А что будет за невыполнение требований ФЗ-152 «О персональных данных»?
Ответ банальный:
Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную в РФ ответственность.
Ну… это понятно, а что реально?
Придут, посмотрят. Если будут нарушения, выдадут предписание, может быть, будет штраф.
А какой штраф?
Обычно 10 000 – 20 000 рублей.
У-у-у-у… так я буду платить эти штрафы хоть каждый месяц!
Позиция имела бы право на существование, если бы не одно НО.
Для начала история, которую показывали вчера в новостях:
В Ставропольском крае за тонировку стекол сажают.
Схема следующая. Сначала в соответствии с законом инспектор выписывает штраф в размере 100 рублей и выдает предписание, «снять в течение суток не соответствующее госстандарту затемнение».
Если через сутки машину с тонировкой остановят снова, а пленка все еще на месте, наказывать будут уже не за тонировку, а за неисполнение предписания. За это Административным кодексом, а именно статьей 19.3 предусмотрено наказание до 15 суток ареста.
Похожая схема возможна и в случае с персональными данными, только в случае невыполнения предписания включается статья 19.5 КоАП РФ. Мягко говоря, не самая приятная.
Другими словами отмахиваться от 152-ФЗ после получения предписания уже не получится.
Ну и еще одна деталь. Если предписания Роскомнадзора выполнить своими силами в относительно короткие сроки реально, то возможные технические предписания ФСТЭК выполнить сложнее, тем более, если учитывать особенности выделения денежных средств на некоторых предприятиях, когда закупка оборудования планируется за 1-1,5 года.
Ну и самое обидное – чтобы ни произошло, в конечном итоге предписание придется выполнить.
Вышел четвертый отчет LETA IT-company по рынку информационной безопасности в России. В отличие от предыдущих отчетов, здесь появились фамилии авторов разделов. Это, безусловно, правильно, т.к. «обезличенность» предыдущих отчетов порождала кучу слухов и снимала ответственность с авторов. Сейчас ситуация иная, по каждому разделу известен автор, которому всегда можно задать вопрос и высказать свое согласие/несогласие.
Раздел по Стандарту Банка России (СТО БР ИББС) в исследовании писал я, так что готов к диалогу.
Как и раньше, исследование нельзя назвать идеальным. В финальном варианте есть много ошибок, в том числе и фактологических. Кроме того, исследование нельзя назвать полным, т.к. в нем не хватает больших разделов по ИБ.
При этом, те разделы, которые в исследовании есть, написаны, мой взгляд, неплохо и для создания представления о рынке будут полезны.
Что касается описаний консалтинговых направлений, то выполнены они достаточно полно и точно. Сейчас действительно эпоха compliance, компании стремятся не только выстроить эффективную систему защиты, но и получить «признание» ее эффективности. Есть, конечно, убогие комплайнс -направления, вроде защиты персональных данных, которые собственно и форсировали начало эпохи. Однако вместе с ними компании стремятся соответствовать адекватным и признанным стандартам, вроде PCI DSS, ISO 27001… или СТО БР ИББС.
Если брать все compliance-направления ИБ-рынка, то именно направление СТО БР ИББС мне кажется самым перспективным. Уже к сегодняшнему моменту большое количество банков провели свое собственное исследование на предмет есть ли смысл проводить работы по приведению в соответствие требованиям СТО БР ИББС. Большинству, как и мне, выбор кажется очевидным.
Направление персональных данных получило максимальный «кусок» рынка в 2009 году, теперь же его доля, на мой взгляд, будет постепенно сокращаться. Часть возьмет СТО БР ИББС, часть Экспертные аудиты, PCI DSS и т.д. В 2009 году деньги на развитие ИБ/ИТ, выделялись только на персональные данные как объективную неизбежность. Сейчас ситуация с бюджетами лучше, и в разговорах о развитии, службы ИБ говорят не только о защите персональных данных, но и о других вещах.
Поэтому по итогам 2010 мы увидим более здравую картину без столь значительного перегиба в сторону защиты персональных данных.
Коллеги свершилось! Очень долго участники рынка ждали новой версии Стандарта Банка России с составляющей по защите персональных данных. И вот теперь «Комплекс БР ИББС» окончательно согласован с ФСТЭК, ФСБ и Роскомнадзором.
Первоначально согласование планировалось до банковской конференции 15 апреля, но по ряду причин работа затянулась. И вот сегодня, вышел пресс-релиз Ассоциации российских банков, поставивший точку в этом вопросе.
На самом деле, это очень знаковое событие. Теперь банковское сообщество получило качественные и адаптированные методические рекомендации по защите персональных данных. Требования по защите персональных данных в рамках СТО БР ИББС стали более понятными и простыми, по сравнению с общими требованиями ФСТЭК и ФСБ.
Теперь у кредитно-финансовых учреждений есть выбор:
1)Принять для себя СТО БР ИББС обязательным в полном объеме и приступить к обеспечению информационной безопасности в нормальном режиме с поддержкой основного регулятора (ЦБ).
2) Не принимать для себя СТО БР ИББС обязательным в полном объеме и биться с ФСТЭК, ФСБ и Роскомнадзором на общих основаниях и в рамках существующих документов регуляторов.
На мой взгляд выбор очевиден, нужно проводить работу по приведению в соответствие стандарту, это выгодно как с точки зрения тактики, так и с точки зрения стратегии.
По всей видимости, тема персональных данных будет вновь на первом месте. Большие надежды возлагаю на доклады операторов персональных данных, которые проводили работы самостоятельно. Пока неизвестно кто будет читать доклады, а главное какие, тем не менее, есть шанс услышать что-то неизбитое. Если организационные решения уже давно ясны и новшеств здесь немного, то техническую защиту на просторах нашей родины обеспечивают по-разному, иногда, особенно в крупных компаниях с распределенной структурой, находят очень гибкие и элегантные решения, которые могут удовлетворить и регуляторов и бизнес. К сожалению, о таких интересных проектах удается узнать только неофициально. До сегодняшнего дня операторы очень неохотно делились личным опытом проведенных работ по защите персональных данных на открытых мероприятих. Причины понятны, кто-то не уверен за адекватность результата, кто-то решил «не афишировать» проект и т.п. Может в этот раз что-то изменится? Все-таки почти 2 года обсуждаем…
Все забываю сделать ссылку на свою статью в журнале IT Manager (если долго скачивается можно посмотреть тут). Здесь в свободной манере мы с Александром Саниным пишем об основных изменениях, которые произошли в связи с принятием Приказа ФСТЭК №58 и отменой 2-х документов из «Четверокнижия». Статья полностью актуальна, хоть и вышла несколько недель назад. Занятно, что предположение о возможных изменениях рынка, которые мы делали несколько недель назад, на сегодняшний день полностью подтверждаются:
Проекты станут дешевле, однако их количество может увеличиться в разы, и в целом рынок защиты персональных данных должен увеличиться. К тому же, «смягчение» требований по использованию сертифицированных СЗИ позволит операторам подойти к их выбору с точки зрения повышения уровня информационной безопасности в целом, а не с позиции наличия/отсутствия сертификата. Теперь стало значительно проще выполнять требования по защите персональных данных в рамках комплексного проекта по повышению уровня информационной безопасности (будь то проекты по СТО БР ИББС, PCI DSS или построение СУИБ). Связано это с исчезновением противоречивых требований и дорогостоящих работ, которые создавали препятствия при выполнении требований других стандартов.
Последние комментарии