Нередко мы используем слова, смысла которых мы не понимаем или история возникновения которых нам неизвестна, что приводит либо к неверным действиям и выводам, либо к нарушениям чьих либо прав, либо к невыполнению каких-либо активностей, что приводит к нарушениям.
Вы же знали, что спам и капча, как и лазер, — это на самом деле английские аббревиатуры? SPAM — spiced ham (острая ветчина) или shoulder of pork and ham (свиные лопатки и окорочка). CAPTCHA — completely automated public Turing Test to tell computers and humans apart.
Так вот в последнее время многие, в том числе законодатели, стали говорить об ответственности за утечки персональных данных, ссылаясь на европейский опыт, а именно европейскую директиву GDPR, в которой говорится о необходимости уведомлять об утечках ПДн и оборотных штрафах за утечка ПДн. Так вот, GDPR не говорит об утечках, как это ни странно. В GDPR используется слово «breach«, что переводится как «нарушение», а не как «утечка«. Под «breach» попадает целый набор нарушений, связанных с нанесением ущерба субъектам персональных данных:
- Доступ неавторизованных третьих лиц к ПДн
- Отправка ПДн неверному адресату
- Кража или утеря устройства с ПДн
- Несанкционированное изменение ПДн
- Нарушение доступности ПДн
- Вымогательское ПО (ransomware), укравшее ПДн.
Под утечку в общепринятом смысле из этого списка попадет разве что второе нарушение или, может быть, последнее. Европейские законодатели верно посчитали, что термин «breach» гораздо лучше подходит чем «leak» или «leakage», но у нас почему-то депутаты решили ограничиться только утечками. Но так как терминологически этот термин в законопроекте не закрепляется, то мы получим очередную размытую тему, которую регуляторы будут трактовать по-своему, а операторы ПДн по-своему. Последние, вероятно, будут ссылаться на ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», в котором есть такое определение утечки информации — «Неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками» (при том, что в законе о ПДн термин «распространение» имеет вполне конкретное значение). Регуляторы же, «наученные» GDPR, могут использовать более расширительное трактование, связанное с любым инцидентом с ПДн, повлекшим последствия для субъектов.
Вот такая проблема и всего лишь из-за некорректного перевода и использования одного термина.
ЗЫ. Кстати, слова термос, акваланг, грамофон, диктофон, кеды, примус, унитаз, фломастер, целлофан и эскимо, как и аспирин, вазелин, джакузи, ксерокс, джип, лейкопластырь, скотч, линолеум и пинг-понг, являются названиями торговых марок, которые стали настолько популярны, что их превратили в слова нарицательные. В ИБ у нас они не применяются, но если бы да, то пришлось бы учитывать и согласовывать применение чужих торговых марок при выпуске своих средств защиты.
К счастью, в ИБ у нас таких слов нет, кроме спама 🙁