Согласно требованиям ФЗ-152, оператором персональных данных сейчас может быть признано почти любое предприятие и компания из таких отраслей, как финансы, телекоммуникации, розничная торговля, включая и интернет-магазины, а штрафные санкции, предусмотренные за нарушение закона, предусматривают не только конфискацию несертифицированных средств защиты информации, денежные взыскания, но и приостановку деятельности «нарушителя» на срок до 90 суток. Как отмечается в статьях этого номера, посвященного проблемам защиты конфиденциальной информации, надзорные органы регулятора не дремлют, и, несмотря на многочисленные переносы вступления в силу ФЗ-152 и его коррекции (ФЗ-261), уже имеется масса случаев наказаний за его ненадлежащее выполнение. Наиболее популярное нарушение, выявляемое территориальными органами Роскомнадзора, — неуведомление о факте обработки персональных данных, причем по результатам проверок операторам уже выданы тысячи предписаний об устранении выявленных нарушений законодательства РФ в области персональных данных, составлены и направлены в суды сотни протоколов об административных правонарушениях, а сумма штрафов по постановлениям о привлечении операторов к административной ответственности уже исчисляется миллионами рублей. И неважно, что вокруг ФЗ-152 еще не утихли дискуссии, а практика его применения, как отмечает в своей статье Валерий Коржов, дает простор для различных трактовок, — нарушения можно классифицировать и по ст.19.7 КоАП – «Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом». Как же рядовой бизнес и организация могут защититься от претензий регуляторов?
Один из способов — проведение тестирования кода систем по требованиям безопасности информации и получение соответствующих сертификатов. Сертификация уже давно практикуется за рубежом, где обязательную проверку проходят все государственные и платежные программные системы. До недавнего времени сертификация в России главным образом касалась силовых министерств и предприятий промышленности, выполняющих государственные заказы, поэтому у нас преобладали директивные методы сертификации по требованиям безопасности информации. Ситуация изменилась с принятием закона «О персональных данных» и окружающих его подзаконных актов — оказалось, что сертификация программ и аттестация объектов информатизации стала необходима большинству коммерческих и всем государственным организациям, работающим в области медицины, образования, транспорта и даже торговли. Это немедленно породило множество вопросов, мифов и, как правило, негативных суждений, связанных в большинстве случаев с недопониманием сути и процессов сертификации. Авторы статьи «Мифы и реальность сертификации программ» развенчивают эти мифы, отмечая, что хотя сертификация и не является универсальным способом решения всех проблем в области информационной безопасности, однако сегодня это единственный функционирующий механизм, обеспечивающий независимый контроль качества программных систем, и пользы от него больше, чем вреда.
Некоторые авторы рекомендуют переложить проблемы, связанные с выполнением требований ФЗ-152, на провайдеров облаков, поручив им обслуживание ИТ-инфраструктуры своего бизнеса. Действительно, вопрос «To cloud or not to cloud?» уже не стоит на повестке дня, и в России уже имеются примеры миграции бизнесов в облака — в конце концов, большинство других, более привычных сервисов, уже давно не подконтрольны пользователям, например электроснабжение или каналы данных. Однако, как отмечает в своей статье Андрей Якимов, неопределенность в трактовках ФЗ-152 вынуждает с особой тщательностью подходить к договору с провайдером и требовать у него все необходимые сертификаты и согласования.
Рост популярности облаков поднял вопрос об унификации в сфере предоставления сервисов через Сеть — сегодня еще нет стандартов, напрямую касающихся облаков. За комментариями редакция обратилась к Натаниэлу Боренстейну, одному из соавторов стандарта MIME, много лет работающему над стандартами для Интернета. Как отметил Боренстейн, учитывая, что облака — это лишь новое название старой тенденции, касающейся централизации ИТ-операций и администрирования, которая постепенно стала преобладающей моделью доставки приложений, миграция в облака не влечет за собой потребности в новых предписывающих стандартах. Однако возрастает роль оценочных стандартов, с помощью которых организации могут проверять и сравнивать провайдеров облачных сервисов. Впрочем, в другой статье, посвященной проблеме облачных стандартов, отмечается, что стандартизация в этой сфере должна стимулировать достижение консенсуса между крупными корпоративными потребителями, настаивающими на интероперабельности, и производителями, осознавшими, что разработка стандартов является необходимым условием для широкого распространения облаков. На этом пути не миновать периодов стагнации, обостряющих потребность в стандартах, которые необходимы в первую очередь для того, чтобы обеспечить совместимость и взаимозаменяемость.