Как выбрать консультанта по ПДн?

Очень часто мне задают вопрос «Как выбрать консультанта/интегратора по приведению себя в соответствие с требованиями ФЗ-152?». Вопрос не простой, но есть простое решение, которое позволит отсечь явно некомпетентные компании. Первое. с чего стоит начать, проверить наличие кандидата на оказание вам услуг в реестре операторов ПДн. Учитывая, что все интеграторы заявляют, что уведомление в РКН посылать надо, то простое обращение к реестру РКН станет отличной проверкой того, интегратор действительно знает, что говорит или он просто вас запугивает, планируя стрясти побольше денег. Разумеется, это упрощенная схема, но она работает.

Год назад я уже поднимал эту тему, но с тех пор ничего не поменялось. Интеграторы как не регистрировались как операторы ПДн, так и не регистрируются, прекрасно понимая, какие проблемы это влечет за собой. Тогда какое они имеют право требовать этого от вас?

Вторым шагом по проверке компетентности консультанта/интегратора является затребование у него всех тех документов, которые он будет разрабатывать для вас — модели угроз, акты классификации, приказы, инструкции, руководства и т.д. Ведь он же должен был все это разработать для своей компании, как оператора ПДн. Причем требовать надо документы подписанные руководством консультанта/интегратора, а не просто шаблоны. В противном случае опять получается, что он будет предлагать вам то, что на себе не проверял и в реальной жизни может не работать.

Ну и третьим шагом является краткое собеседование с целью выяснить, какие варианты оптимизации ваших затрат предлагает консультант/интегратор. Из этой беседы вы сразу поймете, какую цель будет преследовать даже компетентная в области ПДн компания — помочь вам или «срубить бабла».

Как раз недавно анализировал документы одного такого интегратора, говоряего о себе, как о лидере рынка ПДн/ИБ. Но в реестре операторов ПДн его нет, подготовленные им документы явно неработоспособны в той компании, для которой они делались, и почти никаких рекомендаций по оптимизации. Зато набор рекомендаций стандартен — аттестация, лицензирование, использование сертифицированных СЗИ/СКЗИ (это для HP UX и каналов связи, работающих на скоростях 10 Гбит/сек) и т.д.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Алексей Т.

    Отличные советы. 🙂 Коротко и ясно, как проверить интегратора. Это как послесловие про рейтинги компаний. 🙂

    Ответить
  2. Анонимный

    Пожалейте Роскомнадзор, там вал заявок на регистрацию: пишут из деревень, сел, на тетрадных листах и т.д. А еще и интеграторы сейчас ломанутся….

    Ответить
  3. Анонимный

    Алексей, а зачем интегратору регистрироваться, если он обрабатывает только Пдн, относящиеся к субъектам ПДн, которых связывают с оператором (интегратором) трудовые отношения?

    Ответить
  4. Анонимный

    Алексей, на счет шаблонов документов — это правильно. Если интегратор "солидный" и уже закончил/заявил о нескольких проектах по ПДн, то ему уже есть, что показать. Как альтернатива, могут быть представлены не шаблоны, а "развернутая" структура каждого документа: описание документа, содержание (конкретное наименование пунктов/глав документа), краткое описание каждой главы/пункта.

    А про уведомление РКН Операторами, вы, алексей, не правы! Интеграторам, обрабатывающим ПДн только своих сотрудников в рамках процессов кадровый учет, а так же расчет и начисление ЗП, нет необходимости регистрировать себя как оператора ПДн!

    Ответить
  5. Анонимный

    А что делать если в регионе вообще нет интеграторов, удовлетоворяющих этим условиям? 🙂

    Ответить
  6. Анонимный

    Совет занятный.
    Если считать РКН добросовестной и компетентной организацией.
    компетентность ее определена отсутсвием единого регламента по защите ПДН и квалификацией г. Васильевой с гуманитарным образованием.
    Опять же возникает вопрос кто и когда заригистрировал национальный ресурс по сбору ПДН населения — http://www.moskva-putinu.ru c обьемом базы более 2 млн. записей.
    Я такого факта не знаю.
    Так зачем регистрировать каких-то интеграторов с обьемом базы ПДН до 1000 записей?
    В пресловутом реестре НЕТ ни одного ЕИРЦ — организации, которые организуют массовый СЛИВ ПДН населения коммерческим организациям.

