Данная статья посвящена различным видам сервисов автоматического формирования комплекта внутренних документов организации по защите персональных данных на основе некоторой информации, введенной пользователем.
Если честно, изначально это был гневный пост. Меня раздражала информация, полученная по личным каналам, о том, что представители одной из этих служб посещают главных врачей медицинских учреждений города, где я живу, и угрожают мне прокуратурой и наказанием за нарушение закона «О персональных данных», если я отказаться от подписки на такую услугу.
.
Но вмешался случай – в процессе написания статьи возникли неотложные дела.
И все сочинения, которые были готовы на тот момент, были отправлены на черновики на неделю.
За это время пар немного выпустился и теперь я попытаюсь спокойно объяснить, почему подобные сервисы не обеспечат должное качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и на В конце дам ссылку на какую-то сборную мешанину из одних и тех же документов.
Проблема №1. Введение клиента в заблуждение Ложь
Здесь, наверное, стоит сразу начать с примеров.На одном из сайтов на первой странице написано, что максимальный штраф за нарушение правил обработки персональных данных составляет 300 000 рублей.
Это не верно.
На данный момент статья 13.11 КоАП РФ предусматривает максимальный размер штрафа для юридических лиц в размере 10 тысяч рублей.
Здесь, судя по всему, речь идет о законопроекте №683952-6, который предусматривает расширение статьи 13.11 КоАП и фактически увеличивает максимальный размер штрафа до 300 000 рублей, однако осенью прошлого года законопроект прошел первое чтение и был приостановленный.
И будет ли он принят окончательно, неизвестно.
Вывод: авторы сайта либо не в курсе ситуации, либо сознательно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже нехорошо.
Второй пример: другой сервис торжественно обещает своими документами успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных.
Во-первых, сервис не генерирует такой важный документ, как «Модель угроз», которую требует показать даже Роскомнадзор, а без него невозможно успешно пройти даже документальную проверку.
Во-вторых, ФСТК и ФСБ проверяют гораздо больше, чем просто бумажки.
В-третьих, я уже писал в своей старой статье что в некоторых регионах (не во всех) действует палочная система и успешно пройти тест не удается, как бы мы к нему ни готовились.
Проблема №2: Отсутствие кастомизации
Конечно, практически все сервисы по подготовке комплекта документов расскажут вам о гибкой персонализации комплекта документов конкретно под вас, но это утверждение вполне можно было бы привести в качестве третьего примера проблемы №1. Честно говоря, я сам в свое время написал подобный шаблонный «наполнитель» на Java, но в моей работе он как-то не прижился; лучшее, что можно сделать, это автоматически вписывать в документы название организации и другие часто повторяющиеся вещи.И вот почему – если целью является написание качественной документации, то писать ее придется вручную, учитывая все особенности как бизнес-процессов организации, так и особенности ИТ-платформы, на которой хранится информация о персональных данных.
система построена.
В моей работе, как правило, именно такая задача и стоит, а для тех, кому нужно «выйти из-под контроля», предоставляем набор шаблонов ниже.
Бесплатно.
Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее.
Объясню, почему шаблонные «наполнители» не помогут при разработке полного и полезного набора документов.
Возьмем, к примеру, важный и полезный документ «Инструкция администратора безопасности».
Конечно, когда документ создается для показухи, в нем много болтовни и очень мало конкретики.
Если мы делаем полноценный документ, нам необходимо описать все обязанности и действия администратора безопасности в зависимости от условий эксплуатации информационной системы персональных данных.
И тут оказывается, что на содержание документа влияет огромное количество факторов: — используется ли виртуализация? — Используются ли мобильные устройства? — резервное копирование, какими средствами оно осуществляется, с какой периодичностью, где хранятся резервные копии? - и т. д. и т. д. Конечно, можно попробовать все это учесть в шаблоне, но тогда пользователям сервиса придется собирать и вводить огромное количество данных, что противоречит принципу «просто и легко, плати деньги».
Все, что разумно может сделать «наполнитель» шаблонов, — это различные приказы о назначении ответственных лиц или каких-либо комиссий.
Как только начинаются вопросы, связанные с бизнес-процессами или особенностями ИТ-инфраструктуры, начинаются проблемы.
Проблема №3. Сомнительное качество самих документов
Частично задача перекликается с предыдущей, но если в задаче №2 речь шла больше об особенностях автоматического заполнения, то здесь речь идет о тексте шаблонов, не подлежащем изменению.Они умудряются испортить даже самые простые инструкции.
Пример.
Обычно в информационной системе назначаются два ответственных за защиту персональных данных - один ответственный за организацию персональных данных (подробнее по организационным вопросам) и администратор информационной безопасности (по техническим вопросам - настройка средств безопасности и т.п.
).
Соответственно, эти роли обычно сокращаются как «Ответственный» и «Администратор».
Так, один из сервисов назвал этих двух друзей «ответственными за организацию обработки персональных данных» и «ответственными за обеспечение безопасности персональных данных»; сократили их, как вы, наверное, догадались, как «Ответственный» и (вдруг!) «Ответственный».
В порядке назначения этих ответственных людей нет никакого смысла; ужас начинается, когда авторы документов начинают описывать взаимодействие этих двух разных людей, получается что-то вроде «Ответственный на Ответственном и Ответственный едет».
Проблема №4: Безопасность
Как ни странно, сервисы, призванные повысить информационную безопасность, сами по себе вызывают ряд вопросов, начиная от банального отсутствия шифрования при отправке форм с конфиденциальными данными, заканчивая тем, как эти данные хранятся на сервисе, как организован физический доступ к серверам, и многое другое.При этом мы помним, что пока сервисы работают по принципу «легко и просто» и не собирают большого объема информации, но их можно «улучшить».
Но тем не менее, как минимум, придется предоставить персональные данные ответственных лиц и членов различных комиссий, а также основные данные по информационной системе.
Для чего все это?
Я убеждён, что продажа пустых документов, даже под видом автоматического заполнителя шаблонов, за деньги осталась в прошлом.Я убеждён, что запугивание и обман потенциальных клиентов – это тупиковая модель маркетинга.
Стоимость подписки на подобные услуги колеблется от 10 до 50 тысяч рублей в год. За эти деньги можно нанять специалиста, который подготовит качественный комплект с полным аудитом бизнес-процессов и ИТ-инфраструктуры (да, в кризис опытный специалист может согласиться работать даже за 10 тысяч рублей).
Но если выбор пал на шаблоны, то платить за это деньги смысла не вижу.
Кроме того, различные документы можно бесплатно гуглить.
Как и обещал, чтобы упростить эту задачу, выложил некоторую подборку.
Здесь .
Теги: #152-ФЗ #персональные данные #документы #информационная безопасность
-
Шепли, Харлоу
19 Oct, 24 -
Гангстерский Бизнес
19 Oct, 24 -
Фотогалерея: Роскошная Жизнь Билла Гейтса
19 Oct, 24 -
Жаркий Летний Выпуск Userandlinux №11
19 Oct, 24 -
Как Начать Работу Над Личным Проектом
19 Oct, 24
