На Западе фразу «запрещается дискриминация по возрасту, цвету кожи или размеру молочных желез» нынче не пишут – не всякая дискриминация запрещается. Дискриминировать можно, если это выравнивает то, что почему-то в обратную сторону перекошено.
С одной стороны, базы крупных и/или важных операторов персональных данных и защиты заслуживают более серьезной. Во-первых, они интереснее. Представляете, например, информацию, хранимую мобильным опсосом – сюжет? Во-вторых, именно крутые операторы, нравится им это или нет, могли бы потянуть и общественно-полезную нагрузку, прямо не продиктованную сиюминутным благом субъектов. Скажем, поддержку отечественной отрасли производителей защиты. Ну, есть вот, допустим, такие национальные интересы – иметь и в 2019 году технические средства, не прослушиваемые вероятным противником. Может такое быть.
С другой стороны, именно крутые-то операторы и имеют большие возможности для ухода от обязательных требований. Это ведь высокий пилотаж – уклониться через модель угроз, например, совсем не всем доступно. Либо это большие мастера в штате, либо дорогущие консультанты на подряде, либо связи, позволяющие согласовать модель независимо от квалификации авторов, либо еще что в этом же духе.
И получается парадоксальная ситуация: федеральное министерство или здоровый холдинг претендуют на белый билет, а преподаватель сольфеджио в музыкальной студии, где и защищать особо нечего, влачит ПКЗ-2005 по всей строгости.
Понимают ли это т.н. регуляторы? Я не уверен. Я очень высокого мнения об их способностях (серьезно!), но есть объективная сложность: верхнее их звено общается именно с крутыми операторами, а о проблемах иных если и знает кто, так это рядовые госинспекторы «на земле».
Решение очевидно: законодательно ввести компенсирующее неравноправие операторов. Но не на финотчетность же ориентироваться! Значит, надо принять, что уровень защищенности (который на самом деле вовсе не уровень защищенности) информационных систем персональных данных коррелирует с крутизной оператора, поэтому как-то так, например, и запишем: сертифицированные СЗИ от уровня 3 и выше, сертфицированные СКЗИ от уровня 2 и выше. Загрубление, но лучший выход из имеющихся.
Так что когда Совет Федерации предлагает дискриминировать крупных операторов – не удивляйтесь.
С одной стороны, базы крупных и/или важных операторов персональных данных и защиты заслуживают более серьезной. Во-первых, они интереснее. Представляете, например, информацию, хранимую мобильным опсосом – сюжет? Во-вторых, именно крутые операторы, нравится им это или нет, могли бы потянуть и общественно-полезную нагрузку, прямо не продиктованную сиюминутным благом субъектов. Скажем, поддержку отечественной отрасли производителей защиты. Ну, есть вот, допустим, такие национальные интересы – иметь и в 2019 году технические средства, не прослушиваемые вероятным противником. Может такое быть.
С другой стороны, именно крутые-то операторы и имеют большие возможности для ухода от обязательных требований. Это ведь высокий пилотаж – уклониться через модель угроз, например, совсем не всем доступно. Либо это большие мастера в штате, либо дорогущие консультанты на подряде, либо связи, позволяющие согласовать модель независимо от квалификации авторов, либо еще что в этом же духе.
И получается парадоксальная ситуация: федеральное министерство или здоровый холдинг претендуют на белый билет, а преподаватель сольфеджио в музыкальной студии, где и защищать особо нечего, влачит ПКЗ-2005 по всей строгости.
Понимают ли это т.н. регуляторы? Я не уверен. Я очень высокого мнения об их способностях (серьезно!), но есть объективная сложность: верхнее их звено общается именно с крутыми операторами, а о проблемах иных если и знает кто, так это рядовые госинспекторы «на земле».
Решение очевидно: законодательно ввести компенсирующее неравноправие операторов. Но не на финотчетность же ориентироваться! Значит, надо принять, что уровень защищенности (который на самом деле вовсе не уровень защищенности) информационных систем персональных данных коррелирует с крутизной оператора, поэтому как-то так, например, и запишем: сертифицированные СЗИ от уровня 3 и выше, сертфицированные СКЗИ от уровня 2 и выше. Загрубление, но лучший выход из имеющихся.
Так что когда Совет Федерации предлагает дискриминировать крупных операторов – не удивляйтесь.
