volkov cnews forum personal data 2013
TRANSCRIPT
ЧТО МЕШАЕТ ЗАКОНУ
О ПЕРСОНАЛЬНЫХ
ДАННЫХ СТАТЬ
«РЕАЛЬНЫМ»
ИНСТРУМЕНТОМ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ?
ЧТО ТАКОЕ ИНСТРУМЕНТ
«Всякого рода ручное
пособие или
устройство, для какой-
либо работы, дела,
начиная от рычага, ножа
и топора, до компаса и
секстана;
делаясь сложным в
составе и громоздким,
снаряд переходит в
машину»
Толковый словарь В. Даля
КОМУ НУЖЕН 152-ФЗ?
ЦЕННОСТИ БИЗНЕСА
• ИНФОРМАЦИЯ,
ПРЕДСТАВЛЯЮЩАЯ
КОММЕРЧЕСКУЮ ЦЕННОСТЬ
• ОТСУТСТВИЕ ШТРАФОВ И
САНКЦИЙ СО СТОРОНЫ
ГОСУДАРСТВА,
СПОСОБНЫХ ОКАЗАТЬ
СУЩЕСТВЕННОЕ ВЛИЯНИЕ
НА ХОЗЯЙСТВЕННУЮ
ДЕЯТЕЛЬНОСТЬ
• ПОЛОЖИТЕЛЬНЫЙ
ИМИДЖ И РЕПУТАЦИЯ В
СВОЕЙ ОБЛАСТИ
ДЕЯТЕЛЬНОСТИ
А ГДЕ ТУТ ПДн?
БИЗНЕС-ЦЕЛИ ИБ
УМЕНЬШИТЬ
ПОТЕРИ
ПОЛУЧИТЬ
ВЫГОДУ
ВЫГОДОПРИОБРЕТАТЕЛИ ПО 152-ФЗ
СУРОВЫЙ КНУТ…
ЗАТРАТЫ НА СОЗДАНИЕ СИСТЕ-
МЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ ЯВЛЯЮТСЯ ОБЯЗА-
ТЕЛЬНЫМИ, НЕ УЧИТЫВАЮТ
ПОТЕНЦИАЛЬНОГО УЩЕРБА
СУБЪЕКТАМ И СТОИМОСТИ
БИЗНЕС-РИСКОВ
ОПЕРАТОРА
СУРОВЫЙ КНУТ…
ЛИЦЕНЗИРОВАНИЕ
ДЕЯТЕЛЬНОСТИ ПО
ТЕХНИЧЕСКОЙ
ЗАЩИТЕ КОНФИ-
ДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ ДЛЯ
СОБСТВЕННЫХ
НУЖД
СУРОВЫЙ КНУТ…
ОБЯЗАТЕЛЬНАЯ
СЕРТИФИКАЦИЯ
СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ КАК
БЕЗАЛЬТЕРНАТИВНЫЙ
СПОСОБ ОЦЕНКИ
(ПОДТВЕРЖДЕНИЯ)
СООТВЕТСТВИЯ
СУРОВЫЙ КНУТ…
ИСПОЛЬЗОВАНИЕ
ИСКЛЮЧИТЕЛЬНО
СЕРТИФИЦИРОВАННЫХ
(ГОСТ) СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ
ЗАЩИТЫ ИНФОРМАЦИИ
И МИЗЕРНЫЕ ШТРАФЫ
КоАП РФ, ст. 13.11. Нарушение установленного
законом порядка сбора, хранения, использования
или распространения информации о гражданах
(персональных данных)*:
10000 р.-
1000 р.-
500 р.-
юридические
лица
должностные
лица
граждане
* Приведены максимально возможные суммы
ПРОБЛЕМЫ СТАРОЙ РЕДАКЦИИ 152-ФЗ
Если в вашем
распоряжении
только
молоток, то
любая
проблема
обязана быть
гвоздем Народная пословица
СУРОВЫЙ КНУТ
Проект федерального закона «О внесении изменений в
КоАП РФ, направленный на совершенствование
законодательства Российской Федерации в сфере
защиты прав субъектов персональных данных*:
700 000 р.-
40 000 р.-
5 000 р.-
ЮЛ
ДЛ
Гр
600 000 р.- ИП
* Приведены максимально возможные суммы
… НО ВКУСНЫЙ ПРЯНИК !
УРОВЕНЬ
ЗАЩИЩЕННОСТИ
И АКТУАЛЬНЫЕ
УГРОЗЫ ОПРЕ-
ДЕЛЯЮТСЯ
ОПЕРАТОРОМ
САМОСТОЯТЕЛЬНО
… НО ВКУСНЫЙ ПРЯНИК !
МЕРЫ ЗАЩИТЫ ВЫБИРАЮТСЯ
ИСХОДЯ ИЗ АКТУАЛЬНЫХ
УГРОЗ И ОСОБЕННОСТЕЙ
ИНФРАСТРУКТУРЫ
КОНКРЕТНОЙ
ИНФОРМАЦИОН-
НОЙ СИСТЕМЫ
… НО ВКУСНЫЙ ПРЯНИК !
ОПЕРАТОР МОЖЕТ
ИСКЛЮЧАТЬ МЕРЫ ПРИ
ЭКОНОМИЧЕСКОЙ
НЕЦЕЛЕСООБРАЗНОСТИ,
И ВЫБИРАТЬ
КОМПЕНСИРУЮЩИЕ
МЕРЫ
… НО ВКУСНЫЙ ПРЯНИК !
ОРГАНИЗАЦИОННЫЕ И
ТЕХНИЧЕСКИЕ МЕРЫ
РЕАЛИЗУЮТСЯ ОПЕРАТОРОМ
САМОСТОЯТЕЛЬНО ЛИБО С
ПРИВЛЕЧЕНИЕМ
ЛИЦЕНЗИАТОВ
ФСТЭК
… НО ВКУСНЫЙ ПРЯНИК !
В остальных случаях
решение может быть
принято оператором на
основании технико-
экономического сравнения
альтернативных вариантов
Криптографическая защита персональных
данных обеспечивается, если для
информационной системы персональных
данных выявлены угрозы, которые могут
быть нейтрализованы только с их помощью.
ТАК УСПЕЛИ?
ЧТО
ТЕПЕРЬ
МЕШАЕТ?
ОТСУТСТВИЕ
НАКАЗАНИЙ ЗА
РЕАЛЬНЫЕ
УТЕЧКИ
ОТСУТСТВИЕ
ПРИНЦИПА
ДОБРО-
СОВЕСТНОСТИ
У ОПЕРАТОРОВ