01.12.2010

Проект по ПДн: определите цели

Многие компании сегодня задумываются о том, что надо бы что-то сделать в части выполнения требований ФЗ-152 и подзаконных актов. А кто-то задумался давно и даже пригласил консультантов для решения этой задачи, но результатом остался недоволен. Почему так произошло? И как не повторять такой ошибки? На мой взгляд ответ прост - оператор ПДн не удосужился определить цели проекта по приведению себя в соответствие с требованиями ФЗ. А ведь цели могут быть совершенно различные и в зависимости от них и результат будет разный и его оценка. Да и консультант (если он выполняет всю работу) тоже может иметь свой взгляд на то, чего от него ждут и какой результат должен быть на выходе.

Какие цели могут быть? Я попробовал выделить наиболее распространенные:
  • Пройти проверку со стороны регуляторов
  • Защититься от юридических и репутационных рисков (иски субъектов, претензии регуляторов)
  • Снизить издержки
  • Привести себя в соответствие с требованиями ФЗ-152
  • Привести себя в соответствие с требованиями головной (зарубежной) организации
  • Генеральный директор приказал
  • А чтобы было! Потому что так надо! А другие ведь делают!

Можно заметить, что целеполагание для казалось бы одной задачи совершенное различное и заранее не определив его, устраивающего всех результата добиться нельзя.

10 коммент.:

tiger-66 комментирует...

ИМХО одно и тоже это.. или все сразу скорее имеет место быть..
Цель -
Генеральный директор приказал... пройти проверку со стороны регуляторов..и чтобы было! Потому что так надо! и другие ведь делают!
Снизить издержки!Т.е. все сделать СВОИМИ силами.. желательно бесплатно..
Вот вам собирательный образ цели.

Алексей Т. комментирует...

Абсолютно согласен с Тигром. А чем реализация ФЗ-152 от прохождения проверок регуляторов отличается? :-) Многие цели надуманы или перефразированы.

tiger-66 комментирует...

>А чем реализация ФЗ-152 от прохождения проверок регуляторов отличается? :-)

Тут предположу,что Алексей имел ввиду что в случае реализации ФЗ 152 вы как бы думаете немного и в сторону защиты прав субъектов ПДн, а при цели Прохождение проверки только защищаетесь от регулятора.

Однако, ИМХО опять же.. считаю, что цели
• Защититься от юридических и репутационных рисков (иски субъектов, претензии регуляторов)
• Привести себя в соответствие с требованиями ФЗ-152

мало кому интересны.. ибо репутация у нас немного стОит, а законность и вовсе только декларируется. Я тут не обобщаю, а беру общий случай.

Алексей Лукацкий комментирует...

Увы, это все из практики. Через "мои руки" прошло около 700 компаний за эти 2 года, которые задумывались о проектах по ПДн и цели у всех были разные.

И о репутации тоже думают, но далеконе все. Но вот иностранные компании - вполне себе в этом русле озабочены.

tiger-66 комментирует...

>Но вот иностранные компании - вполне себе в этом русле озабочены.

Я потому и написал, что не обобщаю ;-). Но это передовые, а на другом фланге есть периферия, где про закон то узнали вчера, причем, думаю таких НЕМАЛО!
Не преувеличиваю ;-) См.
http://ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=1319

Quiet Zone комментирует...

А еще есть цель интересная - защитить персональные данные:) Такая постановка цели на практике не встречалась?;)

Алексей Лукацкий комментирует...

Такой почти не бывает, т.к. защита ПДн - это не нечто новое. Это и так делали многие на протяжении многих лет. И утечек почти не было. Тогда зачем мутить что-то новое?..

Сергей Б комментирует...

Часто бывает так - что в крупных компаниях параллельно идет 2 проекта:
первый - по ПДн чтобы минимальными усилиями и затратами отбиться от Регулятора,

второй проект - по ИБ, в рамках которого защищаются те же ПДн, но уже дополнительными не сертифицированными средствами и мероприятиями, которые соответствуют международным стандартам

magicandy комментирует...

!!!Рацпредложение!!!
Любые персональные данные могут делиться на 2 категории:
- регистрационные данные (ФИО, номер паспорта, ИНН, ...)
- данные, относящиеся к конкретной личности (биометрические данные, заболевания, сведения о личной и жизни и т.д.).

Тема защиты персональных данных 1 категории должна сводиться не столько к защите самих данных, а к созданию условий при которых будет невозможно или очень сложно воспользоваться чужими персональными данным в корыстных целях.
Защитить их от утечки на 100% все равно не удастся, а вот создать условия, когда невозможно будет воспользоваться украденными персональными данными вполне возможно.

Защита персональных данных второй категории действительно нужна и важна, но такие данные встречаются
значительно реже, чем данные первой категории.

Считаю, что в этом направлении и надо двигаться при разработке законодательных актов...

Алексей Лукацкий комментирует...

Ну в США так и сделали