Приоритеты финансирования задач IT, телекома и информационной безопасности: комментируют потребители

Результаты исследования "Приоритеты финансирования задач IT, телеком- и информационной безопасности в условиях экономической нестабильности", отраженные в статье Александра Власова, комментируют представители ООО "АДАМАС", Собинбанка, международной ассоциации "Метро", банков "Союзный" и ВТБ 24, ОАО "Концерн "Вега".

Сергей Адмиральский
Директор по IT компании ООО "АДАМАС" столичный ювелирный завод

Полностью согласен с автором статьи в том, что бизнес платит IT в основном за помощь менеджменту в распределении активов и снижении затрат, а наиболее непредсказуемая статья затрат - обеспечение взаимодействия. Сама же IT-индустрия считает, что ее основной задачей является преобразование данных в соответствии с указанным алгоритмом; вопросы организации различных форм доступа к этим данным рассматриваются в качестве второстепенной задачи, а безопасность этих процессов принимается во внимание исключительно по остаточному принципу.

Автор совершенно прав в том, что западные компании готовы выделять деньги на информационную безопасность в первую очередь для защиты репутации и бренда, а нашу индустрию вынудить выделить деньги на ИБ могут только серьезные потрясения или требования регуляторов. Причина этого, по моему мнению, в следующем.

В психологии есть объект, описывающий последовательность возникновения и удовлетворения простых человеческих потребностей, - пирамида Маслоу. В основании пирамиды потребность в еде, одежде и крыше над головой, уровнем выше потребность в безопасности, еще выше потребность в принадлежности к группе и на самом верху потребность в уважении, одобрении действий. Утверждается, что потребности вышележащего уровня возникают (!) только после полного удовлетворения потребностей нижележащего уровня. Получается, что осознанная потребность в (финансировании) безопасности пока не возникла в массовом сегменте российского бизнеса исключительно по причине того, что не полностью удовлетворены потребности предыдущего уровня - бухучет, кадры и зарплата, склад и сбыт. Если это так, то спрос на уровне 2008 г. восстановится сразу же, как только у бизнеса снова появятся свободные деньги.

Из результатов проведенного компанией "Гротек" опроса следует, что с ноября 2008 г. 67% компаний серьезно "озаботились" проблемой инсайда и готовы финансировать внедрение систем, препятствующих несанкционированной работе с документами и отслеживающих употребление ключевых слов в переписке и переговорах. На рынке хватает IT-систем с требуемой функциональностью, но для их внедрения совершенно недостаточно купить лицензию и установить ПО. Внедрение абсолютного большинства таких систем требует большой подготовительной работы на организационно-регламентирующем уровне, а компетенция для такой работы есть либо в крупных корпорациях, либо у интегратора, который ценит свои услуги минимум в два-три конца от стоимости исключительно недешевых лицензий плюс 20-25% роялти в год за "поддержку".

Иными словами, я думаю, что у нашего бизнеса (особенно в условиях кризиса) за этапом "озаботились" ничего позитивного не последует. В лучшем случае IT-персонал расширит свой кругозор по теме, а секреты, достойные по оценке финансовых потерь несения затрат на охрану, по-прежнему будут охраняться проверенными не "IT-шными" методами.

Полностью поддерживаю утверждение о том, что весь российский бизнес ждет решений регуляторов по электронным накладным и счетам-фактурам. Получение от контрагентов первичных бухгалтерских документов, соответствующих всем требованиям любимого главного бухгалтера, - источник существенных операционных затрат, плохо компенсируемых IT-технологиями.  Кризис инициирует изменения в юридических моделях ведения деятельности, кризисное сокращение штатов неминуемо ведет к ротации в бэк-офисе, рушатся устоявшиеся связи и на получение от IT-контрагента правильно заполненной счет-фактуры уходят часы системного администратора, аналитика, программиста: экономистов-то всех сократили, а курьеров тем более. Предыдущему сотруднику контрагента все несколько раз объяснили, дали шаблончик, но вот его уволили - и надо объяснять новому человеку, а таких контрагентов не один десяток. Правильно настроенное ПО решило бы эту проблему раз и навсегда, к тому же исключило бы из процесса человека, и было бы всем счастье типа ЭДИФАКТ¹. Осталось только создать законодательную базу.

Кризис все же сказывается, что же сокращать? 47% участников опроса предпочитают сократить персонал, но сохранить бюджет на закупку оборудования, а 53% - наоборот. Зачем закупать оборудование и услуги, если сокращен персонал, кто будет все это потреблять? В нашей компании сокращение персонала вследствие снижения объемов основной деятельности привело к снижению затрат на закупку оборудования и расходных материалов до 22% от уровня "мирного" времени, при этом фонд оплаты труда сократился лишь на 36%. Сокращение персонала и сокращение закупок тесно связаны между собой и не могут меняться приоритетами. Уверен, что мои коллеги думали так же, когда отвечали на вопросы исследования, просто надо было, наверное, как-то иначе сформулировать соответствующий вопрос.

Счастлив тот, кто вошел в кризис между фазами нормативной замены сложных комплексов, инфраструктурного оборудования, серверов и систем хранения данных, - кризис неминуемо удлинит сроки эксплуатации, поэтому я полностью солидарен с опрошенными в том, что не стоит покупать дешевое оборудование неизвестного производства. Кризис не позволяет нам держать на высокой зарплате узких специалистов с неполной загрузкой, задачи по обслуживанию и поддержке сложных комплексов постепенно отходят аутсорсерам исключительно по финансовым соображениям. Если оборудование не будет малообслуживаемым, отказоустойчивым и самовосстанавливающимся после сбоев, его эксплуатация будет неоправданно дорогой даже на аутсорсинге, поэтому покупать такое оборудование мы не будем и другим не посоветуем.

Сергей Котов
Начальник отдела информационной безопасности, департамент безопасности ОАО "Собинбанк"

Кто верит в Магомета, кто в Аллаха, кто в Иисуса, кто ни во что не верит, даже в черта назло всем.
В. Высоцкий

Хотел переиначить на "даже в кризис", но не рискнул - классик все же.

Пользуясь тем, что пока Александр Власов не причислен к лику классиков, хотелось бы сделать несколько заметок на полях его статьи.

Конечно, российский рынок информационной безопасности - странный и парадоксальный. Но парадоксов на этом рынке даже больше, чем перечислено в статье.

Тем не менее некоторые из парадоксов при ближайшем рассмотрении таковыми, на мой взгляд, не являются. В частности, парадокс, обозначенный как непреодолимая пропасть между "надо" и "буду", парадоксом мне не кажется. Наоборот, это совершенно нормальное явление, в какой-то степени даже положительное. Оно ведет к оптимизации расходов, хотя и не напрямую.

Конечно, такие понятия, как "непреодолимость", "пропасть", - это некоторый перебор (гипербола). Я бы здесь, скорее, говорил о вопросах темпа. Хотелось бы делать быстрее, но получается, к сожалению, несколько медленней, сообразно с ситуацией. Ситуация описана давно: "Хочу иметь... но не имею возможности, имею возможность... но не хочу".

Про то, "как у них" и "как у нас", - мы тоже говорим довольно давно. И никакой это не парадокс. Все компании находятся на разных стадиях развития, начинают с разных стартовых условий. Имеют разную историю (а историю делают люди, причем разные на разных отрезках временной шкалы). Текущее состояние компаний отражает все эти факторы (плюс, естественно, огромное количество других, которые для краткости не обсуждаю).

Что касается российских ноу-хау... сомнительно. Да и изобретателей велосипеда (в сущности, святых людей) что-то не видно. Просто отсутствует (да и вряд ли вообще может существовать) оптимальное законченное решение на все случаи жизни. Даже антивирусы выбирать непросто, что уж говорить об остальном. Вот и присутствуют одновременно на рынке однонаправленные решения от разных производителей, что можно только приветствовать (по крайней мере, с точки зрения потребителя).

Кроме того, постоянно присутствует сомнение в "шоколадности" того, что есть на Западе (как и в их полной добросовестности, но это отдельный вопрос). Не призываю все отвергать, но слепое копирование - это, по меньшей мере, неинтересно.

Замечу, что проблема, по определению, решается только на какой-то конкретный промежуток времени. Технологии развиваются и, несомненно, будут развиваться с обеих сторон. Технологии защиты практически никогда не опережают технологии нападения. Кроме того, технологии защиты практически всегда связаны с другими технологиями, и смена одних технологий влечет замену других. И структура затрат наших компаний это и отражает.

