24 августа 2011 г.

Технический дефолт

Я не про отказ от выполнения финансовых обязательств. Слово default имеет разные значения. В данном случае речь пойдет о сознательном отказе от выполнения требований. Догадались? Требований по технической защите персональных данных.
Принятие поправок в ФЗ-152, похоже, начинает давать эффект, прямо противоположный целям, поставленным авторами статей 18 прим и 19 в новой редакции закона. В ходе переговоров с заказчиками выясняется, что люди, от которых в конечном итоге зависит выделение бюджетов, категорически отказываются обсуждать реализацию мер технической защиты. Правовые меры – пожалуйста, давайте поговорим. Организационные? Доработка локальных нормодоков, разработка политики оператора? А что Вы конкретно предлагаете? Ваша оценка стоимости?
Техническая защита? Стоп. На основании каких нормативно-правовых актов Вы предлагаете определять меры по технической защите?
Квинтэссенция – вникание юристов из служб правового обеспечения заказчиков в проблемы выдвижения требований по таким ранее неведомым для них вопросам, как уровни криптографической защиты персональных данных, специальной защиты от утечки по каналам побочных излучений и наводок и защиты от несанкционированного доступа. Они уже знают про печальный конец «четырехкнижия» ФСТЭК, отмененные требования об обязательности аттестации ИСПДн, о порядке выбора межсетевых экранов и IDS/IPS в зависимости от класса системы.
Держатели бюджетов компаний, не имеющих и не намеревающихся получать лицензии на работу с гостайной, интересуются, в каких конкретно актах установлен особый порядок допуска к документам, содержащим обязательные для выполнения требования. Нет конкретного ответа – нет бюджета. До принятия правительством России актов, определяющих уровни защищенности персональных данных, требований к их защите и видов деятельности, при осуществлении которых осуществляется надзор со стороны ФСБ и ФСТЭК, обсуждение вопросов технической защиты они считают нецелесообразным. И их можно понять.
Ситуация складывается аховая.  Если про консалтинг по поводу правовых и организационных мер с заказчиками говорить можно, и он видится востребованным, то по поводу технического проектирования настрой руководителей и владельцев бизнеса – резко отрицательный. И они его не скрывают, демонстрируя готовность перенести обсуждение в суд. Достали их. 

12 комментариев:

  1. В любом случае примут. И про уровни, и про требования... Впопыхах, в последний момент, не подумав толком и ни с кем не посоветовавшись, но примут. Это же золотая жила, кто ж от неё откажется?! А то, что отдельные храбрецы готовы до суда идти, так это они, конечно, молодцы, но ничего их позиция не изменит. Проект Роспил миллиардные махинации выявляет и ничего, никаких громких уголовных дел. А тут всего-то несколько десятков тысяч на сертифицированный межсетевой экран...

    ОтветитьУдалить
  2. Термин удивительно удачно подошёл.

    ОтветитьУдалить
  3. Главное условие исполнения любого нормативного акта - требования должны быть выполнимы

    ОтветитьУдалить
  4. > И они его не скрывают, демонстрируя готовность перенести обсуждение в суд

    И это НАДО делать!!!

    ОтветитьУдалить
  5. 2Тарас. Примут, никто не сомневается. Но каждый раз реакция бизнеса все более и более болезненная. Подключение к тематике РСПП, ОПОРА и др. говорит о непростой ситуации для регуляторов.
    А там - каша. Новейший приказ РКП про уведомления - а там снова классы. Терпение бизнеса может лопнуть.

    ОтветитьУдалить
  6. 2Сергей. Да выполнить то можно. Вопрос - зачем, что это даст и, самое главное, кто за это заплатит? Последний вопрос - риторический (впрочем, как и первые два). Заплатим мы - налогами, оплатой товаров и услуг. Но нам (субъектам) от этого нисколько легче не станет.

    ОтветитьУдалить
  7. 2Алексей Волков. Будем реалистами. Они пойдут, если на них наедут. И никогда по-другому. Остается наблюдать за развитием событий. Кстати, Ваш самый большой руководитель тоже очень заинтересовался этой тематикой.

    ОтветитьУдалить
  8. > Да выполнить то можно

    Далеко не всем, именно потому, что дорого. Зачем - понятно, а вот почему именно так, как хотят они?

    ОтветитьУдалить
  9. 2Сергей. Вы ответили - потому что они хотят. Так устроена система, которую они построили. Плавно вытекая из гостайны, на которой денег сегодня не заработаешь, и перетекая в ИОД, охраняемую законом, где не только заработать - нарубить можно

    ОтветитьУдалить
  10. В случае слишком жестких и дорогостоящих требований эффект может быть обратный. Как пример лицензия на ТЗКИ - лицензиатов - единицы, стоимость лицензии от 1,5 млн. Сделайте лицензию, позволяющую устанавливать и обслуживать СЗИ в соответствии с ЭД, из требований оставьте наличие помещения и специалистов и люди к вам потянутся.

    ОтветитьУдалить
  11. 2Сергей. А вот с этим согласиться не могу. У нас и так лицензиаты местами такие, что лучше уж никого не звать, чем их. И плодить их не к чему. Надо идти другим путем - категорически отказаться от лицензирования деятельности, вмененной законом в обязанность всем предприятиям и организациям. Но это поправка про ТЗКИ для собственных нужд в ФЗ-99 не прошла. И я уверен, что понимаю, почему.

    ОтветитьУдалить