30.12.10

С Новым Годом и Рождеством!



Коллеги!

Сегодня мой последний пост в этом году. Поэтому я не буду посвящать его безопасности и просто поздравлю всех с наступающим Новым Годом и православным Рождеством. Пожелаю всего самого хорошего вам и вашим близким, здоровья, благополучия, интересной и неплохо оплачиваемой работы, удовлетворения собой и своими делами, достойных дел на благо других и всего того, что вы сами себе желаете.

Опять смотрю с надеждою вперед,
Опять, как в детстве безоглядно верю,
Что Счастье принесет мне Новый Год,
Залечит раны, возместит потери.

Болезни, горе, страх,— я все перемогу,
Из ямы вылезу навстречу солнцу, свету
И докажу и другу, и врагу,
Что песенка моя пока еще не спета.

Припав к окну, ищу свою звезду.
Снег падает на Землю величаво.
Грядет единственная Ночь в году,
Когда грустить мы не имеем права! 

Из Риммы Казаковой

Удачи в новом году!

ЗЫ. Следующая заметка выйдет уже 10-го января 2011-го года.

29.12.10

План мероприятий по ИБ на 2011 год

Актуализировал я список крупных мероприятий по ИБ на 2011-й год.

Big Information Security Events in Russia for 2011

ЗЫ. Если вдруг что-то упустил, то готов внести правки ;-)

28.12.10

Законопроект Аксакова подписан Президентом

Президент Медведев подписал 359-ФЗ "О внесении изменения в статью 25 Федерального закона "О персональных данных"". Закон вступает в силу 1 января 2011 года, а отсрочка продлена до 1 июля 2011 года. Хороший подарок к Новому Году!

27.12.10

Горячая линия АРБ по ПДн

То, о чем говорилось на сентябрьской конференции АРБ по персональным данным, все-таки совершилось. Процесс запуска "горячей линии" (она же "консультационный центр") АРБ в помощь банкам в части выполнения требований ФЗ-152 и СТО Банка России вышел на финишную прямую. На прошлой неделе в АРБ состоялась встреча участников этого консультационного центра, в который вошли представители ФСБ, ФСТЭК и Роскомнадзора, АРБ и Банка России, а также независимые эксперты, среди которых и я ;-)

Возможно на этой неделе (в крайнем случае на первой неделе нового года) от имени Президента АРБ будет разослано соответствующее письмо и можно будет писать свои вопросы и ждать в установленный срок ответов на них.

ЗЫ. Срок подачи уведомления о присоединении к СТО сдвинут до 1-го февраля 2011 года.

24.12.10

А вот и план проверок ФСТЭК

ФСТЭК опубликовала план проверок на 2011-й год. Всего 113 организаций. Основная масса проверок касается предупреждения, выявления и пресечения нарушений лицензионных  условий и требований, а также обязательных требований в области экспортного контроля. По линии персданных всего 9 проверок.Судя по выбранным регионам, ФСТЭК просто хочет проверить, как территориальные управления будут работать по этому направлению.

Теперь ИБ занялись и в ОДКБ

21 декабря в Совете Федерации Комитет палаты по обороне и безопасности провел Международную научно-практическую конференцию на тему "Скоординированная информационная политика государств-членов ОДКБ – одно из приоритетных направлений противодействия современным вызовам и угрозам, обеспечения эффективности совместных усилий по созданию системы коллективной безопасности".

На конференции был поднят ряд приоритетных для обсуждения вопросов. В их числе обмен опытом и формирование общей стратегии по преодолению угроз и вызовов, развитие в государствах – членах ОДКБ спецподразделений по борьбе с преступлениями в информационной сфере, совершенствование системы подготовки специалистов и оснащения современной спецтехникой, укрепление сотрудничества научных и общественных организаций стран ОДКБ.

Я все ждал, когда утечки WikiLeaks найдут свое отражение и в нашей сфере. И вот Председатель Совета Федерации Сергей Миронов прокомментировал на конференции ОДКБ это так: "События, связанные с распространением компрометирующих материалов информационным ресурсом WikiLeaks (викиликс), показали, что информационная безопасность как отдельного государства, так и всей системы международной безопасности в целом оказывается зависимой от субъективных желаний и предпочтений отдельных лиц, какими бы благородными мотивами они не руководствовались. В этой связи считаю необходимым на законодательном уровне парировать эту угрозу". Посмотрим, что нам принесут эти слова? Видимо результата стоит ждать уже в 2011-м году. По крайней мере на конференции членам ОДКБ предлагалось активизировать работу по разработке законов, направленных на совершенствование юридической ответственности за несоблюдение требований информационной безопасности.

