Между буквой и духом законов: как международной компании защитить ПДн клиентов и избежать санкций

[nin-jin]

А если без воды, то что именно нужно делать, чтобы к тебе не докопались регуляторы? Ответ типа "почитай, проконсультируйся и набей все шишки сам" - и так очевиден.

[Shaman_RSHU]

Правильная же картинка. Нужно куча мукулатуры (применительно к 162-ФЗ), т.к. если по факту защита обеспечивается, но не зафиксирована в документах, то это регуляторов не устроит. А вот если всё красиво описано в документах, но не предусмотрено предотвращение всех угроз, то тут есть шанс, что не докопаются.

А про утечки - это вообще не про наши требования. Тут немного другие вектора атак и другие методы защиты, которые нормативными документами наших регуляторов почти не предусмотрены.