Нередко мы используем слова, смысла которых мы не понимаем или история возникновения которых нам неизвестна, что приводит либо к неверным действиям и выводам, либо к нарушениям чьих либо прав, либо к невыполнению каких-либо активностей, что приводит к нарушениям.

Вы же знали, что спам и капча, как и лазер, — это на самом деле английские аббревиатуры? SPAM — spiced ham (острая ветчина) или shoulder of pork and ham (свиные лопатки и окорочка). CAPTCHA — completely automated public Turing Test to tell computers and humans apart.

Так вот в последнее время многие, в том числе законодатели, стали говорить об ответственности за утечки персональных данных, ссылаясь на европейский опыт, а именно европейскую директиву GDPR, в которой говорится о необходимости уведомлять об утечках ПДн и оборотных штрафах за утечка ПДн. Так вот, GDPR не говорит об утечках, как это ни странно. В GDPR используется слово breach, что переводится как «нарушение», а не как «утечка«. Под breach попадает целый набор нарушений, связанных с нанесением ущерба субъектам персональных данных:

  • Доступ неавторизованных третьих лиц к ПДн
  • Отправка ПДн неверному адресату
  • Кража или утеря устройства с ПДн
  • Несанкционированное изменение ПДн
  • Нарушение доступности ПДн
  • Вымогательское ПО (ransomware), укравшее ПДн.

Под утечку в общепринятом смысле из этого списка попадет разве что второе нарушение или, может быть, последнее. Европейские законодатели верно посчитали, что термин «breach» гораздо лучше подходит чем «leak» или «leakage», но у нас почему-то депутаты решили ограничиться только утечками. Но так как терминологически этот термин в законопроекте не закрепляется, то мы получим очередную размытую тему, которую регуляторы будут трактовать по-своему, а операторы ПДн по-своему. Последние, вероятно, будут ссылаться на ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», в котором есть такое определение утечки информации — «Неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками» (при том, что в законе о ПДн термин «распространение» имеет вполне конкретное значение). Регуляторы же, «наученные» GDPR, могут использовать более расширительное трактование, связанное с любым инцидентом с ПДн, повлекшим последствия для субъектов.

 

Источник: Бизнес без опасности

10 июня, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

21.02.2024
«Не являлся значимым кредитором реального сектора экономики». Регулятор лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер
20.02.2024
Китай считает кибератаки из-за рубежа
20.02.2024
«Тинькофф» выявляет скамерский след в кредитных заявках
20.02.2024
Из банков утекает всё больше ПДн россиян
20.02.2024
В январе в открытый доступ попали 62 базы данный
20.02.2024
Национальная база генетической информации уже вот-вот…

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных