Многие компании сегодня задумываются о том, что надо бы что-то сделать в части выполнения требований ФЗ-152 и подзаконных актов. А кто-то задумался давно и даже пригласил консультантов для решения этой задачи, но результатом остался недоволен. Почему так произошло? И как не повторять такой ошибки? На мой взгляд ответ прост - оператор ПДн не удосужился определить цели проекта по приведению себя в соответствие с требованиями ФЗ. А ведь цели могут быть совершенно различные и в зависимости от них и результат будет разный и его оценка. Да и консультант (если он выполняет всю работу) тоже может иметь свой взгляд на то, чего от него ждут и какой результат должен быть на выходе.
Какие цели могут быть? Я попробовал выделить наиболее распространенные:
- Пройти проверку со стороны регуляторов
- Защититься от юридических и репутационных рисков (иски субъектов, претензии регуляторов)
- Снизить издержки
- Привести себя в соответствие с требованиями ФЗ-152
- Привести себя в соответствие с требованиями головной (зарубежной) организации
- Генеральный директор приказал
- А чтобы было! Потому что так надо! А другие ведь делают!
Можно заметить, что целеполагание для казалось бы одной задачи совершенное различное и заранее не определив его, устраивающего всех результата добиться нельзя.
ИМХО одно и тоже это.. или все сразу скорее имеет место быть..
ОтветитьУдалитьЦель -
Генеральный директор приказал... пройти проверку со стороны регуляторов..и чтобы было! Потому что так надо! и другие ведь делают!
Снизить издержки!Т.е. все сделать СВОИМИ силами.. желательно бесплатно..
Вот вам собирательный образ цели.
Абсолютно согласен с Тигром. А чем реализация ФЗ-152 от прохождения проверок регуляторов отличается? :-) Многие цели надуманы или перефразированы.
ОтветитьУдалить>А чем реализация ФЗ-152 от прохождения проверок регуляторов отличается? :-)
ОтветитьУдалитьТут предположу,что Алексей имел ввиду что в случае реализации ФЗ 152 вы как бы думаете немного и в сторону защиты прав субъектов ПДн, а при цели Прохождение проверки только защищаетесь от регулятора.
Однако, ИМХО опять же.. считаю, что цели
• Защититься от юридических и репутационных рисков (иски субъектов, претензии регуляторов)
• Привести себя в соответствие с требованиями ФЗ-152
мало кому интересны.. ибо репутация у нас немного стОит, а законность и вовсе только декларируется. Я тут не обобщаю, а беру общий случай.
Увы, это все из практики. Через "мои руки" прошло около 700 компаний за эти 2 года, которые задумывались о проектах по ПДн и цели у всех были разные.
ОтветитьУдалитьИ о репутации тоже думают, но далеконе все. Но вот иностранные компании - вполне себе в этом русле озабочены.
>Но вот иностранные компании - вполне себе в этом русле озабочены.
ОтветитьУдалитьЯ потому и написал, что не обобщаю ;-). Но это передовые, а на другом фланге есть периферия, где про закон то узнали вчера, причем, думаю таких НЕМАЛО!
Не преувеличиваю ;-) См.
http://ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=1319
А еще есть цель интересная - защитить персональные данные:) Такая постановка цели на практике не встречалась?;)
ОтветитьУдалитьТакой почти не бывает, т.к. защита ПДн - это не нечто новое. Это и так делали многие на протяжении многих лет. И утечек почти не было. Тогда зачем мутить что-то новое?..
ОтветитьУдалитьЧасто бывает так - что в крупных компаниях параллельно идет 2 проекта:
ОтветитьУдалитьпервый - по ПДн чтобы минимальными усилиями и затратами отбиться от Регулятора,
второй проект - по ИБ, в рамках которого защищаются те же ПДн, но уже дополнительными не сертифицированными средствами и мероприятиями, которые соответствуют международным стандартам
!!!Рацпредложение!!!
ОтветитьУдалитьЛюбые персональные данные могут делиться на 2 категории:
- регистрационные данные (ФИО, номер паспорта, ИНН, ...)
- данные, относящиеся к конкретной личности (биометрические данные, заболевания, сведения о личной и жизни и т.д.).
Тема защиты персональных данных 1 категории должна сводиться не столько к защите самих данных, а к созданию условий при которых будет невозможно или очень сложно воспользоваться чужими персональными данным в корыстных целях.
Защитить их от утечки на 100% все равно не удастся, а вот создать условия, когда невозможно будет воспользоваться украденными персональными данными вполне возможно.
Защита персональных данных второй категории действительно нужна и важна, но такие данные встречаются
значительно реже, чем данные первой категории.
Считаю, что в этом направлении и надо двигаться при разработке законодательных актов...
Ну в США так и сделали
ОтветитьУдалить