Персональные данные, RIP!

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(12)
()
Мало кто уже помнит (а некоторые и вовсе этого не застали), но тема персданных "взлетела" благодаря ФСТЭК России, которая в 2008-м году выпустила свои документы по защите персональных данных. Это было пресловутое "четверокнижие", которое стало драйвером рынка ИБ на тот момент. Сам закон был принят двумя годами ранее, в 2006-м, но это событие прошло незамеченным для большинства специалистов по ИБ. По крайней мере лично я про этот закон особо ничего и не знал до того момента, пока ФСТЭК не выпустила свои одиозные требования. Именно тогда, 9 лет назад я погрузился в эту тему и она продолжает висеть веригами на мне.

Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности. Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно. Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя, предлагая различные обходные маневры для потребителей. И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы. Но увы... законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава "бумажного безопасника" :-)

Спустя год я был вовлечен в процесс изменения федерального закона "О персональных данных" и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор. За эти 9 лет было сделано немало - участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ. Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(

Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был. С уходом Шередина ситуация стала ухудшаться, а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже. Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган. Чего только стоит исключение из названия своей основной функции - защиты прав субъектов ПДн, слов "прав субъектов". Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать "защита ПДн", что лишний раз подтверждает простую мысль - на права субъектов регулятору давно наплевать. Закон о ПДн превратился в инструмент давления на российские и зарубежные компании. Донести до регулятора свою позицию невозможно. Прислушиваться к экспертам регулятор не хочет. Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно. Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(

Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам (преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому

Персональные данные, прощайте!


ЗЫ. Ушел в "Цифровую экономику".
Оцените материал:
Total votes: 87
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

С точки зрения информационно-когнитивной (консциентальной) безопасности этот пост интересен тем, что демонстрирует:

1) как можно легко исказить историю: в пять секунд «переобуться» из главного апологета в главные критики;

2) адресный посыл с использованием социальных сетей. При этом «за кадром» остаются вопросы: кому, по какой причине, с какой целью произведен этот посыл? Это известно только автору и адресату.

Возможен, конечно, и ещё один вариант – «крик души».

Первое – неприятно, второе – неизвестно, в третье – не верю.

Если адресаты все мы, то, думаю, скоро узнаем зачем и почему.

up
7 users have voted.
Аватар пользователя e.v.rodygin

Это личные просчеты через общественое в отраслевое...

up
4 users have voted.
Аватар пользователя alukatsk

Геннадий, читая ваш комментарий, вспомнил вот этот фрагмент классического фильма: https://youtu.be/OGsHshpYkiU Совершенно непонятно, что вы написали, но выглядит очень круто

up
3 users have voted.
Аватар пользователя riskmn

Смешно.

up
4 users have voted.
Аватар пользователя Атаманов Геннадий

А это и не удивительно. Я же про информационную безопасность, а не про ТЗИ. Вы же говорили, что читали мои работы, а там про это всё есть.

И в советской классике на все случаи жизни фрагменты найдутся: https://www.youtube.com/watch?v=kE48cQMl4xo

up
6 users have voted.
Аватар пользователя alukatsk

Проще надо быть

up
3 users have voted.
Аватар пользователя Атаманов Геннадий

Стараюсь, но есть вещи, которые совсем уж простым языком не выразишь.

Может быть и Вам стоит подумать над расширением своего тезауруса?

up
6 users have voted.
Аватар пользователя alukatsk

Боюсь слово "консциентальный" я не буду использовать ни при каких условиях - его не поймет 99,9(9)% людей. Если вы хотите донести до кого-то свою мысль, то это вы должны говорить на языке своей аудитории, а не наоборот. 

up
4 users have voted.
Аватар пользователя Атаманов Геннадий

Согласен. Но "рассудочная безопасность" и даже "безопасность рассудка" звучит как-то не очень. Приходится использовать термины из латыни. Мы привыкли к "психологической безопасности". Многие уже не морщатся от "когнитивной безопасности". Это понятие очень широко используется на Западе (и не только: http://www.securitylab.ru/blog/personal/Business_without_danger/303177.php). Но оно обозначает направление воздействия, но не объект воздействия. Для корректности классификации приходится использовать этот не очень благозвучный термин. Я всё это прекрасно пониммаю, но если я выступаю за правильную методологию, то обязан, в первую очередь, соблюдать её сам. Понимание аудитории нужно и важно, но истина, всё-таки, для меня дороже.

up
6 users have voted.
Аватар пользователя riskmn

Правильное решение, только в ЦЭ всё будет похоже. Это большая полоса "тумана" в которую мы вошли в 90-тых, идем в ней и будем идти дальше...

"В беге в мешках побеждает не тот кто просто быстрее бежит, а кто быстрее бежит в мешке"(@)...

up
4 users have voted.
Аватар пользователя alukatsk

Про ЦЭ я завтра пишу :-)

up
3 users have voted.
Аватар пользователя riskmn

Писанина - это все не то. Если я вернусь на поляну ИБ - как-нибудь встретимся и переговорим. Так будет и предметнее и полезнее.

up
4 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.