Проект по ПДн: определите результат заранее

Проект по ПДн: определите результат заранее
Вчера мы рассмотрели вопрос с определением цели проекта по приведению в соответствие с требованиями ФЗ-152. Но этого недостаточно для успешного завершения. Мало знать, ради чего мы все это затеваем; надо знать, что мы хотим получить на выходе. И тут тоже варианты могут быть совершенно различные. Причем, исходя из моего опыта, участия в разных проектах по ПДн, с начала запуска проекта многие результаты, которые надо получить, "не видны" или о них никто не задумывается. Итак, что может быть результатом (и, как следствие, предметом договора с консультантом): Рекомендации по приведению вас в соответствие с ФЗ-152. Данный результат включает в себя обследование организации, анализ процессов и используемых ПДн, и последующая разработка "куды бечь". Но "бечь" уже будет сама организация.Набор шаблонов документов, демонстрируемых проверяемым. Несмотря на бесполезность данного результата, он нередок в проектах по ПДн. Хотя какой смысл платить за то, что можно скачать из Интернет бесплатно?Набор документов под вас. Гораздо интереснее шаблоны переделать специально под конкретную организацию, с учетом ее специфики. Правда внедрять документы все равно приходится самостоятельно.Внедрение рекомендацийОбучение персонала. Один из любимых трюков проверяющих - остановить в организации первого встречного и спросить у него, знает ли он, что имеет доступ к ПДн и знает ли он, как надо защищить права субъектов? Обычно они не знают. И в акт проверки пишется большой и жирный минус. Мало разработать рекомендации и документы и внедрить их - надо еще и персонал обучить тому, что было сделано и что отвечать на вопросы регуляторов.Прохождение проверки. И хотя ответственность за невыполнение ФЗ-152 всегда несет оператор ПДн (заказчик проекта) он может хотеть, чтобы консультант сопровождал его и во время проверок регуляторов. Нужно это для того, чтобы консультант по ходу проверки мог объяснять те или иные свои рекомендации.Поддержка и обновление. Этот пункт тоже важен, но только для тех, кто реально заботится о своем соответствии законодательству о ПДн, но не имеет возможности отслеживать последние изменения в нормативной базе. Этот этап и нужен для этой решения этой задачи.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!