Технический дефолт

Технический дефолт
Я не про отказ от выполнения финансовых обязательств. Слово defaultимеет разные значения. В данном случае речь пойдет о сознательном отказе от выполнения требований. Догадались? Требований по технической защите персональных данных.
Принятие поправок в ФЗ-152, похоже, начинает давать эффект, прямо противоположный целям, поставленным авторами статей 18 прим и 19 в новой редакции закона. В ходе переговоров с заказчиками выясняется, что люди, от которых в конечном итоге зависит выделение бюджетов, категорически отказываются обсуждать реализацию мер технической защиты. Правовые меры – пожалуйста, давайте поговорим. Организационные? Доработка локальных нормодоков, разработка политики оператора? А что Вы конкретно предлагаете? Ваша оценка стоимости?
Техническая защита? Стоп. На основании каких нормативно-правовых актов Вы предлагаете определять меры по технической защите?
Квинтэссенция – вникание юристов из служб правового обеспечения заказчиков в проблемы выдвижения требований по таким ранее неведомым для них вопросам, как уровни криптографической защиты персональных данных, специальной защиты от утечки по каналам побочных излучений и наводок и защиты от несанкционированного доступа. Они уже знают про печальный конец «четырехкнижия» ФСТЭК, отмененные требования об обязательности аттестации ИСПДн, о порядке выбора межсетевых экранов и IDS/IPSв зависимости от класса системы.
Держатели бюджетов компаний, не имеющих и не намеревающихся получать лицензии на работу с гостайной, интересуются, в каких конкретно актах установлен особый порядок допуска к документам, содержащим обязательные для выполнения требования. Нет конкретного ответа – нет бюджета. До принятия правительством России актов, определяющих уровни защищенности персональных данных, требований к их защите и видов деятельности, при осуществлении которых осуществляется надзор со стороны ФСБ и ФСТЭК, обсуждение вопросов технической защиты они считают нецелесообразным. И их можно понять.
Ситуация складывается аховая.  Если про консалтинг по поводу правовых и организационных мер с заказчиками говорить можно, и он видится востребованным, то по поводу технического проектирования настрой руководителей и владельцев бизнеса – резко отрицательный. И они его не скрывают, демонстрируя готовность перенести обсуждение в суд. Достали их. 
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Михаил Емельянников

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.