понедельник, 16 сентября 2013 г.

Публикование информации об инцидентах

Осенью этого года Госдума с подачи сенатора Гаттарова возможно будет обсуждать повышение штрафных санкций за утечку персональных данных.  Все это делается под эгидой приведения нашего законодательства в соответствие с европейскими нормами.  Т.е карать хотят все же не за отсутствие формального соответствия, а за реальные "косяки". 

Но такая система держится в первую очередь на том, что компании будут сообщать о произошедших у них инцидентах.  В Америке это решили просто - в определенных случаях за сокрытие фактов утечки руководителям компании может грозить уголовное наказание. Это отрезвляет.  У нас о подобной мере никто не говорит, так что в случае повышения штрафов становится непонятным каким образом будет обеспечено то, что компании будут сообщать в соответствующие органы об утечке (тем более понимая что получат при этом серьезный штраф).  Если ориентироваться только на случаи, которые будут получать публичный резонанс, то это будет только вершина айсберга, хотя конечно уже что-то. 

Ну и в завершение этого короткого поста в подтверждение моих слов немного статистики из той самой благополучной Европы.  Компания AlienVault провела исследование среди европейских компаний и согласно ему: 
  • только 2% компаний готовы сообщать об инциденте публично
  • 38% готовы сообщить об инциденте в соответствующие органы
  • 31% готовы сообщить об инциденте своим сотрудникам
  • 11% готовы поделиться информацией об инциденте с сообществом специалистов по информационной безопасности

Вот так вот …  


1 комментарий: