Не защищаем персональные данные или почему нельзя бесконечно платить мизерные штрафы

  • А что будет за невыполнение требований ФЗ-152 «О персональных данных»?

Ответ банальный:

  • Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную в РФ ответственность.
  • Ну… это понятно, а что реально?
  • Придут, посмотрят. Если будут нарушения, выдадут предписание, может быть, будет штраф.
  • А какой штраф?
  • Обычно 10 000 – 20 000 рублей.
  • У-у-у-у… так я буду платить эти штрафы хоть каждый месяц!

Позиция имела бы право на существование, если бы не одно НО.
Для начала история, которую показывали вчера в новостях:

В Ставропольском крае за тонировку стекол сажают.

Схема следующая. Сначала в соответствии с законом инспектор выписывает штраф в размере 100 рублей и выдает предписание, «снять в течение суток не соответствующее госстандарту затемнение».

Если через сутки машину с тонировкой остановят снова, а пленка все еще на месте, наказывать будут уже не за тонировку, а за неисполнение предписания. За это Административным кодексом, а именно статьей 19.3 предусмотрено наказание до 15 суток ареста.

Похожая схема возможна и в случае с персональными данными, только в случае невыполнения предписания включается статья 19.5 КоАП РФ. Мягко говоря, не самая приятная.

Другими словами отмахиваться от 152-ФЗ после получения предписания уже не получится.

Ну и еще одна деталь. Если предписания Роскомнадзора выполнить своими силами в относительно короткие сроки реально, то возможные технические предписания ФСТЭК выполнить сложнее, тем более, если учитывать особенности выделения денежных средств на некоторых предприятиях, когда закупка оборудования планируется за 1-1,5 года.

Ну и самое обидное – чтобы ни произошло, в конечном итоге предписание придется выполнить.

Исследование рынка информационной безопасности или почему СТО БР ИББС столь перспективен

Вышел четвертый отчет LETA IT-company по рынку информационной безопасности в России. В отличие от предыдущих отчетов, здесь появились фамилии авторов разделов. Это, безусловно, правильно, т.к. «обезличенность» предыдущих отчетов порождала кучу слухов и снимала ответственность с авторов. Сейчас ситуация иная, по каждому разделу известен автор, которому всегда можно задать вопрос и высказать свое согласие/несогласие.

Раздел по Стандарту Банка России (СТО БР ИББС) в исследовании писал я, так что готов к диалогу.

Как и раньше, исследование нельзя назвать идеальным. В финальном варианте есть много ошибок, в том числе и фактологических. Кроме того, исследование нельзя назвать полным, т.к. в нем не хватает больших разделов по ИБ.

При этом, те разделы, которые в исследовании есть, написаны, мой взгляд, неплохо и для создания представления о рынке будут полезны.

Что касается описаний консалтинговых направлений, то выполнены они достаточно полно и точно. Сейчас действительно эпоха compliance, компании стремятся не только выстроить эффективную систему защиты, но и получить «признание» ее эффективности. Есть, конечно, убогие комплайнс -направления, вроде защиты персональных данных, которые собственно и форсировали начало эпохи. Однако вместе с ними компании стремятся соответствовать адекватным и признанным стандартам, вроде PCI DSS, ISO 27001… или СТО БР ИББС.

Если брать все compliance-направления ИБ-рынка, то именно направление СТО БР ИББС мне кажется самым перспективным. Уже к сегодняшнему моменту большое количество банков провели свое собственное исследование на предмет есть ли смысл проводить работы по приведению в соответствие требованиям СТО БР ИББС. Большинству, как и мне, выбор кажется очевидным.

Направление персональных данных получило максимальный «кусок» рынка в 2009 году, теперь же его доля, на мой взгляд, будет постепенно сокращаться. Часть возьмет СТО БР ИББС, часть Экспертные аудиты, PCI DSS и т.д. В 2009 году деньги на развитие ИБ/ИТ, выделялись только на персональные данные как объективную неизбежность. Сейчас ситуация с бюджетами лучше, и в разговорах о развитии, службы ИБ говорят не только о защите персональных данных, но и о других вещах.

Поэтому по итогам 2010 мы увидим более здравую картину без столь значительного перегиба в сторону защиты персональных данных.