, начитавшийся журналов Хакер не сломал защиту через 5 минут после начала её анализа.
Я правильно понял: если у вас написано «главное то-то» и поставлен смайлик, то следует читать прямо противположное — что-то вроде «указанное совершенно никакого отношения не имеет к тому, о чем речь»? ;)

Если не затруднит, вы уж в будущем выражайтесь яснее, а то, знаете ли, очень трудно догадаться, что вместо «robots.txt» следует читать «школьник», а вместо «настроен» — «не мог сломать». :)))
Гражданской — компенсация морального вреда, нанесение ущерба деловой репутации, возмещение недополученных доходов и т. п.

Хм. А почему вы считаете, что принципы возникновения/исключения ответственности должны различаться для уголовной и гражданской ответственности? Почему в одном случае виноват/не виноват играет роль, а в другом — нет. Мне просто уже любопытно стало…
Предъявляются и налагает. Тот, кто взял у вас на хранение ценности и утратил их, будет возмещать вам потери. А потом спрашивать сумму ущерба с преступников, если их найдут. Поэтому есть такая шутка, как страхование ответственности.
Сейчас специально заглянул в ГК РФ ч.1. Цитирую:
Статья 401. Основания ответственности за нарушение обязательства

Лицо признается невиновным, если при той степени заботливости и осмотрительности, какая от него требовалась по характеру обязательства и условиям оборота, оно приняло все меры для надлежащего исполнения обязательства.

Как я понял, с одной стороны, пострадавший действительно может предъявить претензии к виновному и ему плевать, какие обстоятельства привели к нарушению обязательств. Здесь вы совершенно правы, а я не прав — признаю свою ошибку.

Но с другой стороны, предъявить-то он предъявить, но если виновное лицо докажет, что оно «всё правильно сделало», то вина с него снимается. Здесь у нас с вами, как говорится, фифти-фифти: докажет — будет считаться невиновным, не сумеет доказать — будет считаться виновным.
Вот это очень сложный момент — доказать, что «оно приняло все меры для надлежащего исполнения обязательства». Потому что в каждом случае меры свои и нет единых правил, чтобы наверняка решить, что меры приняты действительно «все». Обычно, ответственно лицо либо страхует возможный ущерб, либо принимает на себя риски по возмещению, если по оценкам «меры» затратнее возможных убытков.
Если необходимые меры описаны в нормативных документах, есть сертификаты уполномоченных правительством органов, что они были приняты и есть заключение экспертизы что с момента сертификации они не перестали приниматься, то доказать невиновность не просто, а очень просто.
Сложный-несложный — это уже следующий вопрос (вопрос реализации). Давайте сначала закончим с предыдущим (принципиальным). Так вы согласны с тем, что я сказал ранее? Цитирую:
Так и в случае с интернет-магазином должно быть. Если я поставил нормальную защиту, настроенную грамотными специалистами — ко мне претензий никаких не должно быть ни со стороны государства, ни со стороны частных лиц.
Нет, не согласна. Потому что нет никаких объективных критериев по которым можно судить о «нормальности» защиты. Т.е. до тех пор пока не утекло, она может считаться нормальной. И, кстати, из этого вытекает и то, что ни государство, ни частные лица не могут заранее предъявлять вам претензии, пока ваша защита не сломалась сама, либо ее кто-то не сломал. Тут как в мореплавании: корабль рассчитан на то, чтобы плавать, а не тонуть. Но утонуть он все равно может? Может. Значит, имеет смысл страховать перевозимый груз и жизни пассажиров.
В случае с интернет-магазином, я как владелец, вообще не знаю, что предпринять. Наверное, я могу застраховаться на случай подобных событий и заложить в страховую выплату размер компенсации морального ущерба пострадавшим. Но я этого делать не стану, потому что постараюсь предовратить это событие всеми доступными способами и буду надеяться, что у меня хватит ума защититься от злонамеренных действий третьх лиц и уследить за постоянно меняющимися технологиями. И, конечно, обязательно учитывать чужой печальный и успешный опыт.
Частные лица-то не могут однозначно. Но вот насчёт государства — в теории его одна из основных задач предупреждать нарушения прав граждан хоть утечки ПДн, хоть утонувших с пассажирами и командой кораблей. По-моему, очевидно, что государство должно контролировать и техническое состояние кораблей, и состояние защиты персональных данных, предупреждая тем самым их аварии и утечки. Вопрос в другом — как оно должно контролировать и предупреждать. Или нам, как клиентам интернет-магазинов, остаётся только верить в то, что их владельцы (вы не в счёт :) ) будут стараться и у них ума хватит?
А как можно реализовать «предупреждать»? Вот есть ТО для автомобилей, вы сами знаете, что это фикция и профанация с целью получить галочку в гос. системе. Любая хорошая идея, попав в контролирующую машину вырождается. Остаются штрафы за нарушение установленных норм. И тут я согласна с К. Марксом, который сказал, что ради возможности получить прибыть 300% бизнес не остановится ни перед чем. Для меня честь, совесть и социальная ответственность не пустой звук, они стоят выше денег, а другие будут топить теплоходы с людьми.
Нам, как клиентам любого бизнеса остается надеятся именно, что на порядочность и ум бизнесмена, потому что нет по-настоящему действенных способов предовратить преступную халатность или целенаправленное мошенничество.
Честно не знал, думал при техосмотре проверяют техническое состояние автомобиля. Кстати, ещё из этой области пример предупреждения нарушений прав людей — ПДД и ограничение права управлять автомобилем без сдачи соответствующих экзаменов. Этим государство предупреждает, что вас собьют на улице. Или вы думаете, что если завтра отменить ПДД, водительские права, светофоры и знаки, то количество ДТП не увеличится? Где-то читал, что просто выставление поста (хорошо видимого издалека, а «засадного полка») на сложном перекрёстке снижает количество ДТП там на порядки. То есть есть способы, если не предотвратить, то снизить количество, прежде всего, преступной халатности. Другое дело, что в силу «национального менталитета» в нашем государстве многие способы не так эффективны, как в других, а зачастую и провоцируют на правонарушения.
Нет, я так не думаю. Я знаю, что нет лучшего способа пробудить в человеке совесть, чем Большой Дядя с Дубинкой. И это не зависит от национальности и места проживания. А из этого следует очень простая вещь, что если за вашей спиной не маячит БДД, то последствия для вас могут быть печальны. К счастью, есть ответственные люди, честные, которые соблюдают правила и законы не потому, что боятся наказания, а потому что знают, что так жить проще и удобнее. Но очень много дураков и раздолбаев, котороые причинят вам ущерб не имея злого умысла, а есть те, кто плюет на вашу безопасноть и прямо обворовывает. И никакой закон не заставит дурака стать ответственным, а преступника — честным. Да, закон может вам помочь получить материальную компенсацию вреда здоровью, репутации, имуществу. Но вам же не компенсация нужна, а чтобы ваше здоровье, жизнь и репутация не страдали, правда? И вот тут вы попадаете в зависимость от доброй воли предпринимателя. Если он не обладает моральными принципами, то всегда может посчитать, что прибыль от вреда вашему здоровью и репутации с лихвой перекроет тот ущерб, который ему возможно (!) придется компенсировать по закону.
Вот закон (если он нормально исполняется) как раз может заставить дурака и раздолбая или стать хоть чуточку более ответственным (купить права и хоть чуточку изучить ПДД, чтобы не покупать их каждый день), или вообще не лезть в регулируемую законом область (одна из причин, почему не езжу на автомобиле). И топик, вроде, не о злоумышленниках, сливающих ПДн, а как раз о дураках и раздолбаях, которые либо ничего не делают для защиты ПДн, либо делают явно недостаточно для любого мало-мальски разбирающегося человека, либо вообще не подозревают, что обрабатывают ПДн (владельцы очень многих сайтов с регистрацией в частности).

