Нередко мы используем слова, смысла которых мы не понимаем или история возникновения которых нам неизвестна, что приводит либо к неверным действиям и выводам, либо к нарушениям чьих либо прав, либо к невыполнению каких-либо активностей, что приводит к нарушениям.

Вы же знали, что спам и капча, как и лазер, — это на самом деле английские аббревиатуры? SPAM — spiced ham (острая ветчина) или shoulder of pork and ham (свиные лопатки и окорочка). CAPTCHA — completely automated public Turing Test to tell computers and humans apart.

Так вот в последнее время многие, в том числе законодатели, стали говорить об ответственности за утечки персональных данных, ссылаясь на европейский опыт, а именно европейскую директиву GDPR, в которой говорится о необходимости уведомлять об утечках ПДн и оборотных штрафах за утечка ПДн. Так вот, GDPR не говорит об утечках, как это ни странно. В GDPR используется слово breach, что переводится как «нарушение», а не как «утечка«. Под breach попадает целый набор нарушений, связанных с нанесением ущерба субъектам персональных данных:

  • Доступ неавторизованных третьих лиц к ПДн
  • Отправка ПДн неверному адресату
  • Кража или утеря устройства с ПДн
  • Несанкционированное изменение ПДн
  • Нарушение доступности ПДн
  • Вымогательское ПО (ransomware), укравшее ПДн.

Под утечку в общепринятом смысле из этого списка попадет разве что второе нарушение или, может быть, последнее. Европейские законодатели верно посчитали, что термин «breach» гораздо лучше подходит чем «leak» или «leakage», но у нас почему-то депутаты решили ограничиться только утечками. Но так как терминологически этот термин в законопроекте не закрепляется, то мы получим очередную размытую тему, которую регуляторы будут трактовать по-своему, а операторы ПДн по-своему. Последние, вероятно, будут ссылаться на ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», в котором есть такое определение утечки информации — «Неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками» (при том, что в законе о ПДн термин «распространение» имеет вполне конкретное значение). Регуляторы же, «наученные» GDPR, могут использовать более расширительное трактование, связанное с любым инцидентом с ПДн, повлекшим последствия для субъектов.

 

Источник: Бизнес без опасности

10 июня, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

08.07.2025
ГКРЧ выделила «дорогу» к сетям 5G
08.07.2025
CorpSoft24: При использовании «облаков» операторам удаётся кратно сократить затраты на кибербезопасность
08.07.2025
Тайвань призвал граждан проявлять бдительность в отношении китайского ПО
08.07.2025
Минцифры запустило третью багбаунти («Багбаунти навсегда»)
08.07.2025
У федерального казначейства появился свой R&D-центр в области ИИ
08.07.2025
Французские безопасники увидели в хакерской многоходовке след Китая
07.07.2025
«Это проще, чем самолётами пытаться вывозить конкретные кадры»
07.07.2025
Отец Twitter показал «бету» нового офлайн-мессенджера
07.07.2025
ЕС запускает план по внедрению квантово-безопасной инфраструктуры
07.07.2025
Цифровое министерство взялось за «сеньоров»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных