Комментарии 13
Создается впечатление что защита персональных данных имеет формальный характер.
Ещё бы! У меня, например, сантиметров 15 стопка всяких приказов и актов необходимых на случаи проверок чисто для 152-ФЗ. Это помимо дюжины разнообразных журналов по СКЗИ.
Да уж, ФАПСИ давно нет, а его нормативные документы по СКЗИ до сих пор исполняем в куче мукулатуры, а ФСБ на себя не берет переделать нормативку по современному. Не верю я, что за более 20 лет она не требует актуализации
Требует. И законы меж собой противоречат.
Кроме ФСБ (они наиболее адекватные) есть ещё ФСТЭК и прокуратура. Последние очень любят даже без очных проверок выдать предостережение, мол, не исполняете.
Юрист, вздыхая (и немного матерясь), пишет что исполняем, вот, все документы есть. Отчётность ведётся. Доказываем что не верблюд.
По большинству нарушений подзаконных актов ФСТЭК нет наказания (за исключением КИИ наверное). Штрафы за нарушение защиты и обработки ПДн мизерные. Доказать почти ничего невозможно. В случае нарушения в "бумажках" выписывают предписание, которое потом можно выполнить, заказав услугу их рахработки у многочисленных интеграторов ИБ.
К фактичаской безопасности это к сожалению никакого отношения не имеет.
Подобные услуги ЦОДов сильно упрощают выполнение требований по защите ПДн. Конечно нужно еще выпустить кучу мукулатуры, фактическую защиту то проверять никто не будет - нет компетенций.
До первого инцедента. Там те же ФСБ с РКН и примкнувшая к ним прокуратура проверят так проверят.
И ФСБ, кстати, предлагает услуги аудита.:D Для бюджетников бесплатно. Повторюсь, они, по-крайней мере в Смоленской области, вполне адекватные. Есть конторы, которые пользуются.
Мы не пользовались - слишком много не сделано.
ФСБ и на Северо-Западе вполне адекватные и современные. Принимают вместо кипы бумаги сшитой нитками, файлы на носителе, подписанные ЭП. В части проверки порядка обращения СКЗИ не сталкивался, но по ПДн приходили и ничего сделать не смогли (в том числе спасибо юристам). В нормативных актах очень много нестыковок с ТК и ГК.
Ой, не надо про нитки. Как я в первый раз пытался журнал с ними сделать...
Для несведующих. Журнал надо прошить и опечатать. То есть и без того уже продыроколенную стопку листов отдельно просверливаешь. Продеваешь суконные нитки. Сзади нитки завязываешь узлом. После узла на хвосты наклеивается полоска бумаги на которой все росписи ответственных. И сверху прошлёпывается печатью, чтоб половина на полоске, половина на листе.
Признайтесь, кто так на работе делает?
Какова экономическая эффективность каких бы то ни было мер по безопасному хранению и обработке персональных данных, если за массированную бесконтрольную публикацию этих персональных данных фактическое наказание для юридических лиц составляет штраф в несколько десятков тысяч рублей? Выглядит так, что неизмеримо дешевле платить штраф раз в полгода, а на безопасности экономить миллионы.
Как использовать сервисы Selectel для выполнения требований 152-ФЗ