Другое дело, что складывается впечатление, что действующий закон вкупе с подзаконными актами направлен на то, чтобы богатые дураки и раздолбаи стали чуточку более ответственными, богатые ответственные предприниматели стали чуточку (по их меркам) беднее, а вот бедные ответственные предприниматели либо ушли из бизнеса, либо сознательно нарушали требования закона, с одной стороны создавая удобренную почву для коррупции и шантажа, а с другой — несли риск понести ответственность за то, что все требования закона де-факто выполнены, но де-юре бумажек об этом нет.
Ну вы же понимате, что нормальное исполнение закона зависит только от совести исполнителя? Будет ли он искать способ исполнить закон или посчитает, что дешевле будет его обойти, зависит только от моральных принципов и размера жадности. Гораздо проще, если закон идет об руку со здравым смыслом, что бывает не всегда. А если вразрез? То тут даже совестливый предприниматель не станет его соблюдать, если для этого требуются определенные затраты.
И мой личный опыт, в том числе, взаимодействия с разными предпринимателями говорит о том, что дурака ничто не в силах сделать умнее. Его можно напугать. И он будет делать то же самое, но тихо-тихо. «Если человек мертв, то это надолго, а если он дурак, то это навсегда».
А с событием, породившим топик, все гораздо сложнее. Тут предприниматели, вобщем-то допустившие утечку, сами стали жертвой некачественного софта. Они приобрели высокотехнологичный продукт со скрытым дефектом, который просто не в силах были обнаружить, пока он сам не обнаружился. Так бывает с автомобилями, когда в процессе эксплуатации обнаруживается дефект, иногда смертельно опасный, и делать нечего, производитель отзывает автомобили и исправляет дефект. Но фарш уже не провернешь назад и жизни не вернешь. И никакой закон не в силах предотвратить подобные ошибки.
Не только от совести, но и от страха :) И правильно заметили, что и от жадности, но нужно уточнить, что от соотношения жадности тех, кто хочет исполнить закон, и тех, кто даёт возможность его исполнить. Я не знаю, как оптимально соблюсти права и желания субъектов ПДн и операторов. Но явно не так, как сейчас. Возможно такая схема: государство публикует требования и правила обеспечения безопасности (без ссылок на какие-то конкретные продукты, но с описанием требованиям к ним, но не пролоббированным типа «должен использоваться формат исполняемых файлов с MZ в первых двух байтах»), при утечке проверяют соответствие реального положения дел нормативному и в случае несоответствия привлекают к уголовной и/или административной ответственности, а пострадавшие пользователи в любом случае (хоть соответствует, хоть нет) получают компенсации. Плюс обязательные проверки по заявлениям граждан с привлечением к административной ответственности в случае несоотвествия, плюс, возможно, плановые проверки, тоже с административкой. Вероятно следует ввести возможность добровольной сертификации продуктов, чтобы проверяющие не копались месяцами в коде, а посмотрели «ага, у вас xxx-script 1.87, хэш совпадает с тем, что мы уже проверяли, дальше не смотрим», да и просто если в ходе проверки один раз проверили продукт на соответствие требованиям, то не проверять его каждый раз, а сравнить хэши и проверять уже только настройки, а в паблик выложить хэш и рекомендованные настройки. В общем чтобы любой дурак, умеющий читать и править конфиги, мог зайти на сайт ФСБ, найти «howto», пошагово выполнить его и быть уверенным, что он пройдёт проверку и даже в случае утечки не будет привлечён к административной или уголовной отвественности перед государством (он сделал всё, что государство советовало), а только к гражданской непосредственно перед пользователями. Но мне страшно представить, какого разрастания штатов и финансирования это потребует.

Насчёт скрытого дефекта я не согласен, он не был скрыт от любого покупателя и даже, вероятно, был документирован. Просто приобретатели продукта не догадались, что использование этого механизма означает то, что ПДн клиента становятся общедоступными де-факто и, соответственно, нужно брать от него на это согласие де-юре.
Ага, ага… а у меня вот собственная разработка. Да, написанный собственноручно с 0 скрипт магазина. Как вы предполагаете его проверять?
Да и с уголовной ответственностью, знаете ли… Наверное, вы готовы за счет налогов с собственных доходов содержать и заключенных и всю пенитенциарную систему в еще больших масштабах. Я — нет. И откуда в вас вообще такая мстительность? Откуда такая страстная симпатия к различным видам муштры и наказаний? Думаю, вам надо направить свою фантазию на проектирование Звезды Смерти, этот проект как раз вам подходит по масштабам. :-)

И с нетерпением жду цитату с документированным «дефектом».
Либо добровольно его отправляете на сертификацию (возможно платно), либо в ходе проверки (по факту утечки, по заявлению или плановой) его проверят. Если найдут уязвимости, то штраф. Если по факту утечки, то и сесть можно (ст. 137 УК РФ). Если не найдут, то внесут в публичный (по вашему желанию) и служебный (обязательно, чтоб в следующий раз заново не проверять) реестр проверенных.

Причём тут мстительность? Я сам от этого закона страдаю, пару проектов заморожено пока не разберутся юристы, и наоборот предлагаю как улучшить для операторов ПДн их нынешнее положение, когда наложить на вас штраф могут из-за отсутствия бумажки, даже если ПК с ПДн стоит в бомбоубежище, не подключенный к сетям (даже электрическим), а данные зашифрованы 100500 битным ключом, который утерян.
Некоторые компании поступают гораздо проще, они вообще ничего не хранят. Правда, каждый раз нужно вводить данные заново, но зато никаких проблем с хранением. Пользуйтесь. :-)
Некоторые компании государство обязывает хранить и обрабатывать персональные данные. А если эти данные хоть на микросекунду попали в информационную систему, то эта система должна быть защищена и сертифицирована.
Вы считаете, что для всех компаний правила должны быть одинаковые?
Ну вы же понимате, что нормальное исполнение закона зависит только от совести исполнителя?
Не только. Если только от совести — значит, дело пущено на самотек.
На самом деле зависит и от контролирующих органов/лиц, и от качества менеджмента (например, пользу правильной мотивации еще никто не отменял). Так что здесь я с вами совершенно не согласен.
Только не надо опять говорить «Любая хорошая идея, попав в контролирующую машину вырождается». Неправда это. Вот я, например, руководитель IT-подразделения. Я своих подчиненных, естественно, контролирую. Что, все хорошие идеи, используемые мною, выродились или вырождаются? На чем основано ваше излишне категорическое заявление?

Они приобрели высокотехнологичный продукт со скрытым дефектом, который просто не в силах были обнаружить, пока он сам не обнаружился.
Вы будете смеяться, но ту дыру в безопасности мог обнаружить не то, чтобы суперпупер-специалист, а вообще любой грамотный пользователь:
— Защита данных, говорите? А давайте-ка я ссылочку, полученную от интернет-магазина, попробую ввести на другом компьютере, где не было никакой авторизации. Ого, да он всё как на духу выдает! Тогда в топку такую «защиту»!
Интересным образом вы привели в пример себя, как личность, тем самым подтвердив мое утверждение. :-) Все зависит от конкретной личности, а в обезличенной машине государственного масштаба хорошая идея вырождается. Я по ходу своей деятельности не один раз сталкивалась с ситуацией, когда контролирущие органы в лице своих… э… контролирующих лиц извинялись за причиненное беспокойство и говорили, что проще заплатить штраф раз в N лет, чем нанимать людей, которые будут обеспечивать выполнение правил. Дешевле и хлопот меньше.

Чтобы обнаружить дыру в кармане, тоже не нужно быть швеей. :-) Обычно ее таки обнаруживают, по звуку выпавшего предмета, либо по его отсутствию в кармане.
Интересным образом вы привели в пример себя, как личность, тем самым подтвердив мое утверждение.
Да что вы говорите? ;)
Про индукцию в логике слышали? Если на примере меня, моих товарищей и множества других лиц неверно утверждение о вырождении хороших идей, то из этого логически следует, что излишне категоричное утверждение о вырождении хороших идей тоже неверно. А вы делаете вывод почему-то совершенно противоположный логике. Однако!
Чтобы обнаружить дыру в кармане, тоже не нужно быть швеей.
О чем и речь. Выходит, я был прав, когда оспорил ваше «не в силах были обнаружить». Оказывается, еще как в силах, и для этого даже суперпупер-специалиста не нужно было.

Обычно ее таки обнаруживают, по звуку выпавшего предмета, либо по его отсутствию в кармане.
Это если карман прохудился в процессе эксплуатации.
В случае интернет-магазинов дыра была изначально. Здравомыслящий человек не будет класть ценную вещь в неизвестный ему новый карман, пока не убедится, что карман исправен. А если эта вещь чужая, он за нее отвечает и чувствует себя ответственным за ее сохранность — он даже дважды или трижды убедится в надежности кармана!
Хотелось бы, чтобы и интернет-магазины поступали как здравомыслящие ответственные люди. А пока же создается впечатление, что им совершенно по барабану сохранность ценных нам вещей.
Потому что нет никаких объективных критериев по которым можно судить о «нормальности» защиты.
Нет, не так. Давно уже существуют как тесты, оценивающие защиту, так и тесты, оценивающие программы защиты. Про тесты, скажем, файерволов слышали? А про программы-тесты, которые пытаются «взломать» удаленный компьютер?

В случае с интернет-магазином, я как владелец, вообще не знаю, что предпринять.
Вы, как владелец, можете и не знать. Но есть специалисты, которые знают. И которые могут как выбрать нужные программы и их настройки, так и оценить степень их «крепости на взлом».

Значит, имеет смысл страховать перевозимый груз и жизни пассажиров.
Я разве против? Одно другому ведь не мешает.
Да знаю я про программы-тесты. А еще я знаю, про человеческий фактор, что собственный сотрудник может случайно нанести такой ущерб, какой ни один конкурент с помощью всех своих технических возможностей не сможет. Еще я знаю, что технологии развиваются стремительно, то, что сегодня было надежно и безопасно, завтра становится устаревшим и дырявым. Это бесконечная гонка в которой ты можешь споткнуться в любой момент.
Давайте расставим точки над i, а то, похоже, мы говорим о разном.

1. Я не утверждаю, что требования и критерии оценки защиты гарантируют вам эту защиту на 100% и не дадут вам «споткнуться в любой момент». Я лишь хочу сказать, что можно подобрать такие критерии и процедуры, которые будут более-менее объективны и надежны. Это касается и технического, и человеческого фактора.

2. Вы же приводите контрпримеры, доказывающие лишь отсутствие абсолютной защиты, но отнюдь не невозможность создания таких критериев и оценок.

Надеюсь, мы теперь поняли друг друга?
Можно. Согласна. Критерии и процедуры можно подобрать на любой случай жизни. И бизнес это очень хорошо знает, не зря появился такой термин, как «итальянская забастовка». :-)
В данном случае, они являются самоцелью, плацебо. Поскольку не гарантируют того, для чего предназначены. Единственное правило и процедура, которые реально возможно тут написать это «необходимо предпринять все возможное, чтобы избежать того и этого и для защиты пятого и десятого, ответственность несет Х.» То есть то, что в принципе и так все понимают, но многие плюют.
Критерии, правила и законы написать можно, а с точки зрения ответственности государства перед гражданами и нужно. Только это никак не будет связано с реальностью, где от этих законов будут зависеть только последствия для участников свершившегося фейла, а задача в том, чтобы его предотвратить.
Должно и может ли государство разработать критерии и правила? Должно и может.
Помогут ли они достичь желаемой цели — обеспечения сохранности ПД? Нет, все по-прежнему останется на совести и в зависимости от кривизны рук предпринимателей и разработчиков.
Помогут ли они в суде при возмещении морального ущерба? Да, да, да!
Заставит ли предпринимателя некая вероятность потери денег больше заботиться о безопасности? Нет, потому что каждый знает, что с ним такого точно не случится.
В данном случае, они являются самоцелью, плацебо. Поскольку не гарантируют того, для чего предназначены.
Опять вы скатились в область обсуждения гарантий и абсолютной защиты. Так и не хотите понять, о чем же идет спор.

Вас беспокоит, что цель недостижима на все 100%? Так в мире существует огромное множество различных требований и критериев, например, по надежности/безопасности/экономичности/etc, но никто не заявляет, что они являются плацебо и самоцелью только потому, что желаемые цели недостижимы — абсолютной надежности/безопасности/экономичности/etc не существует. Более того — существовать в принципе не могут. И что теперь? Махнуть на всё рукой, раз желаемая цель никогда не будет достижима на 100%?
Нет, не махнуть. :-) Где вы нашли что махнуть? Только надо отличать надежность/безопасность механизмов и прочих сложных устройств и прочей теники от надежности и безопасности человеческой натуры. Обычно в таких случаях люди задают, как им кажется, риторический вопрос: а вы сами всегда соблюдаете ПДД? Лично я всегда соблюдаю не только ПДД, но и прочие правила безопасности жизнедеятельности. И очень хорошо вижу как к ним относятся окружающие.
Кроме того, не зря говорится, что законы обязательно нужно изучать, чтобы знать, как их обойти.
Я повторюсь, что да, закон нужен. Но ситацию с безопасностью он мало изменит.
Я не могу понять, что вас так беспокоит в моих утверждениях? Или вы верите, что любой закон обязательно побуждает любого человека следовать ему неукоснительно? :-)
Или вы верите, что любой закон обязательно побуждает любого человека следовать ему неукоснительно? :-)

Если в законе предусмотрено наказание за его неисполнение и человеку об этом известно, то да, побуждает (в подавляющем большинстве случаев, варианты «а в тюрьме сейчас ужин — макароны...» не рассматриваем :) ). Другое дело, что другие побуждения могут быть сильнее, например, не хочется следующего автобуса 20 минут ждать, а вероятность, что откуда-то возьмётся полицейский и оштрафует мала. Я бы очень-очень редко переходил улицу на красный свет или в неположенном месте если бы каждый раз перейдя и придя домой видел бы квитанцию о штрафе.
Вот, другие побуждения + убежденность, что со мной этого не случится сводит к 0 эффективность профилактики во многих случаях.
К тому же, я категорически считаю :-) что самым надежным ограничителем является внутренняя убежденность человека в необходимости соблюдать правила, а не размер карающей дубины.
К тому же, я категорически считаю :-) что самым надежным ограничителем является внутренняя убежденность человека в необходимости соблюдать правила, а не размер карающей дубины.
Вам бы моральный кодекс строителя коммунизма писать, а не здесь спорить. ;)

Увы, эта идеалистическая теория не выдержала ни проверки временем, ни проверки практикой. И пока таких гомункулусов в нужном кол-ве вырастить не удалось, надо смотреть реальности в глаза и учитывать ее в выборе своих решений.
Кстати, то, что многие государственные механизмы на деле не работают — это тоже результат того, что кто-то не позаботился о работающей карающей дубине (работающие обратные связи нужны в любой более-менее сложной системе управления).
Где вы нашли что махнуть?
А с чего вы решили, что «махнуть» я нашел у вас? Разве не видно, что это моя фраза?
А появилась она у меня потому, что является единственным здравым выводом из ваших суперпессимистических заявлений типа «плацебо», «самоцель» и т.п. Ибо нужно быть полным идиотом, чтобы на всякие там плацебо тратить усилия и вкладывать в них средства.

Только надо отличать надежность/безопасность механизмов и прочих сложных устройств и прочей теники от надежности и безопасности человеческой натуры.
В контексте данного спора они вообще ничем не отличаются. И там, и там:
— нет 100%-ной надежности
— конечная цель недостижима
— существуют различные процедуры/требования, которые несмотря на все вышесказанное, существенно снижают частоту и вероятность аварий (см. ниже).
А теперь я с огромным интересом выслушаю ваши доводы, почему в данном споре следует отличать надежность/безопасность человеческую и техническую.

Я не могу понять, что вас так беспокоит в моих утверждениях?
Суперпессимизм, который при детальном рассмотрении оказывается ни на чем не основанным и практикой не подтвержденным.
Например, в энергетике чертова туча всяких требований и ограничений именно по человеческому фактору. И это, представьте себе, дает огромнейший(!) результат. Не будь их — у нас бы каждую минуту или даже секунду что-нибудь да взрывалось, горело, текло и коротило, и жертв в стране было бы человек по тысяче каждый день. А вы говорите «плацебо»…
Представляете, чем может обернуться для школьника, который собрал на какой нибудь халявной CMS себе интернет-магазин и данные проиндексируются? За него будут родители платить?

Так я вроде бы об ответственности интернет-магазинов говорил, а не их разработчиков. А это, как говорится, две большие разницы.

Отвечать в первую очередь должен интернет-магазин, а точнее — его владелец. Решил он сэкономить, поручив разработку малограмотным школьникам, которые что-то там сляпают на коленке за полчаса — что ж, флаг ему в руки, но на свой страх и риск.
Аналогия: тот же владелец магазина вряд ли отдаст свою дочернюю компанию в управление соседскому мальчишке, который скажет «Дядя Вась, дайте мне там порулить — вчера ко мне в руки такая классная книжка по менеджменту попалась!». Даже если этот мальчишка будет готов бесплатно работать — за опыт. А почему? Ведь этот вариант для дяди Васи гораздо дешевле и проще. Нет — потому что дядя Вася рискует своими деньгами. Поэтому он и выберет опытного специалиста. Да, специалист не дает гарантий от финансового краха, но он хотя бы существенно минимизирует риск.
Так и здесь: если дядя Вася уверен в соседском мальчишке — пусть рискует. Но не только чужими персональными данными, но и своими деньгами. Так будет справедливей.
Ничего нового в таком подходе нет. Мой бизнес — я за него отвечаю. Рублем. Поручил маркетинг/финансы/производство/логистику/etc неумехе — вылетел в трубу. Почему в остальных областях жизнедеятельности фирмы этот принцип действует, а здесь должно быть иначе?

Случится может всякое и пока рано думать о штрафных санкциях

Что-то мне подсказывает, что только удары по кошельку сдвинут владельцев магазинов с мертвой точки. В действенность остальных мер (а тем более добровольных) мне что-то слабо верится.

… в умах людей должно отложиться то, что покупка в интернет — это на их страх и риск.

А мне бы хотелось, чтобы прежде всего в умах владельцев интернет-магазинов отложилось, что их тяп-ляп сляпанные магазины — на их страх и риск.

P.S. За комментарий — спасибо. Пусть мы и немного разошлись во мнениях, но мне понравилось, что вы критикуете аргументированно. Хоть у меня и мало осталось плюсов, но я вам его поставил.
Спади, да что же вы все считаете, что заказывают у дешевых малограмотных мальчиков-то? Ну да, часть заказывает, но я знаю столько дорогих говноконтор, которые вам за дорого сделают так, что дешевые мальчики не смогут так плохо сделать. Сумма никак не гарантирует качество, особенно в нашей стране. Те же программисты Мегафона думается не дешевые мальчики. Думаете, что вы можете на фирму наехать в случае утечки данных? Тоже фига вам, потому что нет никаких законов и гостов на качество ПО и доказать вину фирмы не представится возможным. Так что проблема тут концептуальная и никак не зависит от цены.
Спади, да что же вы все считаете, что заказывают у дешевых малограмотных мальчиков-то?

