Проект по ПДн: определите цели

Многие компании сегодня задумываются о том, что надо бы что-то сделать в части выполнения требований ФЗ-152 и подзаконных актов. А кто-то задумался давно и даже пригласил консультантов для решения этой задачи, но результатом остался недоволен. Почему так произошло? И как не повторять такой ошибки? На мой взгляд ответ прост — оператор ПДн не удосужился определить цели проекта по приведению себя в соответствие с требованиями ФЗ. А ведь цели могут быть совершенно различные и в зависимости от них и результат будет разный и его оценка. Да и консультант (если он выполняет всю работу) тоже может иметь свой взгляд на то, чего от него ждут и какой результат должен быть на выходе.

Какие цели могут быть? Я попробовал выделить наиболее распространенные:

  • Пройти проверку со стороны регуляторов
  • Защититься от юридических и репутационных рисков (иски субъектов, претензии регуляторов)
  • Снизить издержки
  • Привести себя в соответствие с требованиями ФЗ-152
  • Привести себя в соответствие с требованиями головной (зарубежной) организации
  • Генеральный директор приказал
  • А чтобы было! Потому что так надо! А другие ведь делают!

Можно заметить, что целеполагание для казалось бы одной задачи совершенное различное и заранее не определив его, устраивающего всех результата добиться нельзя.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    ИМХО одно и тоже это.. или все сразу скорее имеет место быть..
    Цель —
    Генеральный директор приказал… пройти проверку со стороны регуляторов..и чтобы было! Потому что так надо! и другие ведь делают!
    Снизить издержки!Т.е. все сделать СВОИМИ силами.. желательно бесплатно..
    Вот вам собирательный образ цели.

    Ответить
  2. Алексей Т.

    Абсолютно согласен с Тигром. А чем реализация ФЗ-152 от прохождения проверок регуляторов отличается? 🙂 Многие цели надуманы или перефразированы.

    Ответить
  3. Анонимный

    >А чем реализация ФЗ-152 от прохождения проверок регуляторов отличается? 🙂

    Тут предположу,что Алексей имел ввиду что в случае реализации ФЗ 152 вы как бы думаете немного и в сторону защиты прав субъектов ПДн, а при цели Прохождение проверки только защищаетесь от регулятора.

    Однако, ИМХО опять же.. считаю, что цели
    • Защититься от юридических и репутационных рисков (иски субъектов, претензии регуляторов)
    • Привести себя в соответствие с требованиями ФЗ-152

    мало кому интересны.. ибо репутация у нас немного стОит, а законность и вовсе только декларируется. Я тут не обобщаю, а беру общий случай.

    Ответить
  4. Алексей Лукацкий

    Увы, это все из практики. Через "мои руки" прошло около 700 компаний за эти 2 года, которые задумывались о проектах по ПДн и цели у всех были разные.

    И о репутации тоже думают, но далеконе все. Но вот иностранные компании — вполне себе в этом русле озабочены.

    Ответить
  5. Анонимный

    >Но вот иностранные компании — вполне себе в этом русле озабочены.

    Я потому и написал, что не обобщаю ;-). Но это передовые, а на другом фланге есть периферия, где про закон то узнали вчера, причем, думаю таких НЕМАЛО!
    Не преувеличиваю 😉 См.
    http://ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=1319

    Ответить
  6. Quiet Zone

    А еще есть цель интересная — защитить персональные данные:) Такая постановка цели на практике не встречалась?;)

    Ответить
  7. Алексей Лукацкий

    Такой почти не бывает, т.к. защита ПДн — это не нечто новое. Это и так делали многие на протяжении многих лет. И утечек почти не было. Тогда зачем мутить что-то новое?..

    Ответить
  8. Сергей Борисов

    Часто бывает так — что в крупных компаниях параллельно идет 2 проекта:
    первый — по ПДн чтобы минимальными усилиями и затратами отбиться от Регулятора,

    второй проект — по ИБ, в рамках которого защищаются те же ПДн, но уже дополнительными не сертифицированными средствами и мероприятиями, которые соответствуют международным стандартам

    Ответить
  9. magicandy

    !!!Рацпредложение!!!
    Любые персональные данные могут делиться на 2 категории:
    — регистрационные данные (ФИО, номер паспорта, ИНН, …)
    — данные, относящиеся к конкретной личности (биометрические данные, заболевания, сведения о личной и жизни и т.д.).

    Тема защиты персональных данных 1 категории должна сводиться не столько к защите самих данных, а к созданию условий при которых будет невозможно или очень сложно воспользоваться чужими персональными данным в корыстных целях.
    Защитить их от утечки на 100% все равно не удастся, а вот создать условия, когда невозможно будет воспользоваться украденными персональными данными вполне возможно.

    Защита персональных данных второй категории действительно нужна и важна, но такие данные встречаются
    значительно реже, чем данные первой категории.

    Считаю, что в этом направлении и надо двигаться при разработке законодательных актов…

    Ответить
  10. Алексей Лукацкий

    Ну в США так и сделали

    Ответить