Персональные данные, RIP!

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(12)
()
Мало кто уже помнит (а некоторые и вовсе этого не застали), но тема персданных "взлетела" благодаря ФСТЭК России, которая в 2008-м году выпустила свои документы по защите персональных данных. Это было пресловутое "четверокнижие", которое стало драйвером рынка ИБ на тот момент. Сам закон был принят двумя годами ранее, в 2006-м, но это событие прошло незамеченным для большинства специалистов по ИБ. По крайней мере лично я про этот закон особо ничего и не знал до того момента, пока ФСТЭК не выпустила свои одиозные требования. Именно тогда, 9 лет назад я погрузился в эту тему и она продолжает висеть веригами на мне.

Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности. Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно. Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя, предлагая различные обходные маневры для потребителей. И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы. Но увы... законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава "бумажного безопасника" :-)

Спустя год я был вовлечен в процесс изменения федерального закона "О персональных данных" и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор. За эти 9 лет было сделано немало - участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ. Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(

Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был. С уходом Шередина ситуация стала ухудшаться, а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже. Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган. Чего только стоит исключение из названия своей основной функции - защиты прав субъектов ПДн, слов "прав субъектов". Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать "защита ПДн", что лишний раз подтверждает простую мысль - на права субъектов регулятору давно наплевать. Закон о ПДн превратился в инструмент давления на российские и зарубежные компании. Донести до регулятора свою позицию невозможно. Прислушиваться к экспертам регулятор не хочет. Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно. Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(

Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам (преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому

Персональные данные, прощайте!


ЗЫ. Ушел в "Цифровую экономику".
Оцените материал:
Total votes: 117
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

С точки зрения информационно-когнитивной (консциентальной) безопасности этот пост интересен тем, что демонстрирует:

1) как можно легко исказить историю: в пять секунд «переобуться» из главного апологета в главные критики;

2) адресный посыл с использованием социальных сетей. При этом «за кадром» остаются вопросы: кому, по какой причине, с какой целью произведен этот посыл? Это известно только автору и адресату.

Возможен, конечно, и ещё один вариант – «крик души».

Первое – неприятно, второе – неизвестно, в третье – не верю.

Если адресаты все мы, то, думаю, скоро узнаем зачем и почему.

up
12 users have voted.
Аватар пользователя e.v.rodygin

Это личные просчеты через общественое в отраслевое...

up
7 users have voted.
Аватар пользователя alukatsk

Геннадий, читая ваш комментарий, вспомнил вот этот фрагмент классического фильма: https://youtu.be/OGsHshpYkiU Совершенно непонятно, что вы написали, но выглядит очень круто

up
5 users have voted.
Аватар пользователя riskmn

Смешно.

up
10 users have voted.
Аватар пользователя Атаманов Геннадий

А это и не удивительно. Я же про информационную безопасность, а не про ТЗИ. Вы же говорили, что читали мои работы, а там про это всё есть.

И в советской классике на все случаи жизни фрагменты найдутся: https://www.youtube.com/watch?v=kE48cQMl4xo

up
11 users have voted.
Аватар пользователя alukatsk

Проще надо быть

up
11 users have voted.
Аватар пользователя Атаманов Геннадий

Стараюсь, но есть вещи, которые совсем уж простым языком не выразишь.

Может быть и Вам стоит подумать над расширением своего тезауруса?

up
10 users have voted.
Аватар пользователя alukatsk

Боюсь слово "консциентальный" я не буду использовать ни при каких условиях - его не поймет 99,9(9)% людей. Если вы хотите донести до кого-то свою мысль, то это вы должны говорить на языке своей аудитории, а не наоборот. 

up
9 users have voted.
Аватар пользователя Атаманов Геннадий

Согласен. Но "рассудочная безопасность" и даже "безопасность рассудка" звучит как-то не очень. Приходится использовать термины из латыни. Мы привыкли к "психологической безопасности". Многие уже не морщатся от "когнитивной безопасности". Это понятие очень широко используется на Западе (и не только: http://www.securitylab.ru/blog/personal/Business_without_danger/303177.php). Но оно обозначает направление воздействия, но не объект воздействия. Для корректности классификации приходится использовать этот не очень благозвучный термин. Я всё это прекрасно пониммаю, но если я выступаю за правильную методологию, то обязан, в первую очередь, соблюдать её сам. Понимание аудитории нужно и важно, но истина, всё-таки, для меня дороже.

up
11 users have voted.
Аватар пользователя riskmn

Правильное решение, только в ЦЭ всё будет похоже. Это большая полоса "тумана" в которую мы вошли в 90-тых, идем в ней и будем идти дальше...

"В беге в мешках побеждает не тот кто просто быстрее бежит, а кто быстрее бежит в мешке"(@)...

up
13 users have voted.
Аватар пользователя alukatsk

Про ЦЭ я завтра пишу :-)

up
6 users have voted.
Аватар пользователя riskmn

Писанина - это все не то. Если я вернусь на поляну ИБ - как-нибудь встретимся и переговорим. Так будет и предметнее и полезнее.

up
10 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.