По-моему, вы не по адресу: я так не считал — я лишь ответил на чужой контраргумент со школьником.

Сумма никак не гарантирует качество, особенно в нашей стране.

Разве я где-то утверждал обратное?

Думаете, что вы можете на фирму наехать в случае утечки данных? Тоже фига вам, потому что нет никаких законов и гостов на качество ПО и доказать вину фирмы не представится возможным.

У меня опять ощущение, что вы спорите не с моими словами, а с чьими-то еще. Из каких моих слов следует, что я могу наехать? Цитирую: "Ввести в обиход весьма чувствительные материальные выплаты за утечку персональных данных". Т.е. я только предложил вариант решения, который еще не работает.
Тоже фига вам, потому что нет никаких законов и гостов на качество ПО и доказать вину фирмы не представится возможным.

С одной стороны (обывательской), раз фирма допустила разглашение моих ПДн, значит она виновата. С другой — непробиваемых защит не существует. С третьей — есть сертификация (добровольная или обязательная — не суть). Вопрос на засыпку — несёт ли какую-нибудь ответственность сертифицирующая организация, если она выдала сертификат о том, что с защитой ПДн у фирмы всё нормально, а на следующий день базу взломали и все данные в паблике лежат?
Она НЕ может нести никакой ответственности именно по тому, что нет никаких ГОСТов, на основе чего вы ее возьмете-то? На основе общих фраз? Все «если» прописать нельзя. А гарантию в формате — дали знак — 100% защищено никто не даст. ибо тут и софт, и сервер и работники и, и, и,… столько этих и, что вы замучаетесь их описывать в договоре. Так что добровольная сертификация — это такой новостной шум, призванный уменьшить напряжение в обществе, но никак и ничего не гарантирующий.
Я к чему и вёл… А обязательная — гарантирующая, что вам придётся платить деньги и не малые, но если что всё равно ответственность не на кого будет переложить (разве что на «аутсорсеров», установивших и осблуживающих СЗИ).
1% со всех продаж в интернет-магазинах?
Никита Сергеевич, я не узнаю Вас под этим никнеймом.
— А если не захотят добровольно?
— Кто не захочет, тому отключим газ интернет.
Это очередной способ для богатых магазинов давить небольшие магазины. Не более того.
Ржака!!! Изобретаем велосипед снова и снова! Уже давно разработали стандарт ISO 9000, которым можно сертифицировать все процессы от разработки ПО до доставки товара. :)
Как Иванов собирается сертифицировать 1000-чи самописных магазинов, полуподвальных складов, нетрезвых курьеров и «бычковатых»владельцев.
Если склероз не изменяет, то по нему сертифицируются системы управления качеством, а не защиты информации.
Так все беды не от защиты данных, а от дырявых и кривых процессов. Будут отлажены процессы, будет защищена информация.
Хакеры (или Яндекс :) ) внутренние документы, регламентирующие ваши процессы читать не будут, как и ваши клиенты, ПДн которых утекут. Клиентам нужны СЗИ, а не процессы управления их качеством. Этим пускай разработчики СЗИ занимаются.
А теперь смотрим www.iso9000.su/iso/iso9000.shtml и читаем важную вещь, которую следует учитывать в своих ожиданиях от ISO 9000:
Стандарт не гарантирует качество продукции. Цель ISO 9000 — внести согласованность и объективность в действия системы контроля качества поставщика.

В нашем случае это означает, что ISO 9000 не гарантирует защиту информации.
Представителю крупнейшего коммерческого ресурса Ozon.ru, хорошо бы заняться своим ресурсом и защитой данных своих покупателей. HTTPS на сайте не работает по крайне мере второй день.
Only those users with full accounts are able to leave comments. Log in, please.