Методика выполнения проектов по защите конфиденциальной информации (ФЗ №152)

Настоящая работа – «Методика выполнения проектов по защите конфиденциальной информации (ФЗ №152)» – была выполнена для компании ООО «Безопасные информационные технологии» г.Новосибирск.

ООО «Безопасные информационные технологии» – молодая компания, являющаяся лицензиатом Федеральной службы по техническому и экспортному контролю (далее по тексту ФСТЭК) в области технической защиты конфиденциальной информации. Указанная лицензия дает право оказывать услуги, связанные с обеспечением безопасности конфиденциальной информации сторонним организациям, в том числе выполнять работы, связанные с безопасностью персональных данных.

Основная цель работы – предложение компанией новой услуги с четко прописанным процессом (технологией) реализации самой услуги и критериями оценки качества выполняемых работ.

Условно работа разделена на несколько шагов, которые должны выполнить сотрудники, участвующие в проекте. Каждый шаг содержит описание, на основании каких документов необходимо выполнять работы, какие при этом преследуются цели и на что необходимо обратить внимание (используя опыт оказания аналогичных услуг). Например, первый шаг – это интервьюирование потенциального заказчика услуги. Разработано 14 вопросов, на основании ответов на которые будут определены: а) объем работ; б) состав команды; в) смета, на основании которой будет определена стоимость для заказчика.

Все шаги учитывают существующую практику выполнения работ, анализ результатов проверок контролирующих органов организаций, обрабатывающих персональные данные и результаты консультаций в лицензирующем органе (ФСТЭК). Итогом работы является законченная методика с конкретными шагами выполнения и критериями оценки достаточности проведенной работы. Описано девять этапов необходимых работ с информационными системами обработки персональных данных и три этапа для обработки персональных данных без использования информационных систем.

В Приложениях содержатся все стандартные документы которые должны быть при проведении работ у исполнителя и шаблоны документов для заказчика.

Вторичной, но не менее важной целью было предусмотрено – формирование внутренней корпоративной культуры в области системы взаимодействия сотрудников компании в профессиональной сфере. То есть:
• построение системы консолидации опыта, полученного отдельными сотрудниками при выполнении различных работ;
• аккумулирование опыта и навыков сотрудников;
• заложение основы методического обеспечения сотрудников компании;
• обеспечение сравнительно быстрой и качественной подготовки кадров инженерного звена компании.

Данная цель напрямую не была изложена непосредственно в тексте аттестационной работы, поскольку относится скорее к системе внедрения методического документа. Хорошо составленный методический документ привносит большое количество плюсов в организацию (достоинства описаны выше в расшифровке вторичной цели). Но у таких документов есть и отрицательные стороны, такие как необходимость поддержания методики в актуальном состоянии, нежелание персонала четко следовать изложенным в методике инструкциям.

В книгах по управлению персоналом часто приводится следующий пример: если в организации не принято опаздывать, то и без системы наказаний новые сотрудники, стремясь не выделятся из коллектива, приходят на работу вовремя, в случае если в организации на сотрудника пришедшего вовремя, смотрят как на белую ворону то, как правило, карательные меры уже не помогают, а нужно коренным образом «ломать» сложившуюся практику, что часто бывает затруднительно и не проходит безболезненно для коллектива.

Результаты внедрения методики выполнения проектов:
• заложение основ корпоративной культуры, в которой сотрудники консолидируют свой опыт проведения работ в различных областях и направлениях, в которых работает компания;
• появление конкурентная борьба (интерес) в поиске нестандартных решений проблем, возникающих в ходе выполнения работ на объектах заказчика;
• закладывается фундамент для принятия новых сотрудников без опыта выполнения работ (сотрудник за короткое время может получить знания не только из стандартной инструкции, он так же получит представление о характере работ, о тех проблемах, с которыми он может столкнуться у заказчика и на что ему стоит обратить внимание).

Внедрение в обращение внутреннего методического документа следует проводить с самого начала деятельности организации, когда в компании новый коллектив, в котором только начала складываться культура взаимодействия в профессиональной деятельности и механизмов обмена опытом. Независимо от того, насколько подробно описан процесс, который сотрудник должен будет выполнять на объектах заказчика (или находясь в офисе), пока работа не будет выполнена под контролем старшего группы, он не сможет работать самостоятельно. Целью ставится подготовка сотрудника, который сможет работать в команде проекта.

Copyright © 2010 Квашенников В.И.