02.12.2010

Проект по ПДн: определите результат заранее

Вчера мы рассмотрели вопрос с определением цели проекта по приведению в соответствие с требованиями ФЗ-152. Но этого недостаточно для успешного завершения. Мало знать, ради чего мы все это затеваем; надо знать, что мы хотим получить на выходе. И тут тоже варианты могут быть совершенно различные. Причем, исходя из моего опыта, участия в разных проектах по ПДн, с начала запуска проекта многие результаты, которые надо получить, "не видны" или о них никто не задумывается.

Итак, что может быть результатом (и, как следствие, предметом договора с консультантом):
  • Рекомендации по приведению вас в соответствие с ФЗ-152. Данный результат включает в себя обследование организации, анализ процессов и используемых ПДн, и последующая разработка "куды бечь". Но "бечь" уже будет сама организация.
  • Набор шаблонов документов, демонстрируемых проверяемым. Несмотря на бесполезность данного результата, он нередок в проектах по ПДн. Хотя какой смысл платить за то, что можно скачать из Интернет бесплатно?
  • Набор документов под вас. Гораздо интереснее шаблоны переделать специально под конкретную организацию, с учетом ее специфики. Правда внедрять документы все равно приходится самостоятельно.
  • Внедрение рекомендаций
  • Обучение персонала. Один из любимых трюков проверяющих - остановить в организации первого встречного и спросить у него, знает ли он, что имеет доступ к ПДн и знает ли он, как надо защищить права субъектов? Обычно они не знают. И в акт проверки пишется большой и жирный минус. Мало разработать рекомендации и документы и внедрить их - надо еще и персонал обучить тому, что было сделано и что отвечать на вопросы регуляторов.
  • Прохождение проверки. И хотя ответственность за невыполнение ФЗ-152 всегда несет оператор ПДн (заказчик проекта) он может хотеть, чтобы консультант сопровождал его и во время проверок регуляторов. Нужно это для того, чтобы консультант по ходу проверки мог объяснять те или иные свои рекомендации.
  • Поддержка и обновление. Этот пункт тоже важен, но только для тех, кто реально заботится о своем соответствии законодательству о ПДн, но не имеет возможности отслеживать последние изменения в нормативной базе. Этот этап и нужен для этой решения этой задачи.

2 коммент.:

Александр Бондаренко комментирует...

Алексей, очень правильные вещи обозначили в этом и предыдущем посте. Но со своей стороны (как консультант) добавлю, что еще очень важно выработать правильную схему (формат) взаимодействия с консультантом и активно вовлечь в проект собственную команду. Чуть более подробно свои мысли на этот счет я изложил в своем блоге.

Алексей Лукацкий комментирует...

Ну это при условии, что работы будет выполнять консультант. Что бывает не всегда.