Четвёртый парадокс безопасности
Сколько уже лет учат нас (и учим мы), как защищать информацию по науке. Сначала определение границ системы. Затем угрозы и модель злоумышленника. Потом оценка рисков. И лишь на четвёртом этапе - политика безопасности с конкретными требованиями. Когда нет соответствующей угрозы, не нужна и защита от неё. Когда защита стоит дороже риска - тоже нафиг такую защиту.
Почему же закон "О персональных данных" написан не по науке? Почему предписанные меры обходятся дороже, чем риски? Почему вводится защита от несуществующих угроз? Зачем защищать данные, которыми не интересуются злоумышленники, спрос на которые отсутствует?
На днях составляли перечень рисков, касающихся персональных данных для одной информационной системы. Класс 1, между прочим. Поверите ли, все, все без исключения риски, которые мы смогли выявить - это риски несоблюдения установленных требований.
Нет, ЗоПД здесь не исключение. Многие нормативные акты во многих странах создают рисков если не столько же, сколько требуют устранить, то одного порядка. Просто ЗоПД - это рафинированный случай. Когда научный подход игнорирован полностью.
Почему же закон "О персональных данных" написан не по науке? Почему предписанные меры обходятся дороже, чем риски? Почему вводится защита от несуществующих угроз? Зачем защищать данные, которыми не интересуются злоумышленники, спрос на которые отсутствует?
На днях составляли перечень рисков, касающихся персональных данных для одной информационной системы. Класс 1, между прочим. Поверите ли, все, все без исключения риски, которые мы смогли выявить - это риски несоблюдения установленных требований.
Нет, ЗоПД здесь не исключение. Многие нормативные акты во многих странах создают рисков если не столько же, сколько требуют устранить, то одного порядка. Просто ЗоПД - это рафинированный случай. Когда научный подход игнорирован полностью.