Каждый раз, когда заходит речь о защите персональных данных специалисты и не очень начинают критиковать закон, мол де завышенные требования, не четкие определения, явные ошибки в требованиях.
Когда-то давно из одной книги я почерпнул одну простую мысль: в мере очень мало отъявленных мерзавцев. Каждый борется за светлое будущее в меру его понимания. Другое дело, что "хотели как лучше, а получилось как всегда"©.
Давайте попробуем разобраться с тем, что дал нам законодатель. Лучше всего мои мысли нашли отражение в книге "Обеспечение информационной безопасности бизнеса". Альпина Паблишерз, 2011.
"Российская и мировая практика регулирования информационной безопасности недавнего прошлого состояла из обязательных требований национальных уполномоченных органов, оформленных в виде руководящих документов. Поэтому для топ-менеджмента и владельцев организации существовала только одна проблема соответствия им (комплаенс) и только один способ, ее решения – как с минимальными затратами выполнить предлагаемые требования. Для уполномоченных органов существовала своя проблема – как в силу невозможности охвата всех возможных видов деятельности и условий их реализации, а так же существенных различий в целях деятельности предложить универсальный набор требований…
Дальнейшая эволюция моделей ИБ была связана с усилением роли собственника
(владельца) и сводилась к тому, что он сам выбирал (на свой страх и риск) из предложенного ему стандартного набора защитных мер те, которые ему необходимы, т.е. такие, которые, по его мнению, могут обеспечить приемлемый уровень безопасности… Однако конструктивного механизма для владельца предложить не удалось, кроме как создания каталога объектов с выбранными типовыми защитными мерами (профилей защиты)"... © Обеспечение информационной безопасности бизнеса .
Мое мнение, что в случае 152-ФЗ мы имеем дело с недоделанной моделью "второго поколения". Есть ощущение не завершенного второго шага от регулирующих органов. Все таки сложно отпустить контроль, психологически сложно. И именно поэтому при создании СЗИ ИСПДн велика роль интегратора – можно данную задачу решить как минимум двумя способами: дешево и сердито, и дорого и бесполезно. Очевидно есть еще масса вариантов, в том числе дорого и качественно, но в реальности я такие решения не встречал.