Что касается IT, то первоначальный процесс насыщения в данной области в большинстве компаний завершен. Только реализация крупных проектов (например, создание ЦОД) может привести к резкому росту затрат, но таких, кто в кризис отважится на это, - не много. А когда стоит выбор между "хочу иметь телеконференцию" и "обойдемся IP-телефонией" - вопрос для кризисных времен решается просто. Отсюда и относительная стабильность вложений - можно какое-то время прожить, поддерживая работающие технологии. А в области информационной безопасности ситуация (в среднем) мне представляется противоположной. Реализация одних только требований по персональным данным уже требует серьезных вложений (особенно с учетом сроков, установленных законом). Помимо прочего кризис всегда обостряет ситуацию в области безопасности.

Выскажу свое мнение: мерить затраты на ИБ процентами от IT, на мой взгляд, некорректно, хотя многие так поступают. Возможно, так просто удобнее (проще), но в условиях дефицита средств это представляется непозволительной роскошью.

Хочу также сказать несколько слов по поводу противопоставления бизнес-приоритетов и приоритетов страха. На мой взгляд, затраты на информационную безопасность ВСЕГДА основаны на страхе. Вопрос в осознанности этих страхов. В конце концов, инстинкт самосохранения врожденный. Если перевести это в стандартные термины рисков и их оценок - все встает на свои места. Важны осознание рисков, их оценка и адекватная реакция. Риски ИБ для бизнеса - такие же бизнес-риски (по крайней мере, с точки зрения последствий для бизнеса). Так что противопоставлять просто нечего.

То, что на выполнение нормативных требований большинство западных компаний тратит не более 5% бюджета, отражает текущее состояние их общества (или их экономики, или, наоборот, в скобках должно стоять "общество"?). Кажется, Карл Маркс сказал: "Нет того преступления..." - шутка.

Почему такая цифра? Просто на Западе регулировать вопросы ИБ в бизнесе (в нынешнем понимании понятия "регулирование") начали раньше. Соответственно многие вопросы из тех, которые нам приходится решать сейчас, там уже решены. Деньги на требования регуляторов потратили раньше. И подозреваю, что на их решения наши зарубежные коллеги тратили ровно столько, сколько вынуждены сейчас тратить мы. Конечно, с учетом темпов реализации требований, - чем быстрее, тем дороже (это очевидно, но очень важно).

Кстати, санкции регуляторов могут обернуться в том числе и имиджевыми и другими потерями. Риски взаимосвязаны.

Итак, затраты на информационную безопасность диктуются страхом (и у нас, и у них). "Перечень страхов", видимо, совпадает. Разница в оценках страхов (опасений) между "нами" и "ними" вытекает из всего сказанного по поводу "у них там, на Западе, конечно, но вот у нас тут...". Я бы еще добавил, что все это касается не только всех компаний, но и самих государств.

Данные о том, что 67% компаний озаботились проблемой инсайда, вполне естественны с учетом того, что озаботились они этим еще в ноябре. Хотя многие компании (кому есть что терять) обратили внимание на эту проблему раньше, кризис сделал риски более явными. И возросла вероятность их реализации. Те, кто планирует "выжить", естественно, принимают меры.

Также неудивительно, что 53% компаний, несмотря на кризис, финансируют внедрение электронного документооборота. ЭДО позволяет оптимизировать (чаще всего не удешевить, а ускорить) многие бизнес-процессы. А это в условиях кризиса превращается в конкурентное преимущество.

Что касается ожиданий от оборудования и систем, то к сказанному могу добавить многоплатформенность и гибкость.

Конечно, всех интересует вопрос, когда же восстановится спрос на системы ИБ в том же объеме, что и в 2008 г., и когда восстановятся те темпы роста, которые имели место на протяжении последних трех лет. У меня нет ответов. Все это - вопрос веры. (Интересно, один Бог у интеграторов и производителей или немного разные? Если разные, то и сроки второго пришествия...)

Моя личная вера позволяет с полной уверенностью заявить, что восстановление и рост спроса произойдет.

В любом случае желаю всем интеграторам и производителям и их любимым потребителям выйти из кризиса не в меньшем количестве, чем в него вошли. Мы нужны друг другу.
В заключение могу предложить еще парадоксы:

Парадокс № 3. Все верят, что их данные могут быть похищены, но не все верят в необходимость их защиты.

Парадокс № 4. Многие верят в необходимость защиты, но удивляются, что на это требуются средства.

Парадокс № 5. Из тех взрослых людей, кто готов выделить деньги на защиту, многие считают, что деньги являются эквивалентом волшебной палочки - достал из кошелька и все получилось.

Парадокс № 6. Отсутствие денег у одних активизирует работу мозга, у других - "рук".

Парадокс № 7. Бесконечно большое количество денег, вложенных в защиту, не приводит к абсолютной надежности этой защиты.

Не парадокс № 8. Закон суров, но... кризис суровее?

Не парадокс № 9. Отсутствие денег само по себе является защитой от их потери.

Не парадокс № 10. Если деньги решают все, то почему они все еще не решили?

Не парадокс № 11. Глубже в море - меньше пены.

Вячеслав Курышев
Главный специалист, международная ассоциация "Метро"

На мой взгляд, мнение о предъявлении в условиях финансово-экономического кризиса повышенных требований (по сравнению с "обычными временами") к предоставляемым услугам и оборудованию по соотношению цена/функциональность/объем кажется спорным. Любой заказчик, приобретая то или иное программное обеспечение или оборудование, во все времена старается подобрать его с учетом наилучшего соотношения цена/функциональность/объем предоставляемых услуг.

С остальными доводами статьи я полностью согласен.

Уверен, что затраты на информационную безопасность в 2009 г. вырастут не только в процентном (от общего IT-бюджета) отношении, но и в абсолютном. Вызвано это необходимостью выполнять требования ФЗ "О персональных данных" - ведь у нас, как всегда, бросаются проводить необходимые мероприятия в последний момент, "на флажке". "Флажок" же совсем рядом - 1 января 2010 г., а во многих компаниях работы еще и не начинались. Не проведен даже первоначальный аудит. Поэтому основной статьей расходов на информационную безопасность для большинства компаний будет выполнение требований ФЗ "О персональных данных".

Таким образом, в нашей стране действительно ключевым фактором, позволяющим обосновать затраты на ИБ, являются требования регуляторов. Затраты на информационную безопасность у нас диктуются именно страхом перед санкциями за невыполнение требований закона, в то время как "у них" - требованиями бизнеса. Такая ситуация сложилась из-за непонимания многими российскими руководителями предприятий и исполнителями самого понятия "Информационная безопасность".

Всегда считал и считаю, что необходимо развивать отечественное производство, создавать российские предприятия, используя передовые зарубежные технологии и привлекая иностранный капитал. Ориентирование на отечественных поставщиков оборудования позволит спокойно пережить все катаклизмы мировой экономики, а отрасль информационной безопасности будет в гораздо меньшей степени зависеть от зарубежных производителей. Решение об использовании оборудования отечественных производителей не зависит от типа и направления деятельности конкретной организации.

Наиболее эффективным в использовании всегда считалось оборудование, которое обеспечивает высокую отказоустойчивость и требует мало времени на техническое содержание. В настоящее время, когда стремительно развивается микропроцессорная техника, на первый план выходят, кроме вышеперечисленных требований к оборудованию, требования по самотестированию оборудования и его самовосстановлению после сбоев. Выполнение данных требований позволяет, в свою очередь, также обеспечить и малообслуживаемость оборудования.

Как говорится в статье, затраты на IT почти не подвергаются секвестру. И это естественно, так как, если мы хотим сохранить то, что уже сделано и работает, необходимо:

• сохранить обслуживающий персонал;
• заменить устаревшую технику на АРМ и рабочие места операторов;
• оплатить лицензии на ПО;
• и, самое главное, интегрировать разнородные информационные системы для получения большего эффекта от их использования.

Как сказал Президент России Дмитрий Медведев, к апрелю 2010 г. мы выйдем из кризиса. Лично я верю президенту.

Михаил Левашов
Начальник службы информационной безопасности банка "Союзный"

Многие выводы, сделанные на основе результатов опроса, проведенного компанией "Гротек", все же кажутся мне весьма спорными.

Например, пропасти между "надо" и "буду" я лично не вижу. В условиях кризиса необходимо делать то, что надо, только другими методами и с меньшими затратами. Примеров этому - множество. Например, если раньше предполагалось применять дорогие системы контроля входящего Web-трафика, то теперь можно ограничиться только контролем работающих на "выход" из корпоративной сети (на шлюзах) приложений. А это гораздо дешевле. Далее, если раньше предполагалось внедрять дорогостоящие системы контроля электронной почты, то теперь можно ограничиться контролем опять же "выходных" приложений, а также отдельных рабочих станций, с которых отправлялась критичная почта. И так далее.

К представленным в статье IT-приоритетам можно (и нужно!) добавить еще много чего. Например, у операторов связи информационные технологии не просто обеспечивают взаимодействие, но и являются основной частью бизнеса (биллинг, системы OSS/BSS). IT используются также для получения информации, расчетов, проверки гипотез, выявления заболевания (в медицине), для моделирования сложных процессов в самых разных областях знаний и т.д. В приоритеты телекоммуникационной отрасли также имеет смысл включить основные процессы формирования, передачи, приема и защиты сигнала и т.д.

ИБ-приоритеты, действительно, в значительной степени определяются защитой репутации (бренда). Однако противопоставление этих важнейших задач традиционным задачам обеспечения конфиденциальности, целостности и доступности, на мой взгляд, в корне неверно. Именно нарушение этих свойств часто вызывает подрыв репутации.

Не думаю, что затраты на информационную безопасность вырастут в процентном отношении к общим затратам на IT. Скорее всего, затраты на ИБ останутся примерно на тех же уровнях. Согласен с утверждением, что у нас в стране затраты на обеспечение информационной безопасности в значительной степени определяются необходимостью выполнения постоянно ужесточающихся норм федерального законодательства в области ИБ. Однако этот тезис в полной мере верен лишь для компаний, в которых не проводится полноценный анализ информационных угроз и расчет рисков. В реальной жизни много примеров, когда после проведения такого анализа (а он должен проводиться непрерывно - модель Деминга) основные затраты идут на совсем другие цели!

В соответствии со стандартами оборудование и ПО для обеспечения ИБ должны удовлетворять различным требованиям отказоустойчивости, самотестирования, минимальности обслуживания и т.д. Однако в организациях, где применяются сложные и дорогие системы обеспечения ИБ, очень "больной" вопрос - реализация и управление системой реагирования на инциденты безопасности. Часто видишь огромное количество дорогостоящего оборудования, используемого на 5-10%, на показатели которого никто на регулярной основе не реагирует.

Игорь Писаренко
Заместитель начальника отдела информационной безопасности Управления обеспечения безопасности ВТБ 24 (ЗАО), к.т.н., доцент

Экономический кризис, конечно, явление очень неприятное и, так или иначе, затрагивает все стороны деятельности и государства в целом, и всех крупных и мелких как государственных, так и коммерческих организаций и предприятий. Сказывается он и на финансировании затрат на информационные технологии и информационную безопасность.

Наверное, трудно давать реалистичные прогнозы по закупкам ИТ-оборудования и программного обеспечения, так как совершенно неясно, сколько времени продлится кризис, насколько сильно он затронет те или иные организации и предприятия. Планирование закупок на 2009 г. происходило в большинстве случаев во второй половине прошлого года, когда всем нам рассказывали "об островке экономической стабильности в море кризиса", поэтому и принимались достаточно оптимистичные финансовые решения, которые могут быть и секвестированы по мере необходимости.

Некоторое превышение расходов на информационную безопасность относительно общих ИТ-расходов, действительно, может быть связано с требованиями регуляторов, и прежде всего с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных" (либо является хорошим обоснованием перед руководством о необходимости финансирования информационной безопасности, так как эти проблемы в "чистом виде" бизнес не всегда понимает: "а что нам это дает с точки зрения получения прибыли?"). С другой стороны, требования регуляторов зачастую завышены и не всегда обоснованы (особенно "подпольные" требования и рекомендации ФСТЭК). Здесь, видимо, можно упомянуть и еще об одном российском парадоксе: "строгость законов компенсируется их неисполнением". Для того чтобы полностью выполнить требования по защите информационной системы обработки персональных данных операторам (а таковых в России порядка 7 миллионов), придется изрядно раскошелиться. Суммы, по некоторым прикидкам, для крупных операторов с распределенной структурой и большим количеством рабочих мест обработки персональных данных могут достигать сотен миллионов рублей. Вряд ли кто-то в условиях экономического кризиса способен на такой финансовый подвиг.

С начала года Россвязькомнадзор начал активно проводить мероприятия по контролю за деятельностью в сфере защиты персональных данных. Вполне можно ожидать, что ФСТЭК также захочет проверить вопросы обеспечения защиты персональных данных, находящиеся в его компетенции, но сложно ожидать, что государство допустит применение каких-либо серьезных санкций к нарушителям (например, отозвать лицензию у крупного банка и тем самым спровоцировать банковский кризис, приостановить деятельность сети поликлиник, страховой компании и т.п.).

