Комментарии 21
Похоже на лоббирование современных систем 'защиты'.
Так что спасибо, но нет.
Пусть уж операторы ПД под угрозой оборотных штрафов сами думают как их защищать, или вот совсем крамольная мысль - не собирают персональные данные.
Проблема в том, что сегодня собирают чрезвычайно много персональных данных. И клиента ставят перед фактом: или давай всё и сразу, или давайдосвиданья.
А тут вводят ответственность жёсткую за утечки.
Как минимизировать этот риск? Варианта два: или снизить «вкусность» базы, или наращивать защиту.
Вот ребята и говорят, что от сбора информации о каждом чихе (с геолокацией и поколичественной переписи вылетевших бацилл) ребята отказываться не хотят.
Похоже просто на продажу индульгенции
Что такое "анализ лучших решени" и кто его будет проводить?
Ну а в целом, переводя с "промышленного и предпринимательского" языка на человеческий - "дайте нам больше прав, и меньше ответственности".
Что такое "анализ лучших решени" и кто его будет проводить?
Скорее всего что-то вроде: иметь ход одного devops который прошел официально одобренный курс "Цифровой безопасности ЭВМ" 2000-мохнатого года, который будет обновляться раз в пятилетку, иметь установленным официально одобренный "народный" антивирус созданный по госзаказу компанией которая предложила выполнить за наименьшую цену... Ну и т.д., как везде
Может эти репрессивные меры приведут таки к чему-то хорошему? Не подумали? Может наконец жадные до личных данных товарищи тупо *много мата - вырезано* перестанут накапливать персоналку? И вообще ее хранить?
Не знаю как другим, но мне практически с самого начала вот этой мнимой заботы о ПД было ясно что это очередная кормушка для Касперских, СекьюритиКодов и прочих. Купил, установил, "настроил" (Далее-Далее-Далее-Готово), все, молодец. Не забывай только каждый год еще за воздух ТП платить, даже если она тебе нужна. А если пропустил, год-другой, но она тебе понадобилась на третий (проверка на носу), то будь добр купить и на третий, и за предыдущие два.
А также за превышение скорости, если есть иконки на торпедо.
Понял, накупаю СЗИ, ложу на полку и дальне строю процессы ИБ
нужно предусмотреть состав правонарушения таким образом, чтобы ответственность наступала исключительно в случае непринятия или принятия неадекватных выявленным угрозам безопасности
Игра слов, чтобы снять часть ответственности.
Проблема в том, что во множестве крупных компаний сидит неадекватно малое количество специалистов по ИБ, бывает даже так, что в организации с количеством филиалов ~100 всего один безопасник. Есть и другой момент, что многие руководители и директора не понимают рисков, и соответственно, когда он приходит и говорит, мол у вас тут куча уязвимостей и вообще надо накупить средств защиты на такую сумму, что в лучшем случае нивелирует их прибыль за большой период времени. Естественно, директор говорит мол не офигел ли ты товарищ безопасник, хочешь, чтобы работа встала и мы начали из-за этого терять деньги, так еще всякой фигни хочешь накупить на сумму равную нашему годовому обороту.
И этому безопаснику остается всего два варианта:
Уволиться и найти себе место в другой конторе.
Заниматься бумажной безопасностью (один фиг проверяющие будут именно её проверять).
лучших решений и технологий в области информационной безопасности в России. Если оператор персональных данных их в полном объёме выполняет, но утечка персональных данных происходит, томожет быть стоит задуматься — лучшее ли это решение?
Любое средство защиты из коробки не защищает на 100%, и зачастую горе-безопасники не настраивают средства защиты должным образом, а там зачастую в правилах пользования очень жесткие требования указаны. Да тот же випнет взять, этот же горе-безопасник поставил его бухгалтеру для подключения в сеть какого-нибудь госоргана и тут же прописал фильтр открытой сети для всех входящих и исходящий соединений, и смысл тогда от средства защиты? Я это к тому, что чаще всего подводят не сами средства защиты, а безопасники, которые ничего не настроили, как того требуют регламентирующие документы.
Если оператор персональных данных их в полном объёме выполняетЕсли полный объем выглядит как «Понял, накупаю СЗИ, ложу на полку», то вопрос остается тем же: лучшее ли это решение?
Может быть стоит пересмотреть решение так, чтобы для выполнения было недостаточно «купить и ложить»?
Полный объём так не выглядит хотя бы потому, что во всех паспортах-формулярах на сертифицированных СКЗИ написано, что они соответствуют указанному в сертификате уровню защиты только при условии, что соблюдаются все требования указанные в правилах пользования, а это отдельный документ, который в лучшем случае на 30 страниц и требований там очень много, и они очень жесткие, и они не про оформление бумажек.
В РСПП предлагают не штрафовать за утечки данных операторов ПД, у которых есть современные системы защиты