Мало кто уже помнит (а некоторые и вовсе этого не застали), но тема персданных "взлетела" благодаря ФСТЭК России, которая в 2008-м году выпустила свои документы по защите персональных данных. Это было пресловутое "четверокнижие", которое стало драйвером рынка ИБ на тот момент. Сам закон был принят двумя годами ранее, в 2006-м, но это событие прошло незамеченным для большинства специалистов по ИБ. По крайней мере лично я про этот закон особо ничего и не знал до того момента, пока ФСТЭК не выпустила свои одиозные требования. Именно тогда, 9 лет назад я погрузился в эту тему и она продолжает висеть веригами на мне.
Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности. Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно. Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя, предлагая различные обходные маневры для потребителей. И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы. Но увы... законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава "бумажного безопасника" :-)
Спустя год я был вовлечен в процесс изменения федерального закона "О персональных данных" и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор. За эти 9 лет было сделано немало - участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ. Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(
Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был. С уходом Шередина ситуация стала ухудшаться, а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже. Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган. Чего только стоит исключение из названия своей основной функции - защиты прав субъектов ПДн, слов "прав субъектов". Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать "защита ПДн", что лишний раз подтверждает простую мысль - на права субъектов регулятору давно наплевать. Закон о ПДн превратился в инструмент давления на российские и зарубежные компании. Донести до регулятора свою позицию невозможно. Прислушиваться к экспертам регулятор не хочет. Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно. Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(
Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам (преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому
ЗЫ. Ушел в "Цифровую экономику".
Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности. Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно. Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя, предлагая различные обходные маневры для потребителей. И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы. Но увы... законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава "бумажного безопасника" :-)
Спустя год я был вовлечен в процесс изменения федерального закона "О персональных данных" и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор. За эти 9 лет было сделано немало - участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ. Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(
Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был. С уходом Шередина ситуация стала ухудшаться, а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже. Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган. Чего только стоит исключение из названия своей основной функции - защиты прав субъектов ПДн, слов "прав субъектов". Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать "защита ПДн", что лишний раз подтверждает простую мысль - на права субъектов регулятору давно наплевать. Закон о ПДн превратился в инструмент давления на российские и зарубежные компании. Донести до регулятора свою позицию невозможно. Прислушиваться к экспертам регулятор не хочет. Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно. Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(
Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам (преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому
Персональные данные, прощайте!
ЗЫ. Ушел в "Цифровую экономику".
20 comments:
Алексей, неужели у Cisco не вызывает интереса тема GDPR?
А причем тут Cisco?
Решение Мужа! Блог останется? Новый блог будет?
Что и семинаров от А.Лукацкого на Камчатке по защите ПДн теперь не будет?
Вы тут остаетесь просто тематику меняете?
Блог остается - куда же от него деваться-то
Этак любую тему можно закрыть: у нас любой регулятор является карательным органом в своей сфере и не нуждается в каком-то там "здравом смысле" и тем более логике.
Вы недавно писали о БКИИ, там регуляторов еще больше, чем в ПДн, а здравого смысла еще меньше... Все будет так же, как и с ПДн: виноваты все, но некоторых простят.
Желающих внести здравый смысл в деятельность регуляторов в качестве штатных сотрудников приглашаю в отдел кадров на Басманную, спросить Люсю. Но что-то мне полсказывает, что галдеть о бестолковых контролерах проще ....
Лицензиату: читать стоит внимательнее. Заметка касается РКН, а не ФСТЭК.
Лицензиат читает внимательно - "у нас любой регулятор является карательным органом в своей сфере и не нуждается в каком-то там "здравом смысле"...
Но это частность. Басманная, Тверская итд- это не важно.
Важно то, что пессимисты везде видят "полстакана".
И это правильно ... Для пессимиста.
Для Лицензиат: Думаю Вы погорячились, а ну как сейчас все ломанутся на Басманную ….., а не разумнее будет сделать открытую площадку для диалога регулятора и сообщества. Глядишь и подобных постов поубавится, да и пользы для регулятора прибавится, ведь не все «сливки» на Басманную приходят работать?
Регулятор уже пытался сделать открытую площадку, как раз, когда писались требования по ПДн и ГИС. Толку ноль - никто не ходит. Все критикуют. Никто не предлагает ничего конкретного
Алексей, наверно, поначалу так и должно быть, ну как бы «что накипело» (я про критику) и закрывать не стоило. Хотя я как бы понимаю под площадкой возможность вести диалог, прям как мы с Вами сейчас, что то я не припомню такого рода возможность пообщаться.
Я не про: «вы шлите –шлите, а мы тут сами разберемся»
Да, кстати, судя по Вашему посту не зря критиковали! А предложения будут только тогда, когда обратная связь будет (пинги должны возвращаться)!
Площадка для диалога была. Первоначально на Басманной. Но толку оказалось мало - критиков дофига, а тех, кто предлагал что-то - почти не было. Поэтому от создания онлайн-площадки и отказались в итоге - зачем тратить деньги на то, что опять превратится в площадку для критики. У кого есть предложения и сейчас может их доносить до регулятора (имею ввиду ФСТЭК) и вести с ним диалог.
А вот это я считаю правильно: зачем нам (им) критика от сообщества, они (регуляторы) ведь квинтэссенция сообщества специалистов, выжимки так сказать! Опять же казне прибавка! А если есть вопрос, то и позвонить можно, сайты, поди, у всех есть. Там тебе вежливым голосом (это правда) ответят и не откажут.
Я понял на счет предложений, не будет их пока народ не увидит смысл их подачи и нормального обсуждения не «сам на сам», а в сообществе, чтобы и Лукацкий, и Атаманов, и Емельяненко, и Вихорев ………(список), и Лицензиат (я про регуляторов).
А может регулятор что то не так делает, я в смысле организации диалога, заинтересованности, инициативы, пиара, а может потратиться немножко. Ну не получилось раз, а второй, третий, что кто-то запретил? Ищите, это надо то кому? (такой риторический вопрос)
Лицензиату: http://fstec.ru/kadrovoe-obespechenie/vakantnye-dolzhnosti
Мест нет :-/
A.S., если действительно есть готовность "починовничать", то встречаемся на Басманной в текущий четверг в 11.00 ?
Эх, жаль не успел спросить Лицензиата - неужели дожили до момента, когда вот так, запросто приглашают на должности, которые влияют на политику государства в области ИБ, на которых принимаются судьбоносные решения, определяющие стратегическое развитие этого направления, и это позволит не погрузиться нашей стране в то болото, где она уже сидит чуть более чем прочно?
(sarcasm)
Однако почему-то уверенность 146%, что речь про обычных мальчиков и девочек, которые должны перебирать бумажки, ездить на "проверки" и слушать "больших" дядей. Причем за 10 коп.
Post a Comment