Кроме требований регуляторов на финансирование информационной безопасности большое влияние в последнее время (и это тоже наверняка связано с кризисом) оказывает усиление активности внутренних (инсайдеров) и внешних нарушителей (это и DDos-атаки, и мошенничество с электронными платежами, и написание вирусов и троянов, и многое другое, что может принести быстрый и легкий, но криминальный заработок).

Сравнивать, как у "них" на Западе, где законодательство о персональных данных работает достаточно давно (многие спорные моменты сняты и необходимые требования внедрены, а бизнес работает на основе оценки операционных рисков), с "нами", где все это только еще внедряется (существуют недоработки в законодательстве), тоже, может быть, не очень корректно.

Что касается требований к оборудованию, то кризис рано или поздно закончится, и те компании, которые предпочитают покупать и внедрять качественное оборудование (причем не важно, где оно сделано, у нас или за рубежом), позволяющее в полном объеме решить стоящие перед ним задачи, наверняка останутся в выигрыше. Требования к оборудованию могут предъявляться самые разные, но, на мой взгляд, основным является функциональность, то есть решение всех возлагаемых задач качественно, надежно, независимо от типа и направлений деятельности конкретной организации.

Максим Репин
Специалист ОАО "Концерн "Вега"

Результаты исследования "Приоритеты финансирования задач IT, телеком- и информационной безопасности" свидетельствуют о том, что для 80% представителей российских компаний ключевым фактором, позволяющим обосновывать затраты на информационную безопасность, являются требования регулирующих органов. При этом для 87% организаций подготовка к выполнению требований ФЗ "О персональных данных" - основная статья расходов на информационную безопасность в 2009 г.

Принятие ФЗ "О персональных данных" - это попытка решения группы острейших проблем современной России:

• бесконтрольное распространение приватных сведений и баз данных, содержащих личные записи граждан;
• неуважение к праву на неприкосновенность частной жизни;
• нарушение врачебной тайны и т.д.

Однако нечеткость формулировок закона, непродуманность политики его внедрения и недостаток финансирования сводят на нет все положительные моменты.

В условиях кризиса выполнение требований может лечь неподъемной ношей в первую очередь на бюджетные организации и малый бизнес.

Рассмотрим применение ФЗ на примере одной из наиболее близких к нам областей - медицины.

Наибольший объем данных сосредоточен в регистратуре (в частности, в медицинских картах). В последнее время большинство учреждений этой области переходит на электронный документооборот и автоматизацию регистрации услуг, сохраняя при этом бумажные карты. Соответственно, если с каждым пациентом еще и подписывать договор о персональных данных, объем информации вырастет в 3 раза. Чтобы обеспечить надежную защиту всех данных, необходимы существенные затраты на IT-специалистов, консультантов в области ИБ, техническое оснащение и обучение персонала. Накопленные ранее информационные ресурсы нужно будет классифицировать по широкому спектру критериев (на каком основании они были созданы, каковы их сроки хранения и обработки, какие способы обработки будут применяться). Потребуется назначить ответственных лиц, имеющих доступ к данным, утвердить состав самих данных и их источник, определить процедуры реакции на обращения и оценить возможность соблюдения сроков реагирования. При нынешнем финансировании эта задача, скорее всего, невыполнима. Попытка закрыть глаза на недочеты и недоделки может привести к очень серьезным последствиям, так как многие медицинские данные могут использоваться для шантажа и нанесения преднамеренного вреда здоровью человека.

Серьезные вопросы вызывает и сам закон. Например, в европейском аналоге данного нормативного акта используется термин "автоматическая обработка" персональных данных, а в нашем законе фигурирует словосочетание обработка "с использованием средств автоматизации", а средством автоматизации может считаться даже калькулятор. Эта вольность формулировки влечет за собой сложность толкования статьи 16: "Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы". Вместо разумной защиты от ошибки машины мы получаем ограничение на все виды обработки персональных данных. И это только один из примеров.

В итоге ФЗ-152 становится палкой о двух концах. С одной стороны, закон очень важен для современного общества, а с другой - он может стать очередной бездонной ямой, в которую пойдут деньги организаций, обрабатывающих персональные данные граждан РФ.

---

¹ Эдифакт - правила ООН для электронного обмена данными в управлении, торговле и на транспорте.