Экономика защиты персональных данных

Рассуждая о плюсах и минусах национального законодательства, особенно проводя параллели с западным подходом к защите ПДн, остановимся на некоторых важных моментах.

Изменения в нормативных актах

Стоит отдать должное совместным усилиям ассоциаций, союзов, других организаций, а также работе государственных структур, как бы то ни было, но за последние годы в нормативные акты были внесены значительные изменения. В последней редакции закона убраны избыточные, а часто и невыполнимые требования по уведомлению субъектов ПДн при уничтожении их ПДн, по уведомлению при получении ПДн от третьих лиц, расширен перечень нормативных оснований обработки ПДн без согласия субъектов и т.п. Что касается подзаконных нормативных актов ФСТЭК России, то и здесь имеется значительный прогресс, состав требований в текущем 58-м приказе, по сравнению с пресловутым "четверокнижием", более гармоничен (исключена необходимость аттестации, убраны избыточные требования к антивирусным средствам, более логично выстроены требования для разных классов и т.д.).

Сравним с зарубежным опытом

Существенная разница с европейским подходом и подходом, принятым в США, состоит в том, что зарубежное законодательство, как правило, не определяет жестких требований к системе защиты ПДн, а содержит набор общих рекомендаций. Необязательность требований компенсируется высокими штрафами, а также в первую очередь традиционно высокими суммами возмещения морального ущерба субъектам при нарушении безопасности их ПДн. Как результат, организации, заботящиеся о своем благополучии, добровольно стараются выполнить все имеющиеся рекомендации в целях повышения своих шансов в случае возможных судебных разбирательств. В то же время, если вспомнить российскую специфику, традиционную пассивность населения, низкие штрафы и суммы возмещения морального ущерба, есть опасения полагать, что применение подобного подхода не привело бы к повышению реальной защищенности ПДн, большинство организаций проигнорировали бы законодательные нормы. Тут же стоит заметить, что уровень рекомендаций, выдвигаемый рядом зарубежных стандартов в области построения систем защиты ПДн (например, в NIST SP 800-122 и связанных стандартах), достаточно высок и по объему организационных требований не идет ни в какое сравнение с требованиями того же 58-го приказа. Соответственно совсем не ясно, действительно ли будут выше издержки на защиту ПДн у отечественных компаний по сравнению с иностранными. Таким образом, наличие обязательных, но сравнительно низких требований, вполне возможно, является меньшим из зол.

Что касается множества организационных и организационно-технических мероприятий по ИБ, заложенных в отечественных нормативных требованиях, то они не выглядят чем-то противоречивым: учет активов, контроль эффективности, разработка моделей угроз, обучение или организация разрешительной системы доступа присутствует практически и в любом западном стандарте. Причем по аналогии с инструментами автоматизации процессов внутреннего контроля, которые были разработаны на Западе для обеспечения соответствия SOX и снижения уровня затрат, в России тоже логично ожидать систем такого класса, созданных для автоматизации процедур выполнения требований к процессам обработки и защиты ПДн.

Вывод

Результаты сравнения отечественных и западных нормативных требований не так однозначны. Есть основания полагать, что в области защиты ПДн нормативная база России как минимум по аналогичным требованиям не хуже западной нормативной базы. Грамотный подход к разработке моделей угроз, выбору средств защиты, автоматизации может значительно сократить нагрузку на бизнес, связанную с необходимостью выполнения данных требований.