    Ведомый

    Ответить
  7. Анонимный

    Добавлю 2 копейки.
    Оценить опыт консультанта конечно можно одним только путем — посмотрев чего же он в прошлом наконсультировал и с какими результатами…

    Но хочу обратить внимание, что в зависимости от уровня Заказчика можно подбирать и уровень консультанта.

    Если Оператор небольшой и задача не сложная, то мегаконсультант может и не нужен, но если оператор большой то и консультанты нужны серьезные…

    Что я подразумеваю под "серьезными"…
    Дело в том, что для каждого оператора существует некий жизненный цикл его ИСПДн.
    Он может быть коротким и простым, но может быть длинным и сложным. И тогда необходим консультант "видящий" весь цикл.

    Например, если ИСПДн с маленькими потребностями — то цепочка услуг может быть короткой — организация, организационно-распорядительные документы, подготовка к проверке и все. — тут мегаконсультант не нужен.
    Но, если ИСПДн большая, сложная то цепочка может включать множество элементов — проектирование, разработка/доработка ПО и архитектуры, сертификация, внедрение доп средств защиты, криптография, аттестация и т.п. — тут нужен консультант который видит жизненный цикл весь и может сэкономить оператору кучу денег оптимизируя работы, сроки, ресурсы, ограждать от тупиковых решений и т.п. Проводя сертификацию, аттестацию, с учетом доработок и модернизации ИСПДн в будущих периодах и т.д. и т.п.

    В самом начале отношений — рекомендую прозондировать консультанта — видит ли он картину от начала до конца с учетом будущих периодов.

    С целями тоже не ясно — с одной стороны консультант консультирует за деньги и ему их объективно и искренне хочется много… Но опытный консультант знает, что долгосрочные отношения не строятся на деньгах… и при собеседовании оператору нужно почувствовать и просто спросить про весь жизненный цикл и что дальше…

    Ответить
  8. Алексей Лукацкий

    У нас не так уж и много интеграторов по ПДн — РКН не умрет под таким валом.

    Что касается "зачем регистрироваться", то вопрос простой. Если бы сами интеграторы не заявляли, что ВСЕ ОБЯЗАНЫ уведомлять, то и вопрос бы не возникал. Но т.к. они это постоянно говорят, то пусть начнут с себя. К тому же, напомню, что почти каждый из них ведет базу своих клиентов, а что это как не ПДн, обработка которых не подпадает под исключения из ст.22.

    По поводу шаблонов. Нужны не шаблоны, которые можно скачать в Интернете, а именно готовые документы. Это покажет, что интегратор не просто умеет пользоваться Word'ом, а действительно знает, что предлагает.

    Если в регионе нет интеграторов, изучайте вопрос сами 😉

    Ведомому — вопрос не в РКН, а именно в интеграторах. Как говорится "неча на зеркало пенять…"

    Ответить
  9. Анонимный

    Алексей
    Я с Вами согласен в основном.
    Вы не поняли моей логической цепочки
    РКН-Интеграторы-Операторы.
    РКН просто говно и нет там внятных и образованных людей на уровне верхнего менеджмента.
    А после пресловутого заявления СИТНИКОВА насчет модерирования форумов и ответственности владельцев форумов за высказывания посетителей на них вообще надо ставить крест.
    А их босс щеголев в его попытках электронного правительства просто пигмей в калошах и с кейсом.
    Откуда возьмутся здравые мысли?
    Поэтому РКН не мерило для интеграторов а интеграторы
    обычные воры
    Да ну их всех!
    Тошно…

    Ведомый

    Ответить
  10. Анонимный

    Выскажу своё ИМХО по данному вопросу.

    Да, интеграторы выкалачивают деньги, а взамен сдают отчётку, которая на практике не применима (туфта одним словом). Но также интеграторы как правило являются аттестационным органом ФСТЭК. Они сами же выдают аттестат на ИС. Получается оператор ответственности ближайшие три года не несёт, так как всё аттестовано. А ответственность на ком? На интеграторе, выдавшем аттестат соответствия. Так получается?
    А интеграторы почему этой ответственности не боятся?
    Потому что Система гнилая! А через три года переаттестация и тем же как правило интегратором.

    Ответить
  11. Анонимный

    Ведомому…
    Ну почему воры? Там еще и пьяницы есть!

