Мобильный телефон как средство обработки персональных данных

Начнем с исходных данных. Возьмем мой смартфон Nokia E61i. В нем есть (помимо всего прочего) телефонная книжка с персональными данными моих коллег по работе, а также руководителей служб ИБ разных компаний, с которыми я общаюсь и которые работают в разных регионах нашей необъятной Родины. Число таких контактов невелико - всего 2-3 сотни. Теперь посмотрим, что это значит для меня с точки зрения закона "О персональных данных".

1. Мой телефон является ИСПДн, которую можно отнести к разряду однопользовательских.

2. Личными и семейными нуждами пользование телефона не ограничивается.

3. Класс данной ИСПДн вычисляется как функция от объема ПДн и категории ПДн. Значение объема для меня будет не 3, как можно было бы предположить (менее 1000 субъектов ПДн), а 1, т.к. эти субъекты разбросаны по разным субъектам РФ. Категория будет вторая. Таким образом, итоговый класс моей ИСПДн будет К1.

4. Что я должен сделать для защиты своей ИСПДн? Немало. Я должен:
- защищать как сами ПДн в телефонной книжке, так и все телефонные переговоры с субъектами ПДн. Причем последнее должно выполняться сертифицированными средствами криптографической защиты информации
- средства защиты моего телефона должны иметь сертификат ФСТЭК
- ПО моего телефона (как минимум телефонная книжка) должно быть сертифицировано на отсутствие недекларированных возможностей
- провести аттестацию своего телефона
- иметь лицензию ФСБ на шифрование (ведь я обязан шифровать ПДн)
- иметь на телефоне IDS, обнаруживающие аномалии
- иметь МСЭ 3-го класса
- реализовать замкнутую программную среду
- автоматически идентифицировать и аутентифицировать аппаратные составляющие моего телефона
- реализовать ролевое управление системой защиты своего телефона
- контролировать информационные потоки к системе защиты своего телефона
- очищать оперативную память после завершения работы с ПДн
- маркировать и регистрировать все печатаемые с телефона данные (а посылать на печать он умеет)
- автоматически контролировать корректность работы аппаратных частей телефона
- реализовать автоматичесую проверку на наличие ПМВ при импорте в ИСПДн всех программных средств, которые могут содержать ВП, путем проверочной их активизации в специальной изолированной виртуальной среде, моделирующей среду ИСПДн, с анализом их кода методами трассировки и отладки непосредственно во время активного состояния программных средств
- установить на телефон Honeypot
- идентифицировать и аутентифицировать вход в систему защиты, а также любую операцию управления
- регистрировать запуск/останов работы всех подсистем системы защиты
- регистрация каждой операции управления системой защиты
- установить на телефон поведенческую HIPS
- автоматически блокировать обнаруженные атаки
- контролировать целостность системы защиты, ее обновлений и компонентов
- обеспечить физическую охрану телефона
- регулярно сканировать телефон на предмет наличия в нем уязвимостей
- иметь второй телефон с копией системы защиты для ее периодического обновления и контроля работоспособности
- и еще по мелочи...

5. Что у меня все-таки реализовано:
- блокирование терминала после заданного интервала неактивности
- антивирусный контроль
- идентификация при входе в телефон по паролю условно-постоянного действия не короче 6 символов.

И как позвольте все это выполнить? А ведь у меня смартфон еще из продвинутых и я, по идее, могу на него поставить какие-нибудь защитные системы (если бы они существовали в природе). А что делать пользователям обычных телефонов?