Comments 8
Забывали упомянуть, что в заморских странах есть свобода выбора СЗИ, а не полтора сертифицированных вендора, клепающих поделки — одна хуже другой.
Пока я могу, почти свободно купить базу телефонов, судимостей, и еще десяток других, пока в «Соглашениях» будут свободно указываться пункты что собранная информация может передаваться в третьи руки, пока мне будут звонить не известные мне организации на мой телефон и обращаться ко мне по ФИО. Защита ПДн — фикция! И выбрасывание денег на ветер.
Мне рассказывал руководитель одной крупной организации, которая прошла проверку РосКомНадзора, что после проверки они выключили все СЗИ, потому что с ними ничего не работает. Цель создания ФЗ-152 совершенно не благостная, не о какой фактической реальной защите речь не идёт, применяемые технические методики в контексте упомянутого закона — пустая, недееспособная формальность, фикция. Практически все требования по закону не технические, а бюррократические. Проверка РосКомНадзора 90% времени изучает журналы, модель угроз и прочее, а АРМ даже не смотрит и терминация защищённых VLANов им абсолютно не интересна. Цель закона — это очередной способ оказывать давление на частный бизнес. Там настолько свободные интерпретации по каждому пункту, что при заинтересованности со стороны проверяющих можно нагнуть любую компанию. Люди пишут письма по разъяснениям, ФСТЭК каждый раз даёт противоречивые, взаимоисключающие комментарии. Это узаконеное вымагательтсво, искуственно созданая отрасль, не удивлюсь, если это лобби производителей СЗИ и безопасников. Большинство компаний не смогут самостоятельно закрыться по закону, т.к. для этого нужна лицензия и обученный персонал по ИБ, им придётся обращаться к подрядчикам, а это бабки бабки бабки. Это всё настолько бредово, что некоторые просто предпочитают платить штрафы, благо они пока не большие.
Сама организация может купить себе СЗИ, лицензия для этого не нужна. В случае вашего знакомого, это один из вариантов построения ИСПДн, пройти проверку и выключить все, но я хотел донести нечто другое.А роскомнадзор только сейчас проверяет бумажки, скоро все поменяется, и РКН будет проверять всю техническую часть. Защита ПДн — это правильное дело, но не в нашей стране и не с нашими подходами, именно это я хотел сказать своей статьей
В заключении: организационные и технические меры внедрены, сотрудники обучены, ПДн защищены.
Но никто из сотрудников не знает, что было написано в конкретном договоре и соглашении о передаче ПД, а когда находят эти соглашения и договора в своих архивах и когда им показываешь свою копию договора начинают заявлять, что таких пунктов там быть не могло просто по тому, что не могло быть никогда (самое смешное, что договора обычно типовые, только разных лет).
Так что извините, но с моей точки зрения вероятность утечки личных данных из больших компаний может быть существенно выше, чем из маленьких, так как за много лет накопилось огромное количество договоров и соглашений об одном и том-же, но с разными условиями, и, по умолчанию, никто из сотрудников и понятия не имеет по какой версии нужно работать в данном конкретном случае, по этому работают по какой прийдется или последней.
Кстати, наиболее показательна эта проблема в области связи, когда наличие старого, еще бумажного договора легко вводит целый филиал оператора в дикий ступор, так как если его прочитать, то выясняется, что оператор сейчас нарушает буквально каждый пункт. Не зря сейчас уже все операторы поумнели и НЕ дают на руки полноценных договоров с печатями и подписями, чтобы всегда можно было сослаться на абстрактный сайт, а там можно выкладывать что угодно изменяя текст когда угодно.
P.S. Однако встречал я это не только в сфере связи, но в других сферах примеры пока были куда более скучными.
Потому-что компании не заинтересованы вкладываться в то, что не приносит доход или предотвращает ущерб.
Все остальное вопрос воспитания, закон о ПДн молод, постепенно народ будет проникаться и менять отношение на как в Европах.
Ну или введут миллионные штрафы и тогда компании резко заинтересуются.
Все остальное вопрос воспитания, закон о ПДн молод, постепенно народ будет проникаться и менять отношение на как в Европах.
Ну или введут миллионные штрафы и тогда компании резко заинтересуются.
Sign up to leave a comment.
Защита ПДн в небольших, средних и больших организациях. Так ли все гладко?