Почти 2 года назад вышли поправки в 152-ФЗ, меняющие подход к защите информационных систем персональных данных и требования к системам защиты. Спустя полтора года вышло соответствующее Постановление Правительства. Спустя еще 3 месяца вышли документы ФСТЭК, определяющие правила игры всей отрасли ИБ на ближайшие пару лет. Уже 4 месяц эти документы лежат в Минюсте и неизвестно сколько им ещё там лежать...
Получается классическая для нашей страны ситуация - закон есть, контролер есть, штрафы есть, а требований уже почти 2 года как нет, и когда будут - никто не знает.