поправки, принятые в 2015 году, они обязали операторов перевести хранение персональных данных на физические носители, расположенные в пределах страны [36]. В проектах «Цифровой Экономики» данный вопрос является составной частью обеспечения цифрового суверенитета – еще одной декларируемой цели в программных документах.
Логично предположить, что с ужесточением законодательства хранение персональных данных стало значимым риском в разработке ПО, требующим дополнительных затрат ресурсов. Также следует предположить, что заказчики информационных систем также уделяют данному вопросу повышенное внимание, усложняя собственные требования и управляя соответствующими рисками. Исследования подтверждают данное предположение (Таблица 5): затраты на соответствие регулятивным нормам растут. Таким образом, к 2021 году российское регулирование в области хранения и обработки персональных данных получило значительный отклик в реальных усилиях команд в отрасли. Требования к программному обеспечению становятся более жёсткими, требуемое внимание команд разработки на их соблюдение возрастает, что потенциально может стать новым конкурентным преимуществом, на самом деле расширяя понятие «информационная безопасность».
Таблица 5 – Рост внимания и затрат при обработке персональных данных
Еще одна актуальная проблема в обеспечении цифрового суверенитета – это регулирование утечек бизнес-данных. Утечки бизнес-данных сопровождают все экономики в мире, частым явлением они стали и для России. Несмотря на соответствующие статьи Уголовного Кодекса и многочисленные административные судебные дела исследование [30] показывает, что почти половина экспертов не отмечает усложнение требований заказчика и рост дополнительных усилий команд разработчиков по обеспечению защиты информационных систем от утечек данных за последние 2—3 года. С одной стороны это означает, что информационная безопасность на уровне программного обеспечения уже достигла высокого уровня, но может быть повышена на других уровнях – уровне физических носителей, бизнес-процессов, корпоративной дисциплины. С другой стороны, возможно в данном вопросе необходимо повышение гражданской и юридической ответственности руководителей сервисов и учреждений, хранящих данные, а главное – неминуемость наказания для лиц, допускающих соответствующие утечки.
Также описываемые исследования показали существенное расхождение между практикой и опытом экспертов, непосредственно разрабатывающих ПО, и некоторыми целевыми декларациями от чиновников и национальных регуляторов. Так, импортозамещение системного ПО, базовых технологий, прикладного ПО и бизнес-приложений не вышло за рамки официальных государственных и муниципальных конкурсов, лихорадочных и точечных замен в государственных корпорациях. Это означает, что предпринимаемые методы реализации импортозамещения