понедельник, 28 марта 2011 г.

Рецепт 1. Общий план мероприятий по защите персональных данных 
Ингридиенты: персональные данные, ваша фирма, лицо ответственное за защиту персональных данных, нормативно-методическая документация.

Способ приготовления:
Тема защиты персональных данных настолько популярная, что просто невозможно избежать соблазна и не написать свое мнение, руководства по данному вопросу выпускают компании даже изначально далекие от защиты информации (например, ЗАО «1С»). 

Совет: не тратьте деньги фирмы на приобретение специализированных учебников, потому что всю необходимую информацию о точках зрения специалистов и неспециалистов можно найти в свободном доступе на различных форумах. А лучше изучайте законодательство, при проверке со стороны регуляторов ссылки на понравившиеся посты с форума будут доказательством менее весомым, чем статья в законе :-)

Теперь о том, почему Вы можете ко мне прислушаться:
    1. Защитой персональных данных на практике я занимаюсь с лета 2009 года, многие кто сейчас дает  советы по персоналке, имеют опыт поменьше и даже не видели ДСПшное четверокнижие :-)
    2. В вечном споре лицензиатов и владельцев ИСПДн понимаю обе стороны, так как раньше работала в органе по аттестации, а теперь в одной из компаний нефтегазовой отрасли. Удивительно, кстати говоря, как меняется мировоззрение человека на вопросы защиты персональных данных в зависимости от того, оказывает ли он платные услуги по внедрению систем защиты. Появилась мечта увидеть в своем почтовом ящике коммерческое предложение по услугам – «сто АРМ за сто рублей», раньше это было моим кошмаром:-) 
    Совет: рассылайте множество запросов на коммерческие предложения в разные города, цены устанавливаются, исходя из жадности лицензиата, и иногда командировочные обходятся дешевле местных. Также обязательно уточняйте, что рассматриваете несколько вариантов, дабы не попасть в графу «те, кому деваться некуда, готовы заплатить сколько скажем» :-)

    Можно, конечно же, перечислять другие заслуги, но хвалить себя нехорошо (а еще я аспирант, ну теперь все :-)), поэтому перейдем наконец-то к плану по защите персональных данных.

    Основные этапы работ следующие:
      1. Разработка формы согласия на обработку ПДн.
      2. Получение согласия на обработку ПДн.
      3. Определение класса и состава ИСПДн.
      4. Подготовка приказа о создании комиссии по классификации ИСПДн.
      5. Подготовка актов о классификации ИСПДн.
      6. Утверждение актов о классификации ИСПДн.
      7. Подготовка перечня общедоступных данных и введение его в действие приказом.
      8. Подготовка и согласование приказа о назначении лиц, ответственных обеспечение режима обработки ПДн.
      9. Ознакомление сотрудников, участвующих в обработке ПДн с положениями и инструкциями.
      10. Подготовка и согласование приказа о введении режима обработки ПДн.
      11. Разработка и утверждение актов декларирования соответствия ИСПДн требованиям безопасности информации.
      12. Разработка моделей угроз безопасности ПДн по требования ФСТЭК и ФСБ.
      13. Утверждение моделей угроз безопасности ПДн.
      14. Разработка частного технического задания на систему защиты.
      15. Утверждение частных технических заданий.
      16. Работа с подрядчиком по поставке, установке и настройке средств защиты.
      17. Разработка и утверждение нормативной документации.
       
      Этапы можно менять местами, что-то делать одновременно, например, пока лицензиат настраивает систему защиты, Вы разрабатываете документы.

       Совет: Сбор согласий и утверждение положений об обработке и защите персональных данных желательно делать как можно раньше. Роскомнадзор в основном волнуют листочки согласия (Регламент проверок, пункт 64.1), а Положение поможет в случае возникновения инциндентов. Так как работы по созданию комплексной системы защиты затягиваются на многие месяцы, в этот период есть вероятность, что кто-то случайно или преднамеренно будет способствовать утечке персональных данных. Утвержденное положение с листом ознакомления всех сотрудников поможет Вам в нелегком деле служебных расследований:-)

      Резюме: Общий план мероприятий готов, подавать начальству с подписями ответственных лиц и указанными сроками.

      3 комментария:

      1. Ксения, очень интересный у Вас стиль :) мне понравилось.
        Только я бы прежде чем разрабатывать форму согласия и тем более эти согласия получать посоветовала убедиться в необходимости получения этих самых согласий.
        А то знаете как бывает, даже с сотрудников берут согласие на обработку ПДн с целью ведения трудовых отношений :)

        ОтветитьУдалить
      2. Спасибо, Анна! Мое мнение - согласие лишним не будет, даже в рамках трудовых отношений возникают ситуации, когда оно может понадобиться. Например, часто обсуждается вопрос с доверенностями и использованием в них персональных данных. Также согласие неплохо бы взять, если часть данных будет передаваться по открытому каналу. В общем у каждого предприятия своя специфика и это может быть темой статьи - что прописать в согласии :)

        ОтветитьУдалить
      3. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации - там прям отлично расписан план!)Его за основу можно взять не только кредитным организациям

        ОтветитьУдалить