Документи захиступерсональних даних

документи

Проблема №1. Введення клієнта в оману Брехня

Тут, мабуть, одразу варто почати з прикладів.

Другий приклад: інший сервіс урочисто обіцяє успішне проходження будь-якої перевірки будь-яких контролюючих органів у сфері захисту персональних даних із їхніми документами. По-перше, сервіс не генерує такий важливий документ як «Модель загроз», який вимагає показати навіть Роскомнагляд та без його наявності успішно не пройти навіть документарну перевірку. По-друге, ФСТЕК та ФСБ перевіряють далеко не лише папірці. По-третє, я вже писав у своїй старій статті про те, що в деяких регіонах (не у всіх) діє палична система і успішно пройти перевірку неможливо, як би якісно ми до неї не готувалися.

Проблема №2. Відсутність індивідуалізації

Звісно ж, практично всі сервіси з підготовки комплекту документів вам розкажуть про гнучку персоналізацію комплекту документів суто під вас, але це твердження цілком можна було б навести як третій приклад проблеми №1.

Чесно кажучи, свого часу сам написав на Java подібний «заповнювач» шаблонів, але в роботі якось не прижилося, максимум що можна зробити це автоматично вписати назву організації та інші речі, що часто повторюються в документах. І ось чому — якщо ціль варто написати якісну документацію, то її доведеться писати руками з урахуванням усіх особливостей як бізнес-процесів організації, так і особливостей IT-платформи, на якій побудовано інформаційну систему персональних даних. У мене на роботі, як правило, саме таке завдання, а кому потрібно «відмазатись від перевірки» ми даємо наведений нижче комплект шаблонів. Безкоштовно. Але тут слід пам'ятати, що регулятори такожне стоять на місці та пройти перевірку з набором шаблонних, не адаптованих документів семирічної давності стає все складніше та складніше.

Звичайно, можна спробувати все це врахувати і в шаблоні, але тоді користувачам сервісів доведеться збирати і вводити величезну кількість даних, що суперечить принципу просто і легко, тільки платіть гроші.

Все, що може стерпно зробити «заповнювач» шаблонів, це різні накази про призначення відповідальних осіб або будь-яких комісій. Як тільки починаються питання, пов'язані з бізнес-процесами або особливостями ІТ-інфраструктури, починаються проблеми.

Проблема № 3. Сумнівна якість самих документів

Частково проблема перегукується з попередньою, але якщо в проблемі №2 мова більше йшла про особливості автоматизованого заповнення, то тут про той текст шаблонів, який не змінюється. Накосячити примудряються у найпростіших інструкціях.

Проблема №4. Безпека

Як не дивно, послуги, які покликані підвищити інформаційну безпеку, самі викликають низку питань, починаючи від банальної відсутності шифрування при відправленні форм з конфіденційними даними, закінчуючи як ці дані зберігаються на сервісі, як організований фізичний доступ до серверів та багато іншого. При цьому ми пам'ятаємо, що поки що сервіси працюють за принципом «легко і просто» і не збирають велику кількість інформації, але можуть і «удосконалитись». Але як мінімум персональні дані відповідальних і членів різних комісій, а також базові дані по інформаційній системі доведеться надати.

Навіщо це все?

А у нас тут можна отримати грант на тестовий період Яндекс.Хмари. Варто лише у полі «секретний пароль» запровадити «Хабр»