Каждый россиянин знает, что разрешить серьезную проблему можно двумя способами: по закону и «по понятиям». Эти две традиции до недавнего прошлого существовали, не пересекаясь, и в какой-то мере даже были антагонистами. Но 152-ФЗ успешно их синтезировал. Пока, правда, формально. Сознательно или нет разработчики закона в заглавии ст. 3 вместо «термины и определения» употребили словосочетание «основные понятия». Что это: свидетельство недостаточного знания методологии законотворческой деятельности или демонстративное пренебрежение ею?
< ... >
Тем не менее закон есть закон. И каким бы он ни был, его необходимо выполнять. Исходя из этого, перед всеми стоит задача: разработать пакет документов, позволяющий выполнить требования закона в условиях сокращения бюджета, разрастания и углубления кризиса. Задача не из простых. Методологическая база, на основании которой обычно разрабатываются подобные документы, в данном случае, как известно, оставляет желать лучшего: два постановления Правительства (от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах ПДн» и от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»), противоречащие друг другу и здравому смыслу, а также «четырехкнижие» ФСТЭК России, запутывающее даже поднаторевших в вопросах защиты информации специалистов. Документам ФСТЭК России, видимо вследствие их методологической несостоятельности, изначально был даже присвоен гриф (пометка) ДСП. И только после того, когда все привыкли к смысловому и терминологическому эквилибру, свойственному этим «документам», гриф с них сняли, правда, предварительно немного их подкорректировав.
При более детальном изучении проблемы выяснилось, что методологические недостатки этих документов становятся достоинствами при практической реализации их требований. Многозначность и размытость формулировок позволяет трактовать их в наиболее выгодном для себя смысле. Возможности применения метода экспертных оценок при проведении классификации ИСПДн и построении частной модели угроз ПДн являются «подарками судьбы».
В результате на основе перечисленных выше подзаконных актов и нормативно-методических документов ФСТЭК России нами были разработаны «Рекомендации по организации и проведению работ по обеспечению безопасности ПДн при их обработке в информационных системах», основу которых составляют формы документов для заполнения ответственными за обеспечение безопасности ПДн в подразделениях. Формы составлены так, чтобы даже не очень осведомленный в законодательных актах и технологиях обеспечения безопасности ПДн человек мог их легко заполнить. Основной упор сделан на организационные и программные меры защиты.
< ... >