23.12.10

Роскомнадзор выложил план проверок на 2011-й год

Собственно вся новость в заголовке ;-) Качать тут. Архив занимает 626 Кб, а в исходном формате Word - 8,7 Мб.

22.12.10

Поправки ко второму чтению законопроекта Резника

Мы все гадали, почему так долго тянется эпопея с внесением поправок в законопроект Резника, готовящегося ко второму чтению. И вот вчера вечером я ознакомился с этими поправками. Все сразу встает на свои места - там их просто МОРЕ без конца и края. Текст законопроекта Резника занимает всего 16 страниц (хотя он содержит только поправки к ФЗ-152). Сам ФЗ-152 занимает те же 15-16 страниц. Предлагаемый ко второму чтению вариант содержит 46 (!) страниц.

Он включает поправки от разных участников этой увлекательной игры. Анализировать его весь у меня пока желания нет ;-) Я его пробежал, обратил внимание на ключевые моменты, которые в него попали (даже несмотря на критику Правительства РФ) и успокоился ;-) Но некоторые моменты действительно радуют. Например, признание международных стандартов по безопасности ПДн. Или расширение перечня ситуаций, когда не требуется согласие. Например, в текст поправок внесен пункт про "баланс интересов", которого так не хватает в текущей версии ФЗ и который есть в Евроконвенции. Или разрешение конфликта совпадания ПДн и других видов тайн. И таких приятных сюрпризов немало. Например, попытка вывести из под действия ФЗ все, что попадает под 115-ФЗ. А так как под этот ФЗ попадают все банки (почти все их операции), то если поправка пройдет, то банки смогут спать спокойно ;-)

21.12.10

Что ФСТЭК нам готовит в следующем году - часть 2

Продолжаем рассмотрение того, что ФСТЭК нам готовит в следующем году:
  • К концу 2011 года появятся новые требования по сертификации средств активной защиты от утечек по техническим каналам (ПЭМИН и АС в защищенном исполнении).
  • Также готовятся новые редакции РД по АС и СВТ. Ходят слухи об изменении СТР-К, но непонятно в каком направлении.
  • НДВ для ИСПДн К1 остается. А также разрабатываются требования для НДВ прикладного ПО для некоторых видов конфиденциальной информации! Как ФСТЭК хочет провести это предложение я пока не понимаю.
  • В следующем году будет также разработано "Положение об аттестации объектов информатизации, обрабатывающих информацию конфиденциального характера". Статус аттестации объектов для КИ и ПДн не совсем понятен.
  • Сама ФСТЭК перестает быть органом по сертификации средств защиты конфиденциальной информации и ПДн - за ней останется только функция госконтроля за сертификационными испытаниями и аккредитация лабораторий. По ГТ все остается без изменений.
  • Появятся эксперты системы сертификации. Они должны будут аттестованы по специальной процедуре. Эксперты должны придать системе сертификации доверия. Правда, по сути, эти эксперты мало что меняют, на мой взгляд.
  • От сертификации по ТУ ФСТЭК будет отходить. Планируется оперативно разрабатывать нормативные документы вместо ТУ. При этом новые РД в течение 1-2 лет будут носить характер временных (по аналогии с ФСБ) с целью сбора замечаний и практических рекомендаций. По истечении 2-х лет документ будет актуализироваться и получать статус основного РД.
ЗЫ. А еще ФСТЭК признает, что ФСБ является головным регулятором в области защиты госорганов.

20.12.10

Что ФСТЭК нам готовит в следующем году?!

Во исполнение ПП-330 ФСТЭК готовит сейчас проект нового положения "Об оценке соответствия продукции (работ, услуг), используемой в целях защиты информации конфиденциального характера, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации и хранения".

Какие ключевые моменты в данном положении могут быть отражены:
  • Описывает порядок организации и проведения обязательной сертификации продукции, а также госконтроля и надзора.
  • Будет распространяться на госресурсы и ПДн (ибо в ПП-330 только про это сказано).
  • Применяться будет к средствам ЗИ, средствам, в которых реализованы ЗИ и средствам контроля эффективности.
  • В нем предлагается сделать аттестацию государственных объектов информатизации обязательной (пока только на уровне предложения).
  • В этом же положении будет отражен вопрос признания сертификатов, выданных ФСБ, ФСТЭК и МО на категории систем защиты (МСЭ, IDS и т.п.). Но пока непонятно как.
  • Предлагается сертификаты сделать бессрочными, а для сертификатов на серийное производство установят срок действия три года (пока только на уровне предложения).
  • Средства иностранного производства сертифицируются также как и все остальные. Признания выданных заграницей сертификатов не будет.
  • Будет описана процедура обновления сертифицированных средств защиты, но вопрос с доверенным источником обновления и вопрос с сертифицированными обновлениями баз сигнатур (не продукта) остается открытым.
  • Будет описан порядок инспекционного контроля сертифицированных средств.
  • В процессе сертификации появится новый этап - рассмотрение заявки на сертификацию и оценка возможности сертификации средства защиты (будет определен набор необходимой конструкторской и эксплуатационной документации).
  • Сам проект выложат на сайт ФСТЭК на 30 дней, а после этого будет согласование с МинЭкономРазвития. Когда, неизвестно.

Вот такие "приятные" новости ;-( Если положение примут и если не пройдут изменения Резника по ст.19, то будем все курить бамбук - любые экзерсисы насчет добровольной сертификации будут нервно курить в сторонке.

16.12.10

Новая версия курса по персданным

Сегодня последний раз в этом году я читаю курс по персданным. И вот те изменения, которые в него вошли (версия 2.3):
  • Законопроект Аксакова о переносе сроков
  • Сводный перечень ошибок операторов ПДн по версии РКН
  • «Письма счастья» РКН
  • 227-ФЗ и законопроект №454517
  • Работа коллекторских агентств в контексте ФЗ-152
  • Продажа долгов заемщиков в контексте ФЗ-152
  • Актуализация последних изменений законодательства на декабрь 2010
  • Замена приказа Росархива на приказ Минкульта
  • О письменном согласии на обработку ПДн
  • Примеры обработчиков ПДн (в противовес операторам ПДн)
  • Как проверить работу консультанта?
  • Алгоритм действий для "тех, кто начинает"
  • Актуализация информации по оценке соответствия (сертификации) с учетом последних новостей из ФСТЭК и ФСБ
  • Проект по ПДн – зачем нужен и что получим?
  • Сроки и стоимость проекта по ПДн в 2010 году – примеры из практики
  • Реалии «письма шести»
  • Как отсоединиться от СТО?


За прошедшие 2 года через этот курс прошло около 700 организаций; преимущественно банков, благодаря которым курс и развивался, наполнялся новыми примерами и рекомендациями. Если начинал я с 300 слайдов, то сегодня их уже 632 и это далеко не конец.

В следующем году, я планирую расширить этот курс до двух дней, т.к. уже сейчас я не успеваю вместить все в один день. Некоторые темы приходится проскакивать, чтобы успеть рассмотреть все вопросы. Поэтому и приходится увеличивать курс. Но зато я смогу раскрыть и часть новых тем, связанных уже с "техникой" и, возможно, практическими занятиями. Как минимум, я думал о том, чтобы включить в программу описание проекта по ПДн (с шаблонами в MS Project) и расписать все ключевые моменты этого проекта (этапы, сроки, ресурсы, реперные точки, риски и т.п.). Так что на месте не стоим ;-)

15.12.10

Совет Федерации одобрил аксаковский законопроект

Вчера Совет Федерации одобрил аксаковский законопроект. Остался Президент РФ.

14.12.10

Регулирование ПДн - карта

Разместив карту регулирования криптографии, я стал доводить до ума аналогичную карту по части регулирования ПДн. Но тут возникло несколько сложностей, основная из которых - большой объем информации. Гораздо бОльший, чем по линии криптографии. Поэтому я публикую карту только с двумя уровня иерархии. Возможно я еще поиграюсь с ней и смогу разместить на одном листе (хотя бы А3) и больше информации. Хотя это непросто - только приказов различных органов власти 2-3 десятка. На данных момент найденных мной различных приказов и постановлений субъектов РФ еще столько же. Упоминаний ПДн в нормативных актах различных уровней - под пару сотен. А уж названия у всех них... длинные, мама не горюй.

Но в целом работой я доволен ;-) Систематизировал разрозненные и выпущенные за последние 2-3 года нормативные акты и даже наткнулся на такие, каких либо еще не видел, либо я их видел, но забыл. Как, например, письмо Минкомсвязи с разъяснением, что такое "страны с адекватной защитой прав субъектов ПДн".

ЗЫ. Комментарии, как всегда, welcome ;-)

Personal Data Regulation in Russia

13.12.10

Почему открытые исходники не есть хорошо с точки зрения безопасности?

Еще одно исследование. "The Mathematics of Obscurity: On the Trustworthiness of Open Source". Дрезденский технический университет. Автор исследования поставил перед собой задачу ответить на вопрос: что лучше с точки зрения безопасности - иметь исходные коды ПО или не иметь их?

В рамках исследования была построена модель, которая и стала предметом изучения. Были исследованы как "за" так и "против" наличия исходных текстов, изучен жизненный цикл уязвимостей и ошибок и ряд связанных вопросов. Итог неутешителен - наличие исходных кодов не делает его безопаснее, даже при наличии большого числа желающих этот код анализировать. Давно известный принцип secuirty through obscurity в данном случае является верным. Но при этом авторы говорят, что делать окончательные выводы еще рано и важно учитывать не только один единственный факт наличия/отсутствия исходников, но смотреть на проблему шире, учитывая и другие аспекты. Например, распространенность ПО. Пример MS Windows показывает, что отсутствие исходников не дает нам права утверждать о большей защищенности этого семейства операционных систем. Но и пример Linux не позволяет утверждать обратное.

Резюме исследования: Неизвестность (отсутствие исходников) может являться вполне надежным сдерживающим фактором для злоумышленников. Но наличие исходников позволяет получить иные преимущества. Например, возможность исследований исходников, обеспечение права на доступ к информации и т.д. Правда, к безопасности они не имеют никакого отношения.

12.12.10

Аксаковский законопроект - три чтения завершены

Итак, в пятницу прошли сразу второе и третье чтения поправок в закон "О персональных данных", внесенных депутатом Аксаковым. Срок сдвинут не на год, а на полгода - до 1 июля 2011 года.

ЗЫ. В этот же день в первом чтении принят законопроект "О национальной платежной системе".

10.12.10

57-ФЗ снова в прицеле ньюсмейкеров

Благодаря Алексею Волкову обратил внимание на завершение истории с 57-ФЗ, касающимся иностранных инвестиций в предприятия, имеющие стратегически важное значение для обороны страны. Напомню предысторию. Один европейский банк задумался о риске, связанном с наличием у них лицензии ФСБ на деятельности в области шифрования. Риск многими воспринимался как несущественный, пока ФАС не отказала RBS'у в получении контроля над своим дочерним ЗАО "Королевский банк Шотландии", ссылаясь именно на наличие у последнего лицензий ФСБ, необходимых для оказания услуг ДБО. Спустя месяц ФАС внесла в Правительство предложение об исключении банков (почему только их) из под действия ФЗ-57 в части лицензий ФСБ.

И вот заключительный (возможно) аккорд этой истории - ЗАО "Королевский банк Шотландии" отказался от лицензий ФСБ только по той причине, что головная организация не смогла получить над ним контроль. Видимо риск отсутствия контроля над дочерним предприятием для RBS показался куда более существенным, чем отток клиентов, не имеющих возможности пользоваться услугами ДБО, или вероятность положительного рассмотрения предложений ФАС в весеннюю сессию.

Возможны, конечно, и иные мотивы. Например, КБШ планирует вновь запросить лицензию ФСБ после завершения процедуры получения контроля со стороны RBS. Возможно? Вполне. Но вот насколько теперь сама ФСБ готова будет "вернуть" лицензию ренегатам? Тот еще вопрос. Возможен и иной сценарий - КБШ нашла сценарии обоснования ненужности лицензий ФСБ при оказании услуг ДБО. Таких сценариев, в общем-то, немало, но надо иметь смелость, чтобы идти супротив Конторы.

Остается ждать, чем все-таки завершится эта история...

9.12.10

Парадокс защиты персональных данных

В марте этого года я наткнулся на интересное исследование (надо заметить, что Cisco помогала в его проведении), в котором доказывается очень интересный парадокс. Оказывается, увеличение контроля над персональными данными чаще приводит к готовности субъектов ПДн публиковать свои данные в открытом доступе, даже если они знают, что к этим данным получат доступ посторонние люди. А вот снижение уровня контроля и внимания к данной теме, наоборот, приводит к тому, что люди реже готовы публиковать свои ПДн и больше беспокоятся о защите своей частной жизни. Иными словами у субъектов ПДн проявляется сопротивление - чем больше их заставляют думать о защите своей частной жизни, тем больше они сопротивляются этому и даже готовы сами, в качестве протеста, раскрывать свои ПДн.

