Роль юриста, инженера, аутсорсера в обеспечении приватности и защите персональных данных

Дата: 16.07.2021. Автор: Сергей Борисов. Категории: Блоги экспертов по информационной безопасности
Роль юриста, инженера, аутсорсера в обеспечении приватности и защите персональных данных

 

На прошлой неделе провели с Ксенией Шудровой (RISC) и Денисом Лукашем (Infobip) провели межблогерский вебинар в котором в режиме батла обсудили разные подходы к назначению, опыту, знаниям и подходам DPO и выстраиванию его взаимодействия с бизнесом.

Раньше я уже делал подобный анализ исходя из требований к функциям, образованию и квалификации DPO, происходящих из нормативных требований и лучших практик.  Если вам интересна эта тема, то рекомендую ознакомится с этим коротким видео.

Но в недавнем вебинаре мы исходили из сложившейся практики и собственного опыта.

Рекомендую вам самостоятельно ознакомится с записью вебинара, и высказать свое мнение, а для затравки приведу несколько интересных цитат из обсуждения:

·        “точка зрения юриста является преобладающей”

·        “мы не видим, что целью закона 152-ФЗ является защита персональных данных”

·        “закон не про защиту данных бизнеса”

·        “какой риск аппетит у бизнеса?”

·        “в большой компании изменение бизнес процесса из-за предписание будет стоить очень дорого”

·        “нужно сразу строить правильные бизнес процессы, которые не потребуется менять долгие годы”

·        “к CEOили правлению нужно приходить не с проблемой, а с решением”

·        DPOдолжен уметь переводить нарушения прав субъектов на бизнес риски”

·        privacyдля небольших типовых компаний легче делать с использованием внешнего аутсорсера. Стандартные риски”

·        “знание процессульного права необходим, когда мы делаем анализ рисков для бизнес процесса”

·        “когда в организации есть человек занимающийся защитой данных, также принимает много организационных мер, почему бы не разработать ещё организацией обработки”

·        “так как штрафы маленькие, то юристам совершенно не интересно заниматься этой темой”

·        “хорошо, когда работает рабочая группа в тесном взаимодействии”

·        “большой драйвер персональных данных использовался для того, чтобы решать проблемы ИБ”

·        “во многом современный CISO уже умеет разговаривать с бизнесом на одном языке и доносить информацию о рисках”

·        “безопасники лучше анализируют информационные системы и ИТ-процессы”

·        “непрофильную активность спихиваем на аутсорсинг”

·        “хочется переложить часть рисков, часть ответственности и получить поддержку при проверках”

·        “С чего начать: бизнес строится вокруг внешних взаимодействий. Нужно провести ревизию всех внешних договоров, контрагентов и обязательств.”

·        “С чего начать: проанализировать бизнес процессы, выявить слабые места”

·        “Безопасник должен уметь слушать представителей бизнеса”

·        “Инженер ИБ по верхам читает законы”

·        “Подход с тем чтобы раз в 3 года выполнять проект по актуализации документов показал свою неэфективность”

·        “прежде чем выходить на руководство с информацией об изменениях законодательства, нужно проанализировать затраты на изменения процессов, возможные риски и подготовить несколько вариантов действий”

·        “аутсорсер как правило готовит дайжест по изменению законодательства с выводами на какие компании и сферы деятельности распространяется, какой типовой порядок действий необходимо предпринять”

·        “нет готовых коммерческих курсов для DPO на русском языке, полезная информация скорее на небольших семинарах, вебинарах экспертов”

·        “полезно пройти обучение по GDPR даже для российских DPO, так как дает хорошее понимание именно в privacy

·        “при планировании инструктажей сотрудников нужно в первую очередь ориентироваться на бизнес-риски. Решаем задачи бизнеса”

·        “аутсорсер как правило ориентируется на типовые вводные инструктажи по законодательству, разработанным политикам и регламентам”

·        “не забывать про системы дистанционного обучения и готовые микрокурсы повышения осведомленности”

·        “лучше начинать повышение осведомленности с раскрытия угрозы фишинга”

·        “внутренние проверки лучше начитать с наиболее высоких рисков”

·        “аутсорсер предпочитает типовые внутренние проверки, по которым есть сложившаяся практика и наибольшая вероятность нарушений”

·        “в первую очередь проверить аттестованные системы”

 

Слайды презентации c вебинара традиционно можно скачать в группах в VK и FB


Источник — Блог Сергея Борисова про ИБ.

Сергей Борисов

Об авторе Сергей Борисов

Работал в области ТЭК, нескольких банках, последние 10 лет в системной интеграции по ИБ. В данный момент работаю в области ИБ. Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых ИБ продуктов Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Сергей Борисов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *