Роль юриста, инженера, аутсорсера в обеспечении приватности и защите персональных данных

16.07.2021 Борисов Сергей , ведущий инженер нИБ

 

На прошлой неделе провели с Ксенией Шудровой (RISC) и Денисом Лукашем (Infobip) провели межблогерский вебинар в котором в режиме батла обсудили разные подходы к назначению, опыту, знаниям и подходам DPO и выстраиванию его взаимодействия с бизнесом.

Раньше я уже делал подобный анализ исходя из требований к функциям, образованию и квалификации DPO, происходящих из нормативных требований и лучших практик.  Если вам интересна эта тема, то рекомендую ознакомится с этим коротким видео.

Но в недавнем вебинаре мы исходили из сложившейся практики и собственного опыта.

Рекомендую вам самостоятельно ознакомится с записью вебинара, и высказать свое мнение, а для затравки приведу несколько интересных цитат из обсуждения:

·       

“точка зрения юриста является преобладающей”

·       

“мы не видим, что целью закона 152-ФЗ является защита персональных данных”

·       

“закон не про защиту данных бизнеса”

·       

“какой риск аппетит у бизнеса?”

·       

“в большой компании изменение бизнес процесса из-за предписание будет стоить очень дорого”

·       

“нужно сразу строить правильные бизнес процессы, которые не потребуется менять долгие годы”

·       

“к CEOили правлению нужно приходить не с проблемой, а с решением”

·       

DPOдолжен уметь переводить нарушения прав субъектов на бизнес риски”

·       

privacyдля небольших типовых компаний легче делать с использованием внешнего аутсорсера. Стандартные риски”

·       

“знание процессульного права необходим, когда мы делаем анализ рисков для бизнес процесса”

·       

“когда в организации есть человек занимающийся защитой данных, также принимает много организационных мер, почему бы не разработать ещё организацией обработки”

·       

“так как штрафы маленькие, то юристам совершенно не интересно заниматься этой темой”

·       

“хорошо, когда работает рабочая группа в тесном взаимодействии”

·       

“большой драйвер персональных данных использовался для того, чтобы решать проблемы ИБ”

·       

“во многом современный CISO уже умеет разговаривать с бизнесом на одном языке и доносить информацию о рисках”

·       

“безопасники лучше анализируют информационные системы и ИТ-процессы”

·       

“непрофильную активность спихиваем на аутсорсинг”

·       

“хочется переложить часть рисков, часть ответственности и получить поддержку при проверках”

·       

“С чего начать: бизнес строится вокруг внешних взаимодействий. Нужно провести ревизию всех внешних договоров, контрагентов и обязательств.”

·       

“С чего начать: проанализировать бизнес процессы, выявить слабые места”

·       

“Безопасник должен уметь слушать представителей бизнеса”

·       

“Инженер ИБ по верхам читает законы”

·       

“Подход с тем чтобы раз в 3 года выполнять проект по актуализации документов показал свою неэфективность”

·       

“прежде чем выходить на руководство с информацией об изменениях законодательства, нужно проанализировать затраты на изменения процессов, возможные риски и подготовить несколько вариантов действий”

·       

“аутсорсер как правило готовит дайжест по изменению законодательства с выводами на какие компании и сферы деятельности распространяется, какой типовой порядок действий необходимо предпринять”

·       

“нет готовых коммерческих курсов для DPO на русском языке, полезная информация скорее на небольших семинарах, вебинарах экспертов”

·       

“полезно пройти обучение по GDPR даже для российских DPO, так как дает хорошее понимание именно в privacy

·       

“при планировании инструктажей сотрудников нужно в первую очередь ориентироваться на бизнес-риски. Решаем задачи бизнеса”

·       

“аутсорсер как правило ориентируется на типовые вводные инструктажи по законодательству, разработанным политикам и регламентам”

·       

“не забывать про системы дистанционного обучения и готовые микрокурсы повышения осведомленности”

·       

“лучше начинать повышение осведомленности с раскрытия угрозы фишинга”

·       

“внутренние проверки лучше начитать с наиболее высоких рисков”

·       

“аутсорсер предпочитает типовые внутренние проверки, по которым есть сложившаяся практика и наибольшая вероятность нарушений”

·       

“в первую очередь проверить аттестованные системы”

 

Слайды презентации c вебинара традиционно можно скачать в группах в VK и FB