Периодически из уст заказчиков слышен вопрос: «Удовлетворяет ли ваша система требованиям закона о персональных данных?» и в тендерных документациях мелькают требования реализации проекта по защите данных. Но для чего реально необходима эта магическая аббревиатура ИСПДн заказчику, он не всегда в состоянии корректно объяснить. Углубимся в вопрос. |
Действительно, тема защиты ПД уже давно является горячей. Более того, на мой взгляд, не просто горячей, а жаренной-пережаренной. Что-то вроде обгоревшего до угольного состояния шашлыка, которые есть явно не хочется, но нужно – деньги уплачены. Вот и ПД – кажется, никто особенно не знает, что это такое и как нужно эти ПД защищать, но точно знают, что защищать нужно. Поскольку эта тема постоянно присутствует даже на центральном ТВ, в том числе с сообщениями о реальных "делах", причем и с "посадками".
Короче говоря, тема ПД чем-то напоминает темы пожарной безопасности или санэпидем-вопросов: при желании инспектор всегда найдет нарушения.
И один из первых шагов по хоть какой-то защите от обвинения является наличие соответствующего пункта в ТЗ: "система должна удовлетворять…" В какой мере удовлетворяет – это уже следующий вопрос, но если в ТЗ такого пункта не будет, то вы будете виноваты на 100%.
Итак, заказчик задает вполне резонный вопрос и хочет услышать ответ от исполнителя, который при случае можно будет "пришить к делу". Короче – заявленная тема статья видится актуальной.
Но вот только я ответа на вполне понятный вопрос там не увидел. Там рассказывает о законодательстве в этой сфере и об общих требованиях к информационным системам с точки зрения ФЗ-152. Такое впечатление, что автор статьи насколько углубился в вопрос, что даже забыл о нем. Типа того, что вас спрашивают "как пройти к библиотеке", а вы начинает в ответ рассказывать о проблемах устройства городского транспорта…
Хотя, на самом деле, в статье все же есть они важный момент, которые позволяет сформулировать ответ СЭД-вендора на вопрос СЭД-заказчика. Я его предлагаю в таком варианте:
"Требования данного закона относятся не к программным продуктам, а к конкретным развернутым у заказчика ИТ-систем. Значительная часть требований относится не к ПО, а к организации работы в ПД, к конкретно реализуемым бизнес-процессам. То есть этот вопрос вы должны адресовать самому себе".
Но услвшав такой ответ, наверное, заказчик переиначит свой вопрос более правильным образом:
"Что мне нужно сделать на этапе проектирования, внедрения и эксплуатации создаваемой ИТ-системы, чтобы она удовлетворяла 152-ФЗ? В какой степени ваше ПО сможет обеспечить такое соответствие, не обнаружатся ли подводные "софтверные" камни?"
Я думаю, что действительно правильным ответом будет такой: "Со стороны программного продукта никаких трудностей или камней нет. Все будет зависеть только от вашего конкретного проекта, в том числе на этапе эксплуатации".
И еще: "Скорее всего, при внедрении СЭД, никаких проблем в 152-ФЗ в принципе не будет, поскольку в вашем проекте никакие ПД там обрабатываться не будут".
Я понимаю некоторую спорность моих "ответов", поэтому интересно услышать мнения по теме.
Давайте начнем с начала - какие конкретные проблемы у вас? Что вас волнует?