Нередко мы используем слова, смысла которых мы не понимаем или история возникновения которых нам неизвестна, что приводит либо к неверным действиям и выводам, либо к нарушениям чьих либо прав, либо к невыполнению каких-либо активностей, что приводит к нарушениям.

Вы же знали, что спам и капча, как и лазер, — это на самом деле английские аббревиатуры? SPAM — spiced ham (острая ветчина) или shoulder of pork and ham (свиные лопатки и окорочка). CAPTCHA — completely automated public Turing Test to tell computers and humans apart.

Так вот в последнее время многие, в том числе законодатели, стали говорить об ответственности за утечки персональных данных, ссылаясь на европейский опыт, а именно европейскую директиву GDPR, в которой говорится о необходимости уведомлять об утечках ПДн и оборотных штрафах за утечка ПДн. Так вот, GDPR не говорит об утечках, как это ни странно. В GDPR используется слово breach, что переводится как «нарушение», а не как «утечка«. Под breach попадает целый набор нарушений, связанных с нанесением ущерба субъектам персональных данных:

• Доступ неавторизованных третьих лиц к ПДн
• Отправка ПДн неверному адресату
• Кража или утеря устройства с ПДн
• Несанкционированное изменение ПДн
• Нарушение доступности ПДн
• Вымогательское ПО (ransomware), укравшее ПДн.

Под утечку в общепринятом смысле из этого списка попадет разве что второе нарушение или, может быть, последнее. Европейские законодатели верно посчитали, что термин «breach» гораздо лучше подходит чем «leak» или «leakage», но у нас почему-то депутаты решили ограничиться только утечками. Но так как терминологически этот термин в законопроекте не закрепляется, то мы получим очередную размытую тему, которую регуляторы будут трактовать по-своему, а операторы ПДн по-своему. Последние, вероятно, будут ссылаться на ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», в котором есть такое определение утечки информации — «Неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками» (при том, что в законе о ПДн термин «распространение» имеет вполне конкретное значение). Регуляторы же, «наученные» GDPR, могут использовать более расширительное трактование, связанное с любым инцидентом с ПДн, повлекшим последствия для субъектов.

Источник: Бизнес без опасности