ЗЫ. Вспомнил я про это исследование после публикаций на WikiLeaks. И хотя тут нет прямой связи (все-таки в WikiLeaks опубликованы не персональные данные), но можно попробовать провести параллели.

8.12.10

Как Intel договаривался с ФСБ

Все-таки история WikiLeaks достаточно интересна. И не только тем, что под ее соусом сейчас можно активно DLP -решения в госорганы продавать, но и тем, что в результате утечки проявляются очень интересные факты. Например, о том, как Intel надавил на ФСБ и последняя разрешила ввозить строгую криптографию Intel в обход существующих правил ввоза шифровальной техники.

Такие правила четко регулируют, что и как можно ввозить в Россию. Грубо говоря, правило следующее - вся криптография с длиной ключа 56 бит и менее ввозится по уведомительной схеме. Производитель направляет в ФСБ нотификацию, которая в 10-тидневный срок регистрируются, после чего оборудование/ПО, указанное в нотификации ввозится в Россию без каких-либо ограничений.

Для шифровальных средств с длиной ключа более 56 бит схема иная - на каждую партию, ввозимую в Россию, требуется разрешение ФСБ и лицензия Минпромторга. Схема негибкая, непрозрачная и длительная по времени (сопоставима со стандартными сроками поставки). Из данного правила есть ряд исключений, касающихся специфичных случаев использования криптографии - в беспроводке (в диапазоне до 400 метров), в финансовых и платежных операциях, в телевидении, в операционных системах и т.п.

Соответственно у производителя, использующего криптографию, до недавнего времени было всего 3 сценария действий. Первый - не ввозить в Россию строгую криптографию, что малореально, т.к. сегодня почти любое устройство (мобильный телефон, телевизор, компьютер, GPS-навигаторы и т.д.) содержат строгую криптографию. Отказываться от такого рынка никто не будет. Второй сценарий - заблокировать строгую криптографию, оставив только DES. По такому пути, например, пошли мы в своем оборудовании. И третий путь - самый длительный и непростой - получать разрешение на ввоз конкретной партии шифровальных средств. Причем делает это поставщик, а не производитель. Такая схема вполне возможна и наш опыт показывает, что при правильном подходе к оформлению документов сложностей не возникает. Но это долго. И никаких гарантий положительного ответа со стороны ФСБ по-прежнему нет.

И вот, если верить WikiLeaks, компания Intel пошлатут) по 4-му пути - она поставила ультиматум Президенту России - или ситуация с ввозом оборудования Intel, содержащего шифрование, будет решена или Intel закрывает разработку в России, переводит ее в Индию или Китай. А это значит, что прощай инвестиции в Сколково, прощай рабочие места. По версии WikiLeaks была организована встреча Intel и ФСБ и вопрос "был решен".

Если все было так, как пишет WikiLeaks (а оснований не верить этому у меня лично нет), то получается достаточно интересная картина. Она наводит на размышления. Хотя вопросы по данному событию все равно возникают. В материалах WikiLeaks говорится о том, что речь шла о ввозе шифровальной техники "для себя". Но в этом вопросе ФСБ всегда шла навстречу западным вендорам и редко когда препятствовала ввозу оборудования. Не совсем понятно, зачем надо было выносить сугубо внутреннюю проблему на ТАКОЙ уровень. Либо речь идет действительно о массовых поставках аппаратуры Intel; и не для себя, а для всей России.

ЗЫ. Фраза представителя Телекомпаса в статье про предоставление регуляторам исходных ключей к ПО в рамках процесса нотификации не соответствует действительности. Ни нормам законодательства, ни здравому смыслу.

Аксаковский законопроект - 445 голосов "за"

Итак, вчера на заседании ГосДумы аксаковский законопроект о переносе сроков ст.25.3 ФЗ-152 получил 445 голосов "за".

7.12.10

Ужесточение контроля... во всех областях

Не в моих правилах делать кросс-посты, но этот не могу не запостить. Речь идет о заметке Алексея Волкова о планируемых изменениях в КоАП в части усиления роли контролирующих органов. Я уже писал о том, что в этой части планируются изменения, но этот аспект упустил. Речь идет о возможности приостановления деятельности организации по решению не суда, а сотрудника надзорного органа.

Читайте далее у Алексея...

Juniper покупает Altor Networks

6 декабря компания Juniper анонсировала покупку неизвестной в России калифорнийской компании Altor Networks, специализирующейся в области технологий безопасности виртуализации (МСЭ и IDS для виртуальных сред). Стоимость сделки - около 95 миллионов долларов. Сама Altor была основана совсем недавно - в 2007 году.

