среда, 22 апреля 2009 г.

ЗПД всех устал

http://cnews.ru/news/top/index.shtml?2009/04/22/345142

Российские банки просят Роскомнадзор перенести сроки аудита информационных систем персональных данных на соответствие закону 152-ФЗ. На проверки нет ни денег, ни времени, утверждают они; кроме того, в законе имеются некоторые противоречия. Игроки рынка инфобезопасности, в свою очередь, предупреждают, что на фоне законодательного хаоса отсрочка не решит проблему, а лишь отодвинет ее на неопределенный срок.

Понятно, что "регулируемым" (в основном банкам) вся эта беготня с ЗПД в текущей ситуации совершенно не вовремя, а интеграторам и производителям очень даже наоборот.
Думаю, что идея "отложить" имеет право на жизнь. Только откладывать надо не аудиты, а карательные меры. Аудиты пускай как-раз идут. Наработается методика, компенсационные контроли и т.д., может и требования нормальные сформируются.
Как делает PCI Security Standards Council с PCI DSS - требования вводят очень осторожно, давая достаточно времени на подготовку и аудиторам и производителям СЗ и интеграторам и "регулируемым". И это при том, технологическая и методическая обвязка PCI DSS на две головы выше чем ЗПД, взять хотя бы пресловутое "четырехкнижие".

3 комментария:

nghtf комментирует...

"Аудиты пускай как-раз идут. Наработается методика, компенсационные контроли и т.д., может и требования нормальные сформируются"

По-моему, это надо делать в обратном порядке :) (естественно, возвращаясь к правке/расширению требований и далее по кругу). А когда требования не ясны, противоречат друг другу, могут быть пересмотрены в любой момент итд.., то чего аудировать-то? Комплайенс чего с чем? :) Если аудит, то для чего? Для самих себя? Вряд ли. Для защиты от санкций (попадалова на деньги) - да, нужен, но санкций нет. Нет санкций - нет работ. А по PCI санкции есть (насколько реальные - хз) и народ шевелится. А потом, PCI это, хошь-не хошь, а "бизнес-партнер" и с ним надо дружить, а гос-во в нашей стране имеет стереотип врага (впрочем, часто подкрепляемый им самим), с которым надо не дружить, а боротся. Вот если разумно подходить к ПРИМЕНЕНИЮ (не "временить", а разумно применять) карательных мер, то процесс завертится - со скрипом, но начнет вертется. У нас же все вокруг только так и работает. Криво, но работает. Где-то правят напильником, где-то нет.. И тут все идет к подобной имплементации. Вот если бы государство раздавало пряники (почему нет? надо только придумать в какой форме) всем правильным мальчикам и девочкам за надлежащую работу в области ИБ, то валом бы валили на аудиты и прочие сопутствующие мероприятия, причем не имеет значения какие требования предъявляются - только отношение затрат к бенефиту. А так, осязаемого пряника нет - остается только кнут. Либо тянуть эту волынку еще N лет.

Сергей Гордейчик комментирует...

>Вот если бы государство
>раздавало пряники

Пряники вот например. Смешные правда :)

Малому бизнесу компенсируют затраты на сертификацию по ISO 27001.

http://lukatsky.blogspot.com/2009/04/iso-27001.html

nghtf комментирует...

Спасибо за ссылку - у меня нет слов :)