НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Несоответствие закону ФЗ№152 по-прежнему в ряду низких ИБ-рисков

Валерий Васильев
15.09.2012 08:24:42

Экспрет "Академии инфформационных систем" Дмитрий Левиев поделился с учестниками конференции "Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ 2012" своими наблюдениями, касающимися отношения российских компаний и организаций к выполнению требований закона "О персональных данных".

Оказывается, что не более 20% тех (немногих) компаний, которые (когда-то) аттестовали свои ИСПДн на соотвествие требованиям ФЗ№152 проводят аудит поддержки этого соответствия в дальнейшем.

Комментариев: 6

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

15.09.2012 14:21:10

"Риск информационной безопасности - риск возникновения убытков или ущерба в результате нарушения конфиденциальности, целостности и доступности информации". (http://sknowledge.ru/Msg.aspx?id=13319 )

Какое отношение имеет несоответствие какому-либо документу либо отсутствие какого-либо документа к риску информационной безопасности? Документ подтверждает факт аттестации и/или соответствие объекта определенным, документально установленным критериям, но сам документ как свидетельство факта аттестации или его отсутствие не является риском. Во всяком случае риском для ИБ. smile:)

Валерий
15.09.2012 18:15:01

Игорь,
отношение формальное, но признанное.
Изначально это один из прочих бизнес-рисков.
Можно отнести его, например, к юридическим рискам...

15.09.2012 18:28:12

Юридический риск очевиден (но не риск для ИБ). Как, впрочем, и при отсутствии иных обязательных документов, например, лицензий, если предприятие занимается лицензируемым видом деятельности (например, лицензия на хирургическую деятельность для больницы или лицензия СРО для строительной организации).

Вы можете создать первоклассную ИБ защиту (например, у вас есть грамотные технические специалисты), но не потрудиться оформить необходимые документы (например, у вас нет специально обученного специалиста по защите информации). Риск для ИБ при этом минимален. Юридический риск максимален. Но зачем смешивать данные риски?

16.09.2012 13:37:13

"Строгость российских законов компенсируется необязательностью их исполнения".

Это известный принцип - одна из фундаментальных основ поддержки коррупционной системы страны на протяжении веков.

16.09.2012 15:28:10

Как раз по этой теме прошла очень интересная дискуссия вот тут:
http://www.facebook.com/groups/Cloud.Forum.Rus/permalink/195161430617539/

Вот характерное резюме оттуда:

Цитата
Вероятно Олега и Дмитрия этот вопрос очень волнует, и для них он критичен в плане перехода на облачную реализацию данной ИС. Но тысячам других клиентов наплевать пока на ФЗ-152. Части из них плевать из-за плохой информированности и нашего "пока гром не грянет - мужик не перекрестится" - не было проверок и фактов больших штрафов и класть мы хотели на ваш ФЗ - вот когда начнется, будем думать. А пока SaaS несет нам выгоду в удобстве и ТСО будем использовать SaaS. Это мысли большинства клиентов в SOHO нижнем сегменте SMB. В более крупных бизнесах люди более информированы, и они знают факт, сколько и на какую сумму было РосКомСвязьНадзором наложено взысканий по этому ФЗ. И это единицы случаев, и сумма всех штрафов на всех измеряется всего-лишь несколькими десяками тыс.рублей. Понимаете? Это как с водкой - да, она вредна для здоровья, да можно попасть в кутузку или на нары, если к примеру по-пьяни кататься на авто. Но если не распивать в общественных местах, и не буянить, то вполне даже нормально и положительно сказывается на ходе застолья.

24.10.2012 05:47:09

h

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии