Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Почему нужно защищать персональные данные?

Аватар пользователя shudrova
Автор: Шудрова Ксения,
(7)
()
Добрый день, дорогие читатели! Сегодня я хотела бы поговорить с вами на одну очень важную тему - "Зачем защищать персональные данные?" Такой вопрос задают себе и другим не только люди, далекие от информационной безопасности, но и матерые специалисты в этой области. К примеру, Алексей Лукацкий в своем сентябрьском посте приходит к выводу о том, что эта тема для него лично не интересна. Думаю, мысли о том, что вся эта возня с персональными данными бессмысленна, приходят, приходили и будут приходить к каждому из тех, кто этим занимается. Причин тому несколько: формальный подход регулятора, низкая вероятность проверки, маленькие штрафы и неоднозначная судебная практика. Специалисту постоянно приходится доказывать руководству необходимость защиты персональных данных, хотя и у него самого на этот счет имеются большие сомнения. Вот чтобы таких мыслей стало меньше, давайте разберемся, зачем все-таки защищать персональные данные?
1. Каждый из нас является субъектом персональных данных. На мой взгляд, относиться к чужой личной информации бережно нужно хотя бы из солидарности. И потом, закон появился только в 2006 году, а понимание неприкосновенности некоторы персональных данных было задолго до этого. К примеру, размер зарплат руководства охраняют на всех предприятиях в независимости от того, признает ли организация у себя наличие ИСПДн.
2. Игнорирование мер безопасности может привести к утечкам, а те, в свою очередь, к репутационным рискам. Для крупных, а тем более международных организаций, это критично.
3. Иногда нужно выполнять требования головной организации, тогда филиалам не остается ничего другого, как заняться защитой персональных данных по шаблонам и инструкциям, спущенным сверху. 
4. Существует повышенный риск внеплановых проверок в сфере обслуживания и при наличии активно посещаемого сайта. Вероятность поступления жалобы на банк, больницу, школу или институт с течением времени стремится к единице. Поэтому лучше принять меры заранее, чем получить штраф и в конечном итоге все-таки выполнить все требования регулятора.
5. Наличие у организации лицензий в сфере ИБ. Ситуация сапожника без сапог, на мой взгляд, абсолютно недопустима.
6. Законодательство в сфере персональных данных постепенно идет в сторону ужесточения, увеличения штрафов, формируется судебная практика, поэтому начать заниматься защитой персональных данных нужно как можно раньше, так как процесс оформления полного комплекта документов для ИСПДн не быстрый.
7. Персональные данные часто пересекаются с другими видами тайн, например, с банковской или врачебной, иногда - с коммерческой тайной. Защищая одно, придется защитить и другое.
8. При проведении аудита ИСПДн можно найти много неоптимальных, а иногда и опасных бизнес-процессов (отправка документов на нерабочую электронную почту, вынос флешек за пределы контролируемой зоны).
9. В последнее время можно отдельно выделить такую причину, как желание организации присоединиться к Кодексу добросовестных практик.
10. Защита персональных данных в организации создает потенциальную возможность наказать и даже уволить работника за нарушения в этой сфере, что иногда бывает полезным.
11. Все чаще при оформлении договоров между двумя организациями особое внимание обращают на выполнение взаимных обязательств по защите полученных в ходе взаимодействия персональных данных.
12. Ну и в качестве последней причины я бы указала защиту персональных данных, как самоцель, с целью получения денег за свои услуги в этой области.

А как считаете Вы?

Андо Хиросигэ «Атагосита улица Ябукодзи». Источник

https://vk.com/kshudrova - присоединяйтесь к групп ВКонтакте. Здесь ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов, а также обсуждения наболевших вопросов.


Оцените материал:
Total votes: 151
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Совсем не убедительно, даже наоборот, хорошие аргументы, чтобы этой темой не заниматься. Алексей слишком долго шел к решению бросить эту затею. Хорошо, хоть поздно, но пришел.

По сути аргументов;

1. Солидарность - дело хорошее, но не всегда. Чел наряет в минус 30 в прорубь - не советую в этом проявлять солидарность. Посему это не работает.

2. Все может привести к утечкам, а может и не привести(((( Например если утекать нечему. Тоже слабенько.

3. Это проходит, только напрягаться не стоит. "Что ты мен дал - то я и перепутал". Спустили сверху, подкинули денег на это - нет проблем. Курим срокойно бамбук - что не так - все вопросы в HQ. Не напряжно.

4. Тут стоит определиться. Либо "повышенный риск проверок" либо "...низкая вероятность проверки, маленькие штрафы и неоднозначная судебная практика...". По любому не главная тема для бизнеса.

5. Почему? Не работайте с лишними ПДн. Зачем они вам? И нет проблем.

6. Закон надо соблюдать. Недоделать или не делать вообще - разные последствия, а при нормальных юристах - вообще никаких. Посему тезис про "... как можно раньше" - минимум спорный.

7. Не факт. Защитите в рамках "врачебной" или "коммерческой" только в части касающейся. А лищнее зачем?

8. Ну мало ли чего можно найти при разных работах (клад при копке колодца). Затевать ЗПДн, чтобы отыскать проблемы в БП - это новое слово в бизнесе!!!!!

9. .....................

10. Лишний огород городить ради того, что можно сделать "классическими методами". А кто не умеет их применять - тому и такая "...потенциальная возможность" не поможет)))

11. ДА, возникает, но не у всех. Джентельменского набора всегда быдет достаточно.

12. Как говорил известный персонаж "Запоминается только последняя фраза" - знать все это не для потребителя, а чтобы с него больше денег срубить.....

up
11 users have voted.
Аватар пользователя riskmn

Хвост отрезали.

....Закон не нуждается в дополнительных уговорах по его выполнению. Тут не нужны фантазии - просто стоит выполнить все, что предписано. А вот как это сделать с минимальными затратами и потерями - это другоя история.

up
5 users have voted.
Аватар пользователя Атаманов Геннадий

Шедеврально! Особенно в пунктах 10 и 12.

И показательно: вот до чего может довести человека 152-ФЗ. Уже из-за одного этого 152-ФЗ должен быть немедленно отменён!

up
7 users have voted.
Аватар пользователя riskmn

Геннадий, знаете что удивительно - насколько слабенькие те, кто публикует или просматривает заметки здесь. Неужели мы так измельчали, что можно писать что угодно, а потом молчать в тряпочку. Или читать и не иметь своего мнения. Или если что-то и написать, то неприменно либо ерунду полную, либо переход на эмоции и упреки абсолютно не имеющие отношения к теме???

Как их вообще в компаниях держат?  И главное, за что им жалование платят;-)))

Да, вот просто не понимаю, может Вы знаете ответ - как все эти "эксперты", занимающиесмя вопросами безопасности тусуются в публичных сетях и просто безмолствуют здесь??? Ах времена, ах нравы......

Слушайте, все как в кривом зеркале - хотя, все это объясняет мастабы бедствия. 

И, это с такой публикой Касперская собирается разруливать проблемы отрасли...... Интересно она сама то читает или ей хоть кто нибудь докладывает выжимки из блогов, которые публикуются в  ее же компании..... Надо будет при встрече посоветовать ей просматривать - может чего надумает, жаль, что не догадался сказать об этом, когда говорили с ней на Форуме....

up
3 users have voted.
Аватар пользователя Атаманов Геннадий

Михаил, забавно, но мы с Вами даже слова употребляем иногда одинаковые, хотя ни разу не встречались. Я в первом варианте послесловия к своей книге «Агасофия информации» написал так: «Измельчал народец: критику ошибочных взглядов воспринимает как личное оскорбление». Уважаемый человек убедительно рекомендовал убрать этот пассаж из книги. Я его совету последовал, но думать так не перестал.

Не мы измельчали. Мы-то ещё пытаемся хоть что-то сделать. Каждый по-своему, но пытаемся. Но этого нельзя сказать про многочисленный офисный планктон, в том числе (а, может быть, в первую очередь) в сфере ЗИ (в том, что они не ИБешники и об ИБ имеют смутное представление, мы-то с Вами знаем). :))

up
10 users have voted.
Аватар пользователя riskmn

Кот потому я и отвечаю Вам, понимая, что мы говорим о том, что знаем, прощупали руками и накопили некий опыт конкретной работы.... Конечно разный, но в любом деле есть некий базис - который незыблем (черт, пафос попер).

Планктон, он кЮщшать хочет, причем любой ценой..... Какие тут знания и принципы?

up
6 users have voted.
Аватар пользователя Атаманов Геннадий

Кстати, Вы в своём комментарии подняли интереснейший вопрос – относительно Н. Касперской. Нет сомнения в том, что она талантливый предприниматель. Но есть сомнение, что она так же хорошо разбирается и в безопасности. В онтологии и методологии её обеспечения. А без знания методологических основ нельзя заниматься стратегией! Во-вторых, бизнесменам вообще нельзя поручать проведение реформ. В данном случае есть опасение, что вся реформа будет сводиться к обязательному внедрению DLP-систем.

Когда-то кто-то не очень умный придумал, что «талантливый человек талантлив во всём». Это – несусветная глупость! Вы знаете хоть одного талантливого актёра, имеющего по математике больше тройки? А штангиста-пианиста? А математика-гимнаста? Чтоб талантливых.

Нельзя скрестить коня и трепетную лань! Ужа с ежом тоже нельзя! Равно как сапоги должен тачать сапожник, а пироги печи пирожник, производить СЗИ должны бизнесмены, а писать законы и НМД – учёные (не в смысле остепенённые, а в смысле умные, грамотные и порядочные)! 

up
7 users have voted.

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.