Вчера мы рассмотрели вопрос с определением цели проекта по приведению в соответствие с требованиями ФЗ-152. Но этого недостаточно для успешного завершения. Мало знать, ради чего мы все это затеваем; надо знать, что мы хотим получить на выходе. И тут тоже варианты могут быть совершенно различные. Причем, исходя из моего опыта, участия в разных проектах по ПДн, с начала запуска проекта многие результаты, которые надо получить, «не видны» или о них никто не задумывается.
Итак, что может быть результатом (и, как следствие, предметом договора с консультантом):
- Рекомендации по приведению вас в соответствие с ФЗ-152. Данный результат включает в себя обследование организации, анализ процессов и используемых ПДн, и последующая разработка «куды бечь». Но «бечь» уже будет сама организация.
- Набор шаблонов документов, демонстрируемых проверяемым. Несмотря на бесполезность данного результата, он нередок в проектах по ПДн. Хотя какой смысл платить за то, что можно скачать из Интернет бесплатно?
- Набор документов под вас. Гораздо интереснее шаблоны переделать специально под конкретную организацию, с учетом ее специфики. Правда внедрять документы все равно приходится самостоятельно.
- Внедрение рекомендаций
- Обучение персонала. Один из любимых трюков проверяющих — остановить в организации первого встречного и спросить у него, знает ли он, что имеет доступ к ПДн и знает ли он, как надо защищить права субъектов? Обычно они не знают. И в акт проверки пишется большой и жирный минус. Мало разработать рекомендации и документы и внедрить их — надо еще и персонал обучить тому, что было сделано и что отвечать на вопросы регуляторов.
- Прохождение проверки. И хотя ответственность за невыполнение ФЗ-152 всегда несет оператор ПДн (заказчик проекта) он может хотеть, чтобы консультант сопровождал его и во время проверок регуляторов. Нужно это для того, чтобы консультант по ходу проверки мог объяснять те или иные свои рекомендации.
- Поддержка и обновление. Этот пункт тоже важен, но только для тех, кто реально заботится о своем соответствии законодательству о ПДн, но не имеет возможности отслеживать последние изменения в нормативной базе. Этот этап и нужен для этой решения этой задачи.
Алексей, очень правильные вещи обозначили в этом и предыдущем посте. Но со своей стороны (как консультант) добавлю, что еще очень важно выработать правильную схему (формат) взаимодействия с консультантом и активно вовлечь в проект собственную команду. Чуть более подробно свои мысли на этот счет я изложил в своем блоге.
Ну это при условии, что работы будет выполнять консультант. Что бывает не всегда.