Нарисовался тут клиент- говорит, хочу прям не могу иметь интернет-магазин, и не просто магазин, а с поддержкой второго уровня защиты персональных данных.
Ну думаю- мой ночной кошмар сбылся, ибо в 2010 году я свалил из конторы где трудился консультантом по безопасности в течении трех лет, ибо не смотря на то что платили более чем хорошо, меня блевать тянуло от возни с нормативными документами ФСТЭК и ФСБ. А мы как раз тогда были вынуждены сертифицировать межсетевые экраны от Checkpoint и вообщем аббревиатура ФСТЭК у меня вызывала судороги мозга.
И вот, забив на все это дело, я пропустил тот факт что на смену необязательному приказу №58 от 2010 года, пришел новый гораздо более охуитительный за номером №21, регламентирующий все меры защиты персональных данных и их обработки, а также почему то призывающий к их обязательному исполнению, под страхом штрафа в 2% совокупного дохода нарушителя.
Причем этот приказ, сцуко, написан таким долбоебским языком, что я, не смотря на 17 лет работы айтишником и 3 года работы безопасником, читать эту муть без головной боли не могу и реально при прочтении необходимо сидеть с карандашиком и рисовать алгоритм, ибо слов дохера, а смысла ноль. И главное что реально гос.контор 1-2 и обчелся, а мелкого бизнеса, вроде интернет магазинов и всяких шараш-монтажей немеряное количество. Так что им предлагают обращаться к сертифицированным конторам (неважно ООО или ИП, важно что открыли очередную кормушку) которые все сделают чике поке.
И вот на этой волне я попытался узнать у своего проверенного хостинга, во что же обойдется защита персональных данных по классу К2, где надо сертифицировать не только файервол и среду передачи данных, но и SSL сертификат и пакет виртуализации. Получилось около 60к единовременно за разворачивание продукта и все разрешения и далее по 5к за поддержку ежемесячно. При том, что если брать свой дедик и поднимать самостоятельно- только пакет веб-сервера с сертифицированным ssl обойдется в 30к рублей, а операционка от 30 до 100к в завсимости от типа.
И это не считая всей бюрократической тряхомудии внутри конторы, когда надо выделять отельных людей на обеспечение защиты персональных данных и ведения журналов доступа.
Причем тот же ру-центр предлагает только третий уровень поддержки, являющийся обработчиком ФИО, причем за это просит 35$ за дерьмовый виртуальный контейнер с 350Mb Ram и 12Gb HDD на борту. Тогда как все варианты курьерской обработки, предполагающей адресную доставку, подпадают под второй уровень. И получается что интернет-магазин, открывающийся онлайн именно чтобы не платить нереальные поборы за аренду, кассовые аппараты и прочую муть, теперь вынужден выкладывать вполне сопоставимые башли прямо на старте, при том что его доход может составлять всего 10-15к рублей ежемесячно.
И хотя ИБ’шники радостно дрочат на этот приказ, мне сдается что по большей части это происходит по той простой причине, что они чувствуют запах денег, тогда как среднестатистическому пользователю и даже админу, разбираться во всей этой е-батне нет никакого желания и главное стимула.