Pages - Menu

Страницы

1.12.10

Проект по ПДн: определите цели

Многие компании сегодня задумываются о том, что надо бы что-то сделать в части выполнения требований ФЗ-152 и подзаконных актов. А кто-то задумался давно и даже пригласил консультантов для решения этой задачи, но результатом остался недоволен. Почему так произошло? И как не повторять такой ошибки? На мой взгляд ответ прост - оператор ПДн не удосужился определить цели проекта по приведению себя в соответствие с требованиями ФЗ. А ведь цели могут быть совершенно различные и в зависимости от них и результат будет разный и его оценка. Да и консультант (если он выполняет всю работу) тоже может иметь свой взгляд на то, чего от него ждут и какой результат должен быть на выходе.

Какие цели могут быть? Я попробовал выделить наиболее распространенные:
  • Пройти проверку со стороны регуляторов
  • Защититься от юридических и репутационных рисков (иски субъектов, претензии регуляторов)
  • Снизить издержки
  • Привести себя в соответствие с требованиями ФЗ-152
  • Привести себя в соответствие с требованиями головной (зарубежной) организации
  • Генеральный директор приказал
  • А чтобы было! Потому что так надо! А другие ведь делают!

Можно заметить, что целеполагание для казалось бы одной задачи совершенное различное и заранее не определив его, устраивающего всех результата добиться нельзя.

10 комментариев:

  1. ИМХО одно и тоже это.. или все сразу скорее имеет место быть..
    Цель -
    Генеральный директор приказал... пройти проверку со стороны регуляторов..и чтобы было! Потому что так надо! и другие ведь делают!
    Снизить издержки!Т.е. все сделать СВОИМИ силами.. желательно бесплатно..
    Вот вам собирательный образ цели.

    ОтветитьУдалить
  2. Абсолютно согласен с Тигром. А чем реализация ФЗ-152 от прохождения проверок регуляторов отличается? :-) Многие цели надуманы или перефразированы.

    ОтветитьУдалить
  3. >А чем реализация ФЗ-152 от прохождения проверок регуляторов отличается? :-)

    Тут предположу,что Алексей имел ввиду что в случае реализации ФЗ 152 вы как бы думаете немного и в сторону защиты прав субъектов ПДн, а при цели Прохождение проверки только защищаетесь от регулятора.

    Однако, ИМХО опять же.. считаю, что цели
    • Защититься от юридических и репутационных рисков (иски субъектов, претензии регуляторов)
    • Привести себя в соответствие с требованиями ФЗ-152

    мало кому интересны.. ибо репутация у нас немного стОит, а законность и вовсе только декларируется. Я тут не обобщаю, а беру общий случай.

    ОтветитьУдалить
  4. Увы, это все из практики. Через "мои руки" прошло около 700 компаний за эти 2 года, которые задумывались о проектах по ПДн и цели у всех были разные.

    И о репутации тоже думают, но далеконе все. Но вот иностранные компании - вполне себе в этом русле озабочены.

    ОтветитьУдалить
  5. >Но вот иностранные компании - вполне себе в этом русле озабочены.

    Я потому и написал, что не обобщаю ;-). Но это передовые, а на другом фланге есть периферия, где про закон то узнали вчера, причем, думаю таких НЕМАЛО!
    Не преувеличиваю ;-) См.
    http://ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=1319

    ОтветитьУдалить
  6. А еще есть цель интересная - защитить персональные данные:) Такая постановка цели на практике не встречалась?;)

    ОтветитьУдалить
  7. Такой почти не бывает, т.к. защита ПДн - это не нечто новое. Это и так делали многие на протяжении многих лет. И утечек почти не было. Тогда зачем мутить что-то новое?..

    ОтветитьУдалить
  8. Часто бывает так - что в крупных компаниях параллельно идет 2 проекта:
    первый - по ПДн чтобы минимальными усилиями и затратами отбиться от Регулятора,

    второй проект - по ИБ, в рамках которого защищаются те же ПДн, но уже дополнительными не сертифицированными средствами и мероприятиями, которые соответствуют международным стандартам

    ОтветитьУдалить
  9. !!!Рацпредложение!!!
    Любые персональные данные могут делиться на 2 категории:
    - регистрационные данные (ФИО, номер паспорта, ИНН, ...)
    - данные, относящиеся к конкретной личности (биометрические данные, заболевания, сведения о личной и жизни и т.д.).

    Тема защиты персональных данных 1 категории должна сводиться не столько к защите самих данных, а к созданию условий при которых будет невозможно или очень сложно воспользоваться чужими персональными данным в корыстных целях.
    Защитить их от утечки на 100% все равно не удастся, а вот создать условия, когда невозможно будет воспользоваться украденными персональными данными вполне возможно.

    Защита персональных данных второй категории действительно нужна и важна, но такие данные встречаются
    значительно реже, чем данные первой категории.

    Считаю, что в этом направлении и надо двигаться при разработке законодательных актов...

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.