Если Вам понравился блог, вы можете подписаться на RSS ленту. Благодарю за визит!
Помимо долгожданного «Письма шестерых», сегодня наткнутся на очередное письмо ФСТЭК, адресованное Минздравсоцразвития. В нем обосновывается необходимость ОБЯЗАТЕЛЬНОГО получения лицензии на ТЗКИ, в случае если учреждения здравоохранения ведут мероприятия по технической защите персональных данных для СОБСТВЕННЫХ нужд.
Очевидно, что это мнение ФСТЭК распространяется не только на учреждения здравоохранения…
А что будет за невыполнение требований ФЗ-152 «О персональных данных»?
Ответ банальный:
Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную в РФ ответственность.
Ну… это понятно, а что реально?
Придут, посмотрят. Если будут нарушения, выдадут предписание, может быть, будет штраф.
А какой штраф?
Обычно 10 000 – 20 000 рублей.
У-у-у-у… так я буду платить эти штрафы хоть каждый месяц!
Позиция имела бы право на существование, если бы не одно НО.
Для начала история, которую показывали вчера в новостях:
В Ставропольском крае за тонировку стекол сажают.
Схема следующая. Сначала в соответствии с законом инспектор выписывает штраф в размере 100 рублей и выдает предписание, «снять в течение суток не соответствующее госстандарту затемнение».
Если через сутки машину с тонировкой остановят снова, а пленка все еще на месте, наказывать будут уже не за тонировку, а за неисполнение предписания. За это Административным кодексом, а именно статьей 19.3 предусмотрено наказание до 15 суток ареста.
Похожая схема возможна и в случае с персональными данными, только в случае невыполнения предписания включается статья 19.5 КоАП РФ. Мягко говоря, не самая приятная.
Другими словами отмахиваться от 152-ФЗ после получения предписания уже не получится.
Ну и еще одна деталь. Если предписания Роскомнадзора выполнить своими силами в относительно короткие сроки реально, то возможные технические предписания ФСТЭК выполнить сложнее, тем более, если учитывать особенности выделения денежных средств на некоторых предприятиях, когда закупка оборудования планируется за 1-1,5 года.
Ну и самое обидное – чтобы ни произошло, в конечном итоге предписание придется выполнить.
Коллеги свершилось! Очень долго участники рынка ждали новой версии Стандарта Банка России с составляющей по защите персональных данных. И вот теперь «Комплекс БР ИББС» окончательно согласован с ФСТЭК, ФСБ и Роскомнадзором.
Первоначально согласование планировалось до банковской конференции 15 апреля, но по ряду причин работа затянулась. И вот сегодня, вышел пресс-релиз Ассоциации российских банков, поставивший точку в этом вопросе.
На самом деле, это очень знаковое событие. Теперь банковское сообщество получило качественные и адаптированные методические рекомендации по защите персональных данных. Требования по защите персональных данных в рамках СТО БР ИББС стали более понятными и простыми, по сравнению с общими требованиями ФСТЭК и ФСБ.
Теперь у кредитно-финансовых учреждений есть выбор:
1)Принять для себя СТО БР ИББС обязательным в полном объеме и приступить к обеспечению информационной безопасности в нормальном режиме с поддержкой основного регулятора (ЦБ).
2) Не принимать для себя СТО БР ИББС обязательным в полном объеме и биться с ФСТЭК, ФСБ и Роскомнадзором на общих основаниях и в рамках существующих документов регуляторов.
На мой взгляд выбор очевиден, нужно проводить работу по приведению в соответствие стандарту, это выгодно как с точки зрения тактики, так и с точки зрения стратегии.
Все забываю сделать ссылку на свою статью в журнале IT Manager (если долго скачивается можно посмотреть тут). Здесь в свободной манере мы с Александром Саниным пишем об основных изменениях, которые произошли в связи с принятием Приказа ФСТЭК №58 и отменой 2-х документов из «Четверокнижия». Статья полностью актуальна, хоть и вышла несколько недель назад. Занятно, что предположение о возможных изменениях рынка, которые мы делали несколько недель назад, на сегодняшний день полностью подтверждаются:
Проекты станут дешевле, однако их количество может увеличиться в разы, и в целом рынок защиты персональных данных должен увеличиться. К тому же, «смягчение» требований по использованию сертифицированных СЗИ позволит операторам подойти к их выбору с точки зрения повышения уровня информационной безопасности в целом, а не с позиции наличия/отсутствия сертификата. Теперь стало значительно проще выполнять требования по защите персональных данных в рамках комплексного проекта по повышению уровня информационной безопасности (будь то проекты по СТО БР ИББС, PCI DSS или построение СУИБ). Связано это с исчезновением противоречивых требований и дорогостоящих работ, которые создавали препятствия при выполнении требований других стандартов.
Очевидно, что утечка сведений о состоянии здоровья это очень серьезно. Однако реальных примеров мошенничества с использованием медицинских персональных данных немного, да и большинство из них носят бытовой оттенок. Например, соседка в сплетнях узнала группы крови членов семьи из 16-й квартиры. У мамы и папы – 1(00), а у ребенка 2(А). Понятно, что один из родителей таковым не является и…
Факты серьезного криминала из-за утечки сведений о состоянии здоровья встречаются редко. Но сегодня коллега прислал ссылку на историю, с описанной схемой мошенничества, которая, как мне кажется, сработает на многих.
Суть в следующем. Через несколько дней после сдачи анализа крови пациенту звонят и представляются сотрудником поликлиники, соединяют с участковым врачом, который сообщает пациенту, что у него лейкемия второй степени. После чего говорит, что сейчас переключит на онколога, который запишет на лечение, НО «Он будет вас посылать на Каширку. Ни в коем случае не соглашайтесь! На Каширке вас замучают химиотерапией и доведут до четвертой степени. Просите направить вас в ЦКБ! Только в ЦКБ! Там новейшая аппаратура. Там вас поставят на ноги». После этих слов пациента соединяют с онкологом, который естественно предлагает приехать на Каширку. Пациент начинает умолять отправить его в ЦКБ. И тут выясняется, что место в ЦКБ обойдется дорого. Человек соглашается на любые деньги, после чего «добрый» онколог радостно сообщает, что «в ЦКБ есть одно место. Правда, на него претендовали еще два человека, но одна пациентка сегодня скончалась, а вторая может немножко подождать, у нее не такой тяжелый случай». Стоит лечение в ЦКБ 400 тыс.руб. и деньги нужно передать социальному работнику срочно, а именно через час. Дальше дело понятное. У выхода из метро социальный работник дает несколько бумаг на подпись, забирает деньги и исчезает.
P.S. Что интересно, используется стандартный прием «передача клиента». Обратите внимание, разговор ведется в несколько этапов и каждый этап с новым человеком. Этот прием очень часто используется в продажах. Например, если сталкивались с оформлением бесплатных кредиток в магазинах или на улице. Они действуют именно так. Один с вами заводит разговор, и тут же «передает» вас другому человеку, который начинает свою беседу со слов:«Какую кредитную карту вы хотели?» Человек теряется и начинает выбирать, хотя никакую кредитку он еще 5 секунд назад не хотел.
Последние комментарии