31.08.2009

Диссиденты от персданных

Много раз думал, писать ли об этом, и несколько – не начать ли заодно материться. Со вторым решил еще потянуть.

Излишне упоминать, что защита персданных стала основным движком отечественной ИБ, или перечислять причины тому.
Сейчас интенсивность сообщений на данную умеренно интересную тему достигла такой отметки, когда не видеть повального тренда могут только сами 010110-инфицированные, и он вельми безобразен: российская ИБ с удовольствием ищет и смакует любые негативные подробности в нормальном, в общем-то, развитии ситуации.

Да, в тексте закона есть, что улучшить, и оно не всем бросалось в глаза, пока не стали применять.
Да, понятийный аппарат не перегоняется в лингвистические переменные.
Да, многие тысячи хороших специалистов не возникают в мгновение ока.
Да, будут ошибки. Потом меньше, но все равно будут.
Да, ИСПДнному пакету даже до СТРовского ар-деко далековато, и авторам на это указывают.

О чем это говорит?
Только о том, что начали недавно.
Больше ни о чем не говорит, если специально не хотеть.

Вот есть, например, idtheftcenter.org, крайне примечательный своими солюшенами и темплейтами для субъектов.
Безусловно, это другой уровень в деле защиты прав – помощь, за которую не поставишь галочку в отчете "рассмотрено обращений / выдано предписаний / передано в прокуратуру".
Но можно порадоваться, что любимый Готэм может спать спокойно, да отметить про себя еще один признак четвертой стадии, к которой и мы придем, а можно написать в тональности "немытая Россия".
Лично Вы бы что написали? Вопрос для самопроверки, вслух можно не отвечать.

з.ы. Жаль, что регуляторов не четверо – я бы что-нибудь про всадников жопокалипсиса пошутил для разрядки.

13 комментариев:

swan комментирует...

Уникальная ситуация с 1101010-м ФЗ. Уникальность ситуации видится в большой социальной значимости (а не заблуждение ли это ???) и в ширине его (жили поживали несколько тысяч заказчиков и несколько сотен исполнителей в песочнице и пекли свои куличики потихоньку) - а тут внезапно такие поля не паханные...

"Операторы в шоке" но прикол в том, что в шоке все ))) сверху до низу включая субъектов ПДн и регуляторов...

Ригель комментирует...

Избыточный размах на первом этапе - это как бы нормальная фигня, имхо, для данного исторического момента.

Анонимный комментирует...

Есть поговорка: "Спешка хороша в двух вещах: при ловле блох и при (пардон) поносе". Как видно из сказанного, обеспечение безопасности туда не входит.
Вытекает такой вопрос: а надо ли нам ТАК торопиться? Или можно было это сделать рассудительно и правильно. Чтобы такой ломки и паники не было?

swan комментирует...

"Чтобы такой ломки и паники не было?"
Думаю - нельзя... и тут дело даже не в нас(в широком смысле).

ИБ живет в двух режимах
1 - бесперспективный
2 - реальный

Что это такое :
1 - это когда сели подумали при создании новых технологий обработки данных продумали реализации подходы к ИБ и т.п. - жизненный цикл такой системы - несколько лет. Сами понимаете за это время перспективные технологии становятся устаревшими, на рынок выбиваются и снимают сливки - те кто успевают...

2 - ИБ тянется за технологиями по принципу "что успеем и за эти деньги" в этом случае жизненный цикл меньше и можно успеть получить на пропитание...

Тут по уму то должен сработать какой то (я слышал) рыночный механизм естественного отбора...

Вот он и работает... "кто успел первым выползти на берег и отложить икру - тот и прав"

Анонимный комментирует...

SWAN, все верно рассуждаешь. Но что мы видим сейчас? Механизм естественного отбора не работает: невыполнимые требования по обеспечению безопасности ПД не "гармонизируют", выполнимые не уточняют, дату не сдвигают.
Все решается на уровне личных связей и по неформальным каналам. По формальным приходят только отписки.
Вопрос стоит очень остро. У нас в организации около сотни серверов обрабатывающих ПД различных классов, а также около 8000 ПК, обрабатывающих эти ПД. Как их защитить по закону? А никак, т.к. придется организацию продать чтоб защитить.
Придется бумажками швыряться. а это разве защита?
Наверное я дессидент, но у меня голова не хватает "понималки" понять столь "примитивные" вещи.

swan комментирует...

Вот так всегда...
Сначала выражаемся что у нас везде бардак... а когда соберемся бардак разгребать - оказывается нужно без сливок 5 лет жить... или не жить вообще...

Это я без конкретики - не чтобы обидеть а в общем...

Не все так страшно - практически... Вы же знаете что нужно делать, не так ли...

Анонимный комментирует...

Мне просто обидно за столь сильно распиарастенный формализм:( Типа мы защищаем!
А как защищаем и какой ценой их (регуляторов) не волнует.
Мне очень хочется защищать персданные, т.к. с приходом все большей информатизации все более и более очевидным станет необходимость.
Однако как в реалиях осуществлять защиту знаю со слов "старших" товарищей - кто работал с регуляторами до этого.
Забить и бумагами их закидать, т.к. реально проверять системы никто не будет:(
а смысл всего этого пачканья бумаги тогда?
Я понимаю, что без ошибок не будет правильного решения в итоге. Но у нас из года в год на эти грабли наступают (по разным законодательным инициативам). Неужто нельзя хоть что-то поменять?

А если по хорошему, то мне понятна организационная составляющая, в вот техническая, а также вопросы с аттестацией - я в них просто разобраться не могу. но это уже лирика похоже и никого она не интересует. даже регуляторов.

swan комментирует...
Этот комментарий был удален автором.
Ригель комментирует...

> можно было это сделать
> рассудительно и правильно?

Без граблей и шишек? Вряд-ли.
Кривую гартнера, aka hype curve, никто не отменял (и не здесь открыл).

Алексей Лукацкий комментирует...

Ригелю: Не согласен. Посмотри на ЦБ. Они свой стандарт уже в третьей версии запустили. И пока все РЕКОМЕНДАЦИЯ, хотя уже 5 лет прошло с первой редакции. Потому что понимают, что нельзя такой документ сделать сразу и хорошо. Да еще и обязательным.

И посмотри на европейский опыт. Нигде нет обязательных требований - только рекомендации. Более того, окончательное решение о выборе защитных мер берет на себя оператор и он же принимает на себя риски. Он, а не регулятор.

Ригель комментирует...

Во-первых, никто не доказал, что европейский вариант является лучшим или единственно правильным. Правильных и больше одного может быть, как не фиг делать.
Во-вторых, заблуждение, что он возник сразу без предварительной пары перегиб-недогиб.
В-третьих, забота государства о своих гражданах легко может иметь форму обязательных требований – см., например, санитарные или экологические нормы. Да потому что ущерб для субъекта бывает невосполнимым.

Алексей Лукацкий комментирует...

Ну СТО сразу и не возникал. Много лет прошло. И до сих пор в рекомендациях ходит ;-)

А насчет ущерба субъектам... Пока никто не доказал, что он значителен. По санитарии и экологии он прямо связан со здоровью и жизнью гражданина. А по ПДн с чем связан?

ЗЫ. Не вставай к народу в оппозицию ;-)

Анатолий комментирует...

А регуляторов-то все же больше 3 (хотя остальные не совсем регуляторы, но на основании законов тоже могут проверки учинить) :) . Я об СВР и правоохранительных органах.

Отправить комментарий