Нередко мы используем слова, смысла которых мы не понимаем или история возникновения которых нам неизвестна, что приводит либо к неверным действиям и выводам, либо к нарушениям чьих либо прав, либо к невыполнению каких-либо активностей, что приводит к нарушениям.

Вы же знали, что спам и капча, как и лазер, — это на самом деле английские аббревиатуры? SPAM — spiced ham (острая ветчина) или shoulder of pork and ham (свиные лопатки и окорочка). CAPTCHA — completely automated public Turing Test to tell computers and humans apart.

Так вот в последнее время многие, в том числе законодатели, стали говорить об ответственности за утечки персональных данных, ссылаясь на европейский опыт, а именно европейскую директиву GDPR, в которой говорится о необходимости уведомлять об утечках ПДн и оборотных штрафах за утечка ПДн. Так вот, GDPR не говорит об утечках, как это ни странно. В GDPR используется слово breach, что переводится как «нарушение», а не как «утечка«. Под breach попадает целый набор нарушений, связанных с нанесением ущерба субъектам персональных данных:

  • Доступ неавторизованных третьих лиц к ПДн
  • Отправка ПДн неверному адресату
  • Кража или утеря устройства с ПДн
  • Несанкционированное изменение ПДн
  • Нарушение доступности ПДн
  • Вымогательское ПО (ransomware), укравшее ПДн.

Под утечку в общепринятом смысле из этого списка попадет разве что второе нарушение или, может быть, последнее. Европейские законодатели верно посчитали, что термин «breach» гораздо лучше подходит чем «leak» или «leakage», но у нас почему-то депутаты решили ограничиться только утечками. Но так как терминологически этот термин в законопроекте не закрепляется, то мы получим очередную размытую тему, которую регуляторы будут трактовать по-своему, а операторы ПДн по-своему. Последние, вероятно, будут ссылаться на ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», в котором есть такое определение утечки информации — «Неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками» (при том, что в законе о ПДн термин «распространение» имеет вполне конкретное значение). Регуляторы же, «наученные» GDPR, могут использовать более расширительное трактование, связанное с любым инцидентом с ПДн, повлекшим последствия для субъектов.

 

Источник: Бизнес без опасности

10 июня, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных