Одним из этапов создания системы защиты информации, у хорошего интегратора, будет анализ обрабатываемых данных и предложения по сокращению их объема в системе и приведение перечня обрабатываемых ПД в соответствие с целями обработки. Делается это для: оптимизации расходов на систему защиты (хотя срабатывает редко), оптимизации самой ИС, минимизации ущерба в случае реализации угроз и т.п. В любом случае шаг полезный.
Бродя по просторам Internet и периодически натыкаюсь, со стороны сайтов, на предложение познакомиться путем заполнения формы на подобии вот этой.
У меня возникает пара вопросов:
Во-первых, зачем нужно добывать из пользователя телефон и e-mail, если потом не пользоваться этими данными. Ну, ни разу, не прислали ни чего. Явно лишняя информация при оптимизации можно смело выкидывать. Это примерно как в дисконтных картах постоянно просят указать день рождения и ни разу не поздравили.;)
Во-вторых, если уж Вы написали тест на проверку качества знаний по нормативной документации о защите ПД, то черт возьми, оформите обработку ПД как надо. Ну да об этом Лукатский писал еще в ноябре 2010…
Вот и получается, что сайт сначала соберет ворох персональных данных, а службе безопасности их все нужно защитить от утечки. И при этом не всегда руководство компании пойдет на встречу своим безопасникам и прислушается к их мнению по поводу устанавливаемой длп – как в этом случае https://www.blogger.com/comment.g?blogID=4065770693499115314&postID=350058761671154145
ОтветитьУдалитьНу проблема коммуникации безопасника с руководством стара как мир... Но данном случае согласие не берется фирмой которая продает услуги по защите ПД. Тут сапожник без сапог или в чужом глазу соринка. Но ни как не понимание руководством важности защиты информации. ;)
ОтветитьУдалить