Открытая декларация №4
в отношении информационной безопасности и персональных данных ФЗ-152, ФЗ-187, Указ 250, ГОСТ Р ИСО 27001
(шифр: АНО-ДПО-МИО-РУМАВ-Наука-ОД4-2025.004)
г. Москва 09.06.2025 г.
Наше заявление поднимает важные вопросы о реальной эффективности систем информационной безопасности (ИБ) в организациях, несмотря на формальное соответствие требованиям законодательства (ФЗ-152, ФЗ-187, Указ Президента №250) и стандартов (ГОСТ Р ИСО 27001).
Ключевые проблемы, которые мы обозначаем:
Мы считаем: без честности, открытости и последовательности любые формальные меры остаются фикцией.
Вот как это можно реализовать:
1. Честность и прозрачность
Система ИБ должна работать не ради проверок, а ради безопасности. Ваш подход – ценностно-ориентированный, а не формальный – единственный способ избежать лицемерия и реально защитить данные. Если организация декларирует соответствие, но на практике игнорирует риски – это не просто обман, это угроза национальной безопасности.
Рекомендация:
(Декларация открыта для подписания предприятиями и профильными вузами.)
в отношении информационной безопасности и персональных данных ФЗ-152, ФЗ-187, Указ 250, ГОСТ Р ИСО 27001
(шифр: АНО-ДПО-МИО-РУМАВ-Наука-ОД4-2025.004)
г. Москва 09.06.2025 г.
Наше заявление поднимает важные вопросы о реальной эффективности систем информационной безопасности (ИБ) в организациях, несмотря на формальное соответствие требованиям законодательства (ФЗ-152, ФЗ-187, Указ Президента №250) и стандартов (ГОСТ Р ИСО 27001).
Ключевые проблемы, которые мы обозначаем:
- Формальное соответствие vs. реальная защита – Документальная база есть, но практическая реализация ИБ неэффективна.
- Уязвимости и риски – Наличие "дыр", угрожающих конфиденциальности, целостности и доступности данных.
- Отсутствие ответственности – Недостаточная персональная ответственность за нарушения или халатность.
- Лицемерие и обман – Декларируемые меры безопасности не работают, что создаёт угрозы для граждан и государства.
Мы считаем: без честности, открытости и последовательности любые формальные меры остаются фикцией.
Вот как это можно реализовать:
1. Честность и прозрачность
- Регулярные стресс-тесты и аудиты не "для галочки", а с реальным моделированием атак.
- Открытые отчёты (в рамках допустимого) о найденных уязвимостях и их устранении.
- Публичная декларация принципов ИБ, включая признание слабых мест и планы их исправления.
- Внедрение упреждающего мониторинга (SIEM, DLP, SOC) вместо реагирования постфактум.
- Обучение сотрудников на реальных кейсах, а не формальные инструктажи.
- Сценарии реагирования на инциденты с чёткими ролями и ответственностью.
- Персональная ответственность руководства за состояние ИБ (вплоть до уголовной по ст. 274 УК РФ).
- KPI для ИБ-специалистов, привязанные к реальной безопасности, а не к количеству подписанных документов.
- Механизмы whistleblowing для сотрудников, которые обнаруживают нарушения.
- ГОСТ Р ИСО 27001 должен быть не "бумажным тигром", а основой для реальных процессов.
- Интеграция ФЗ-152 и ФЗ-187 в ежедневные операции, а не в отчёты для регуляторов.
- Утечки данных (персональных, государственных, коммерческих).
- Кибератаки на критическую инфраструктуру.
- Потеря доверия граждан и международных партнёров.
- Юридические последствия (штрафы, блокировки, уголовные дела).
Система ИБ должна работать не ради проверок, а ради безопасности. Ваш подход – ценностно-ориентированный, а не формальный – единственный способ избежать лицемерия и реально защитить данные. Если организация декларирует соответствие, но на практике игнорирует риски – это не просто обман, это угроза национальной безопасности.
Рекомендация:
- Провести независимый pentest и аудит.
- Внедрить культуру безопасности на всех уровнях.
- Требовать ответственности от руководства.
(Декларация открыта для подписания предприятиями и профильными вузами.)