|
Окт
05
|
Сегодняшний день мы посвятим организационной части выполнения проекта.
Желательно уделить этому моменту побольше внимания и только после полной определенности всех вопросов переходить к дальнейшим активностям.
С чего начать начинание?
Часто встречаю ситуацию, когда представители службы безопасности или IT-департамента начинают работы по защите персональных данных с написания модели угроз и классификации существующих информационных систем персональных данных. Иногда начинают вести переговоры о закупке сертифицированных регуляторами средствах защиты и т.п. Безусловно, можно поступить и так, но я предлагаю «начинать строить дом с фундамента, а не с закупки шифера».
Возьмем за основу самую распространенную ситуацию – инициатором всей внутренней работы по защите персональных данных оказывается служба информационной безопасности, юридическая служба или IT-служба. В основном люди именно этих подразделений инициируют внутренние активности по реализации требований 152-го закона. Самая первая активность, с которой стоит начинать – это назначение ответственного лица и/или ответственного подразделения.
Следуя старой традиции «Кто придумал, тот и отвечает», скорее всего, сам инициатор и будет руководить проектом.
На тему квалификации ответственного лица можно говорить многое, но с моей точки зрения, ответственное лицо, как минимум, должен:
1) Обладать навыком реальной проектной работы
2) Обладать достаточным «весом» в организации
Что касается официальных вещей. Даже в руководящих документах ФСТЭК есть упоминание о возможности назначения ответственного лица за обеспечение безопасности персональных данных. Честно говоря, мне трудно представить столь отчаянного человека 
, который может взять на себя такую ответственность, например, внутренним приказом. Если в компании формализм стоит на высоком уровне, то приказ желательно делать на структурное подразделение, это нивелирует негативное восприятие конкретного человека.
Если компания крупная, то имеет смысл создать рабочую группу, в которую необходимо включить представителей всех подразделений, участвующих в обработке персональных. Не обязательно включать в рабочую группу руководителей подразделений, самое главное, чтобы люди знали и могли описать процессы обработки персональных данных в конкретном отделе.
Поделюсь опытом.
В одной очень крупной холдинговой структуре еще в 2008 году взяли курс на минимизацию рисков, связанных с законом о персональных данных. Так вот с целью решения этой проблемы каждой компании холдинга было приказано взять в штат по одному сотруднику для выполнения этой задачи. На сегодняшний день уровень готовности всех компании к приходу регуляторов либо очень близок к нулю, либо равен нулю. Дело в том, что сотрудников-то они взяли, но вот ответственного лица не назначили, и рабочую группу не создали.
Ну и самое главное.
Что касается поддержки руководителей организации. Очевидно, что для отрыва большого количества сотрудников от их повседневных обязанностей необходимо заручится поддержкой высшего руководства. Ответственное лицо должен иметь возможность работать с высокой степенью свободы, в противном случае выполнение всех последующих действия окажется невозможным, даже при условии выделения значительных финансовых ресурсов.
10510 . 3828
октября 15, 2009 at 1:27
Купил себе Q5 в новом кузове, хорошая комплектация.
Безупречный автомобиль, нареканий нет.
А что вы предпочитаете? Проверенные временем модели автомобилей или свежие?
[Ответить]
октября 21, 2009 at 10:49
А семинары по данной тематики не проводятся? поделитесь кто знает
[Ответить]
октября 26, 2009 at 13:29
наверно пост просто старый .
[Ответить]
февраля 2, 2010 at 18:41
На дату посмотри
[Ответить]