Продолжаю краткий анализ существующих рекомендаций по приведению себя в соответствие с ФЗ-152. Теперь настал черед
рекомендаций клуба 4CIO. У них получилась этакая сводка ключевых фактов по данной теме - основные понятия, регуляторы, наказание, законодательство и т.п. Но очевидно, что авторы рекомендаций не сильно погружались в тему, т.к. никакого серьезного анализа законодательства, требований регуляторов... И никакого критического анализа, попыток найти способы оптимизации своих усилий.
Рекомендации классические - классификация ИСПДн, изучение документов ФСТЭК, построение модели угроз, реализация защитных мер, уведомление РКН. Правда, не говорится, как построить модель, как правильно классифицировать ИСПДн или понизить класс, как уйти от параноидальных требований по защите, изложенных в первой версии четверокнижия... Перечень внутренних документов, которые должны быть "по теме" меньше нужного в 4 раза ;-(
А вот дальше уже интереснее. Идет раздел, в котором аккумулированы мнения ИТ-директоров различных компаний. Вот здесь есть, что посмотреть и почитать ;-) Написано и про аппетит интеграторов, и про нежелание тратить деньги в кризис, и про "секретность" документов ФСТЭК. Потом идет парафраз о "пользе" сертифицированного ПО.
В качестве приложений приведен список интеграторов, занимающихся ПДн, список сертифицированного ПО и оборудования и контакты регуляторов.