Если детально разбираться с тем, что сейчас происходит в среде операторов, интеграторов, регуляторов с выполнением 152-ФЗ, то сказать можно очень много. Здесь на своем блоге я выделю главное на мой взгляд, что следует отметить:
1. Сейчас в большинстве случаев идет глобальная подмена понятий выполнения всех требований закона на лишь частичное выполнение его требований, касающихся в основном вопросов технической защиты, к котором присоединены шаблонные документы, имитирующие необходимые оргмеры. Решение вопросов, связанных с выполнением законодательства о персональных данных отдано у интеграторов в основном технарям, никакого понятия не имеющим о принципах и методах защиты конфиденциальной информации (тем более не имеющим практического опыта в этой области). Многие уважаемые компании откровенно предлагают за деньги приобрести шаблоны документов, в которых лишь названия совпадут, с тем, что необходимо реально делать на практике. Реальные бизнес-процессы оператора при этом совершенно не учитываются. Банку, например, могут предложить шаблоны, разработанные для пром. предприятия и т.д.
2. Совершенно не учитывается правовая составляющия законодательства. Инженеры ее не знают, а подготовленных по данной теме юристов у интеграторов нет. Кроме того, на рынке практически нет людей, умеющих организвать совместную эффективную работу юристов, инженеров, специалистов по защите конф. информации по теме выполнения требований 152-ФЗ.
3. Практически за бортом - понимание неавтоматизированных процессов обработки ПДн, даже можно не говорить о нормальном выполнении требовании ПП 687 от 15 сентября 2008 года.
4. На рынке в конкурсах по этой теме присутствует серьезный демпинг в ценовых предложениях исполнителей. А конечная стоимость проектов у двух полностью идентичных заказчиков может различаться в 10 и более раз. У нас был такой случай, когда наш проект обошелся заказчику почти в 15 раз дешевле, чем его основному конкуренту.
Иной раз, мне операторы ПДн называют совершенно невообразимые цифры, которые им объявили потенциальные кандидаты в исполнители проекта по 152-ФЗ.
Гармоничное выполнение требований законодательства. снижение рисков оператора, эффективно работающая система обработки ПДн, наконец экономия средств - достигаются лишь при глубоком комплексном подходе к решению всех вопросов. Этого в большинстве случаев сейчас не наблюдается.
Конечно, какой то порядок в этом могли бы навести регуляторы, тот же Роскомнадзор, например, мог бы выявлять низкое качество работ по выполнению организационно-правовых требований законодательства, но этого пока нет.
В итоге, операторы сейчас спускают в трубу миллионны далеко не лишних своих денег, но реального выполнения требований закона не получают. Лишь единицы из них понимают это и делают все по уму.
