Что первично: требования бизнеса или требования регуляторов?
В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Что первично: требования бизнеса или требования регуляторов?
Дмитрий Дудко
Руководитель проектов по информационной безопасности
центра компетенции ИБ, ЗАО “Фирма АйТи. Информационные технологии"
Руководитель проектов по информационной безопасности
центра компетенции ИБ, ЗАО “Фирма АйТи. Информационные технологии"
Разумеется, у коммерческих организаций на первом месте получение прибыли. Всегда интересно, что идет за этим. И я уверен, что не найдется бизнеса в нашей стране, у которого дополнительной миссией будет нарушение законов РФ. Однако иногда требования регуляторов идут в разрез с основной идеей бизнеса. Давайте разберем причины их противоборства.
Для начала я хотел бы рассказать одну историю
Когда-то я занимался проектом по защите ПДн в одной обучающей организации с крайне сложной базой этих самых данных, раскиданной по всему СНГ, с запутанными связями. Как уже стало понятно из вышесказанного, имела место трансграничная передача данных. Однако данные эти лишь с натяжкой можно было назвать персональными. Передача производилась по незащищенному каналу, и за много лет существования организации ни один человек не пострадал.
Однако регулятор требовал защиты канала передачи по полной и очень дорогой программе. Заказчик и моя команда понимали, что такое решение организации просто не потянуть. Пришлось искать пути законного обхода требований. С большим трудом они были найдены, организация осталась жива. Так что это получается? Регулятор уничтожает бизнес?
Разумеется, это не так
Регулятор – это не злейший враг из приключенческого романа, который призван строить различные козни бравым героям. В первую очередь, регулятор помогает разобраться в законах, установить единые правила игры для всех. И в этом-то и кроется главный камень преткновения. По своему опыту разработки отраслевых стандартов для медицины и учебных заведений могу сказать, что задача унификации требований или рекомендаций крайне сложна. Каким бы набором исходных данных вы ни обладали, как бы хорошо ни провели типизацию объектов, всегда ваши требования будут менее конкретизированными и не будут подходить на 100% какой-либо организации. И это лишь в рамках одной отрасли. Увеличьте это в масштабах страны и умножьте неопределенность на количество отраслей.
Таким образом, задача регулятора – добиться единообразия для совершенно разных отраслей и организаций. Требования приобретают более общий характер, и именно здесь кроются все возможные возникающие противоречия. Например, если требования по сбору согласий на обработку ПДн могут выполнить большинство обычных юридических лиц, то интернет-магазину это будет крайне затруднительно.
Но совершенно точно можно сказать, что минимум ¾ требований может выполнить подавляющее большинство.
Зависимость выполнения требований от времени
На рисунке представлена аналитическая зависимость выполнения требований от времени. В данном случае минимальным пределом выполнения требований является та общность, что присуща любой компании, подпадающей под регулирование. На оставшуюся часть приходятся индивидуальные особенности.
Аналогичная зависимость подходит для любого другого ресурса, который мы используем для реализации требований (чаще всего это деньги и время).
Совершенно логично, что как только речь заходит о капиталовложениях, решение остается за бизнесом.
Таким образом, логичный ответ на вопрос в заголовке – первичны требования бизнеса. Всегда.
Помните, вы – доверенное лицо. Вы обязаны защищать организацию, на которую работаете, минимизировать риски, сделать максимум доступными средствами и бороться за свою компанию при проверке до последней капли крови.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2014
