Выступая в последнее время на разных региональных мероприятиях, где среди прочего рассказываю и о 17/21-м приказах ФСТЭК регулярно слышу две кардинально противоположные точки зрения об этих документах. Первая высказывается представителями крупного бизнеса, которые теперь получили возможность самостоятельно выбирать защитные меры, исходя из особенностей своей информационной системы и принятой или принимаемой модели угроз. Вторая высказывается малым бизнесом и некоторыми интеграторами, которые теперь вынуждены что-то придумывать, а не ориентироваться на жесткий перечень мер, как это было в первом четверокнижии или 58-м приказе ФСТЭК.
Как можно заметит, обе эти точки зрения касаются одного и того же свойства документов ФСТЭК - их гибкости. То, что для одних преимущество, для других беда. Оно и понятно. Крупный бизнес, первым попавшим в прицел проверок регуляторов, первым и натолкнулся на сложности с реализацией жестко прописанных требований по защите персональных данных. И, как не парадоксально, именно представители крупного бизнеса входили в рабочую группу ФСТЭК, занимавшуюся экспертизой и доработкой 21-го приказа, а затем и методички по мерам защиты. Вполне очевидно, что для крупного бизнеса появившаяся гибкость является благом, т.к. в полной мере позволяет учесть все особенности своих процессов обработки ПДн с точки зрения защиты.
А вот малый бизнес, до недавнего времени и вовсе не занимавшийся защитой персональных данных и ограничивающийся только выполнением требований Роскомнадзора, теперь столкнулся с непростой задачей. Если раньше, худо-бедно, но можно было реализовать закрытый перечень требований 58-го приказа и считать, что все нормально, то сейчас ситуация иная. Закрытого перечня просто нет. И малый бизнес, турагенства и фермеры, о которых в свое время писал Ригель, просто не знают, с какого бока подойти к решению задачи. Раньше они почти не занимались защитой, а сейчас им приходится решать несвойственные малому бизнесу задачи. А у них и специалистов-то нет :-(
Сложность восприятия, о которой я писал два месяца назад... Правда, пока оперативного решения со стороны регулятора, который мог бы взять и написать свои "Top20 защитных мер для малого бизнеса", я не предвижу. У ФСТЭК есть более оперативные и важные задачи. Остается надежда только на региональных интеграторов, которые смогут пакетировать 21-й приказ (да и 17-й для муниципалов и малых госов) в зависимости от типовой модели угроз и типового набора средств их нейтрализации. А может быть и онлайн-сервисы смогут эту задачу решить. Например, " Решебник " от уральского ЦентрИнформа. Тогда к пакету документов можно будет получить сразу и рекомендации по средствам защиты. Было бы удобно.