Все-таки законодательство в области защиты информации такое же эфемерное, как и сама информация.
Жизнь у нас защищается вполне определенно - убивать нельзя. Даже если очень хочется.
Таскать чужие вещи тоже нельзя.
А вот с информацией у нас проблемы.
С одной стороны у нас конституция, которая позволяет свободно собирать информацию, накапливать, хоть тоннами.
С другой стороны у нас частная и интеллектуальная собственность, с которой владелец может делать все что угодно, то есть запрещать к ней доступ. А с третьей стороны у нас закон 149, об информации, информационных технологиях и о защите информации, который намекает, что если в учреждении не введен режим коммерческой тайны, то ничего конфиденциального у вас нет.
Дальше. Положим, вы - государственный университет. Вы не гос. орган, это значит, что вы не можете ставить на свои документы "Для служебного пользования". Вы не на службе. Но вы не коммерческая организация, вы тут не торгуете, поэтому и не "Коммерческая тайна". У вас - загадочно и как бы невзначай - "Конфиденциально" - гриф, которого не существует.
Создавая хоть какую-нибудь систему защиты информации в достаточно крупной организации, не попадающей под строго регламентированные пласты, такие, как государственная или коммерческая тайна, я столкнулась с проблемой согласования документов между собой и с существующей схемой работы, и, как следствие, исполнением. Огромный административный айсберг, раздутый штат - все это инертно и привыкло работать так, как было. Новые порядки оно не понимает, не выполняет, и извращает по-своему. Поэтому документы приходится писать как для идиотов (я понимаю, что для людей, которые не в теме, эти вещи не очевидны, так же как для меня другие, тапками не кидаться).
А законодательство у нас написано по принципу: разберутся сами.
А когда разбираются сами, то возникают перегибы палок, особые мнения, индивидуальные чтения и прочее. И пока вся эта система добирается до конечных пользователей, все это выглядит совсем не так, как предполагалось изначально.
Вот возьмем формулировку ФЗ 152: Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу. В переводе на русский язык это значит - сведения, позволяющие однозначно идентифицировать человека. Перенесемся в мой родной трассовый поселок с населением 2000 человек. Пишем на листке: п.Хулимсунт, Иванов Иван Иванович, 1957г. Всё, других таких тут нет. Мы его однозначно идентифицировали. Делаем то же самое для Москвы. И что?
Как на основании этой формулировки в законе определить минимальный состав сведений, который нужно защищать? Поэтому защищаем все, вплоть до перечня студентов на распечатке из деканата. Преподавательский состав в недоумении. Я впрочем солидарна. И контролирующие органы наверняка тоже изумятся.
В общем, защищать информацию сложно с точки зрения её виртуальности, относительности, и странных законов. Думаю, законы нужно бы писать так же, как инструкции по использованию, ну или хотя бы в половину так же детализированно. Как для идиотов. А если нужна гибкость, то есть алгоритмы "если____, то ____". Это проще реализовать, и это проще проверить. А пока что - обкладываемся "Гарантом", "Консультантом", кофе с темным шоколадом, и вперед, к безопасности этого, эфемерного!