Практика

Уровень 6 - Тайная канцелярия

На данном уровне необходимо полностью завершить весь процесс разработки пакета организационно-распорядительной документации.

Защита персональных данных – это намного более рутинный процесс, чем, например, антивирусная защита корпоративной сети. Во втором случае нам потребуется буквально одна политика по безопасности и 1-2 инструкции для пользователей/администраторов. Остальная работа будет чисто исследовательской: подсчет объектов сети, анализ возможных источников заражение, сбор данных по статистике заражений, сравнительное тестирование нескольких продуктов различных производителей, анализ ROI и TCO, обмен опытом с коллегами, практические тесты на проникновение и много—много других интересных задач. В случае с персональными данными, все гораздо прагматичнее и тривиальнее: большая часть действий и ритуалов давно придумана за нас, а если мы и захотим привнести что-нибудь новое, то платой за такой «авантюризм» может стать расширенная модель угроз и соответственно затратная по стоимости система защиты.

По текущей ситуации все сводится к тому, что главной задачей защитника персональных данных является не построение безупречной системы защиты, а формирование минимально необходимого комплекта документации. Имея совершенную систему защиты и неполный комплект сопровождающих документов, гораздо больше шансов попасть под штрафные санкции, чем в ситуации с точность до наоборот.

Значит, продолжаем формировать необходимую документацию. На этом этапе нам придется думать за других: за пользователей рабочих станций, подключенных к ИСПДн, за руководителей подразделений, за секретарей и за всех прочих, кто работает с любой входящей корреспонденцией, за специалистов кадровых служб и служб по работе с клиентами. В этой работе есть важный момент, при формировании таких документов не стоит идти проторенной дорогой делегирования полномочий, лучше все сделать самому, ограничиваясь лишь согласованиями с ключевыми лицами.

В обратной ситуации, когда документы для своих подчиненных будут разрабатывать руководители разных подразделений, может случиться так, что количество потенциальных угроз будет увеличиваться в алгебраической прогрессии. Есть простой пример – почти каждому руководителю из соображений эффективности не выгодно , чтобы подчиненные были ограничены в возможности использования "флешек" и других накопителей. Даже из законченного документа некоторые замы при согласовании будут стараться данный пункт исключить, именно поэтому крайне полезно будет не только самостоятельно разрабатывать весь комплект документации, но и заручиться утверждающей визой руководителя перед согласованием. Документов для формирования нам осталось много, но это только на первый взгляд, потому как объем большинства из них не превышает 1-2 страниц формата А4.

Не забываем и про необходимость уведомления субъектов персональных данных об обработке сведений о них. В скором времени эта процедура будет упрощена, но пока обязательно требуется письменное согласие каждого субъекта. Именно поэтому имеет смысл проанализировать все типовые договоры с физическими лицами (сотрудниками, клиентами, партнерами, контрагентами) и убедиться, что в каждом документе предусмотрено получение такого согласия.

На следующем, седьмом, уровне мы закончим прохождение «квеста» по защите персональных данных, закончим и узнаем почему на этом крайнем этапе на самом деле все только-только начинается.

На новый уровень! >>