3.12.10

Аксаковский законопроект - зеленый свет?!

Я уже писал об инициативе депутата Аксакова  - он предложил перенести срок по приведению ИСПДн в соответствие с требованиями ФЗ-152 на один год. На сегодняшний день был запланирован финальный сбор всех замечаний и предложений. И что характерно, пока негативных отзывов нет ;-( Комитет по конституционному законодательству в целом не против этой инициативы, а комитет по информационной политике вообще заявил о поддержке законопроекта, сославшись на то, что предыдущий перенос делали исходя из того, что резниковский законопроект пройдет до середины этого года и у операторов будет время подготовиться. И не только резниковский законопроект, но и законопроект 2005-го года о внесении изменений в несколько десятков законопроектов, связанных с вступлением в силу 152-ФЗ. А раз ни то, ни то не приняли, то стоит опять перенести ст.25.3 на один год.

На 7-е дкабря назначено первое чтение...

2.12.10

Проект по ПДн: определите результат заранее

Вчера мы рассмотрели вопрос с определением цели проекта по приведению в соответствие с требованиями ФЗ-152. Но этого недостаточно для успешного завершения. Мало знать, ради чего мы все это затеваем; надо знать, что мы хотим получить на выходе. И тут тоже варианты могут быть совершенно различные. Причем, исходя из моего опыта, участия в разных проектах по ПДн, с начала запуска проекта многие результаты, которые надо получить, "не видны" или о них никто не задумывается.

Итак, что может быть результатом (и, как следствие, предметом договора с консультантом):
  • Рекомендации по приведению вас в соответствие с ФЗ-152. Данный результат включает в себя обследование организации, анализ процессов и используемых ПДн, и последующая разработка "куды бечь". Но "бечь" уже будет сама организация.
  • Набор шаблонов документов, демонстрируемых проверяемым. Несмотря на бесполезность данного результата, он нередок в проектах по ПДн. Хотя какой смысл платить за то, что можно скачать из Интернет бесплатно?
  • Набор документов под вас. Гораздо интереснее шаблоны переделать специально под конкретную организацию, с учетом ее специфики. Правда внедрять документы все равно приходится самостоятельно.
  • Внедрение рекомендаций
  • Обучение персонала. Один из любимых трюков проверяющих - остановить в организации первого встречного и спросить у него, знает ли он, что имеет доступ к ПДн и знает ли он, как надо защищить права субъектов? Обычно они не знают. И в акт проверки пишется большой и жирный минус. Мало разработать рекомендации и документы и внедрить их - надо еще и персонал обучить тому, что было сделано и что отвечать на вопросы регуляторов.
  • Прохождение проверки. И хотя ответственность за невыполнение ФЗ-152 всегда несет оператор ПДн (заказчик проекта) он может хотеть, чтобы консультант сопровождал его и во время проверок регуляторов. Нужно это для того, чтобы консультант по ходу проверки мог объяснять те или иные свои рекомендации.
  • Поддержка и обновление. Этот пункт тоже важен, но только для тех, кто реально заботится о своем соответствии законодательству о ПДн, но не имеет возможности отслеживать последние изменения в нормативной базе. Этот этап и нужен для этой решения этой задачи.

1.12.10

Проект по ПДн: определите цели

Многие компании сегодня задумываются о том, что надо бы что-то сделать в части выполнения требований ФЗ-152 и подзаконных актов. А кто-то задумался давно и даже пригласил консультантов для решения этой задачи, но результатом остался недоволен. Почему так произошло? И как не повторять такой ошибки? На мой взгляд ответ прост - оператор ПДн не удосужился определить цели проекта по приведению себя в соответствие с требованиями ФЗ. А ведь цели могут быть совершенно различные и в зависимости от них и результат будет разный и его оценка. Да и консультант (если он выполняет всю работу) тоже может иметь свой взгляд на то, чего от него ждут и какой результат должен быть на выходе.

Какие цели могут быть? Я попробовал выделить наиболее распространенные:
  • Пройти проверку со стороны регуляторов
  • Защититься от юридических и репутационных рисков (иски субъектов, претензии регуляторов)
  • Снизить издержки
  • Привести себя в соответствие с требованиями ФЗ-152
  • Привести себя в соответствие с требованиями головной (зарубежной) организации
  • Генеральный директор приказал
  • А чтобы было! Потому что так надо! А другие ведь делают!

Можно заметить, что целеполагание для казалось бы одной задачи совершенное различное и заранее не определив его, устраивающего всех результата добиться нельзя.