24.10.2013

О компенсирующей дискриминации операторов персональных данных

На Западе фразу "запрещается дискриминация по возрасту, цвету кожи или размеру молочных желез" нынче не пишут – не всякая дискриминация запрещается. Дискриминировать можно, если это выравнивает то, что почему-то в обратную сторону перекошено.

С одной стороны, базы крупных и/или важных операторов персональных данных и защиты заслуживают более серьезной. Во-первых, они интереснее. Представляете, например, информацию, хранимую мобильным опсосом – сюжет? Во-вторых, именно крутые операторы, нравится им это или нет, могли бы потянуть и общественно-полезную нагрузку, прямо не продиктованную сиюминутным благом субъектов. Скажем, поддержку отечественной отрасли производителей защиты. Ну, есть вот, допустим, такие национальные интересы – иметь и в 2019 году технические средства, не прослушиваемые вероятным противником. Может такое быть.

С другой стороны, именно крутые операторы располагают большими возможностями для ухода от обязательных требований. Это ведь высокий пилотаж – уклониться через модель угроз, например, совсем не всем доступно. Либо это серьезные мастера в штате, либо дорогущие консультанты на подряде, либо связи, позволяющие согласовать модель независимо от квалификации авторов, либо еще что в этом же духе.

И получается парадоксальная ситуация: федеральное министерство или здоровый холдинг претендуют на белый билет, а преподаватель сольфеджио в музыкальной студии, где и защищать особо нечего, влачит ПКЗ-2005 по всей строгости.

Понимают ли это т.н. регуляторы? Я не уверен. Я очень высокого мнения об их способностях (серьезно!), но есть объективная сложность: верхнее их звено общается именно с крутыми операторами, а о проблемах иных если и знает кто, так это рядовые госинспекторы "на земле".

Решение очевидно: законодательно ввести компенсирующее неравноправие операторов. Но не на финотчетность же ориентироваться! Значит, надо принять, что уровень защищенности (который на самом деле вовсе не уровень защищенности) информационных систем персональных данных коррелирует с крутизной оператора, поэтому как-то так, например, и запишем: сертифицированные СЗИ - от уровня 3 и выше, сертфицированные СКЗИ - от уровня 2 и выше. Загрубление, но лучший выход из имеющихся.

Так что когда где-то предлагают подискриминировать крупных операторов – не удивляйтесь.

4 комментария:

Сергей Борисов комментирует...

Пара ньюансов:
- внедрение сертифицированных СЗИ и СКЗИ не сильно скажется на бизнес и технологических процессах маленьких операторов, музыкальных студий, аптек и т.п. поставили на автономный АРМ и забыли.
- внедрение сертифицированных СЗИ и СКЗИ на всех АРМ опсоса поностью парализует и разрушит его технологические процессы. в виду ущербности существующих СЗИ, ими невозможно будет обеспечить наиболее современные услуги, ноу-хау оператора. В результате ОпСоС теряет конкурентные преимущества, теряет клиентов и уходит с рынка.

- класс защищенности никак не связан с крутизной оператора. может оказаться что у больнички 1 класс, а у ОпСоСа - 4 класс на большинстве узлов

Ригель комментирует...

Сергей, за сертифицированными СЗИ/СКЗИ еще огромный шлейф культурно-массовых мероприятий, яркий пример ищется по аббревиатуре ПКЗ.

Подставьте вместо опсоса любого другого "богатого" оператора.

Может. К сожалению, формула УЗПДн не зависит от вида деятельности, хотя должна была. Очень грубая, но другой нет.

Сергей Борисов комментирует...

Объем работы по ПКЗ пропорционален количеству пользователей/клиентов.
Это не просто сумма в 200 тыс., одинаковая для всех операторов

Если вы попросите каждого "богатого" оператора заплатить хотя бы по 1000 руб. с клиента, то богатых операторов больше не останется.

Поэтому ОпСоСы готовы платить 1-5 раз серьезную сумму, но не готовы платить постоянно сумму*количество пользователей/клиентов

Crypto-anarchist комментирует...

По своему опыту могу заметить, что крупные операторы далеко не всегда стремятся уклониться и "закрыться бумажкой".
Интегратор может написать в Модели угроз любые фантазии и обосновать в итоге то, что ему выгодно. Но ответственность за это понесет оператор.
Зачем руководителю службы ИБ крупного оператора рисковать своей репутацией и подписываться под сомнительными решениями? А вдруг при проверке или при аттестации обнаружатся замечания?
Поскольку с бюджетом проблем нет, то выгоднее делать все наверняка. Даже если это немного избыточно. Даже если может снизиться эффективность бизнес-процесса.
Обосновать принятое решение по внедрению меры защиты можно сославшись на документ регулятора. А вот обосновать отсутсвие меры защиты куда тяжелее.

Отправить комментарий