    Ответить
  12. Andy_AiF

    > …интеграторы… напомню, что почти каждый из них ведет базу своих клиентов.
        Клиенты — юр.лица. Какая связь между юр.лицом и ПДн?
        Разве что в процессе выполнения своих работ интегратору придётся _касаться_ ПДн клиента, так тут по-моему, всё покроется соглашением о конфиденциальности, ибо незачем интегратору ОБРАБАТЫВАТЬ ПДн клиента…

    Ответить
  13. Vlad

    "Они сами же выдают аттестат на ИС. Получается оператор ответственности ближайшие три года не несёт, так как всё аттестовано. А ответственность на ком? На интеграторе, выдавшем аттестат соответствия. Так получается?"

    нет, не так. Если только между Заказчиком и Интегратором не заключено какое-то юридически-оформленное соглашение

    Ответить
  14. Анонимный

    2Vlad

    Если так, то выявляется ещё один обман Заказчиков со стороны Интеграторов, уверяющих первых в том, что "Если что… с нас ФСТЭК будет спрашивать". Такие случаи встречаются. А люди у нас встречаются доверчивые…

    Ответить
  15. Алексей Лукацкий

    Andy_AiF: Продукты и услуги продаются юрлицу, а дела имеют с физлицами. Когда клиент приезжает в офис к интегратору, первый предоставляет свои ПДн. Когда интегратор приглашает клиента на семинар, последний предоставляет ПДн. Когда интегратор вывозит клиента заграницу, последний предоставляет свои ПДн. Когда клиент регистрируется на сайте/форуме интегратора, первый предоставляет свои ПДн. И это только некоторые примеры.

    Ответить
  16. Анонимный

    Коллеги!
    Давайте разберемся что такое "интегратор"…
    Как правило, это "звенящая" компания, которая заключает договор с оператором, а затем передает непосредственно работу соисполнителям.
    После чего "пилит бабло" и, с разной степенью ответственности, контролирует процесс…

    Другие версии?

    Ответить
  17. tzk

    @Евгений Родыгин
    > Как правило, это "звенящая" компания, которая заключает договор с оператором, а затем передает непосредственно работу соисполнителям.

    Евгений, это принципиально не так. Ни один уважающий себя интегратор не будет выступать в качестве прокси субподрядчиков. В противном случае бежать надо, сломя голову, от таких интеграторов, ибо это просто "распил" денег вашего бизнеса. Запросите расчет трудозатрат по каждому из предлагаемых видов работ с интегратора, и тогда все станет понятно.

    Ответить
  18. Алексей Лукацкий

    Я конечно извиняюсь, но любой крупный проект всегда подразумевает субподрядчиков. Ни один интегратор в России не способен выполнить крупный проект в одиночку. Не хватит ни людей, ни компетенций.

    Ответить
  19. tzk

    @Алексей Лукацкий

    Смотря насколько крупный проект и интегратор. Насколько я понял Евгения, речь идет про то, что интегратор вообще ничего не делает, только контроль выполняет работы субподрядчиков. Так не бывает. По крайней мере у нас. Я вообще не слышал про случаи субподряда у нас.

    Ответить
  20. Анонимный

    2 Touzoku

    Реально с Интеграторами у нас дело обстоит так:
    1 — Под интегратором, у нас так сложилось, понимается некая Единая Точка Входа. При этом Заказчик заключает договор с Интегратором на ряд услуг. Интегратор, чаще всего все услуги оказать сам своими руками не может и потому привлекает соисполнителей. Заказчику при этом проще общаться с Единой точкой.
    Бывает так, что интегратор самостоятельно выполняет 10% услуг иногда 50%, есть такие что менее 5% сами — остальное соисполнители. При этом стоимость услуг тем больше, чем больше соисполнителей (как правило).

    Попробуйте назвать 5 интеграторов выполняющих 100% услуги самостоятельно по теме ПДн…

    Это можно вычислять например так:
    1 — берем лицензиата ФСТЭК,ФСБ
    2 — берем перечень аккредитованных испытательных лабораторий ФСБ,ФСТЭК с учетом широкой области аккредитации
    3 — берем аттестационный центр
    4 — наличие сети по стране и т.п.

    Все это интегрируем и получаем интересную картину…
    Серьезных интеграторов по стране 2-3 всего…

    Какие можно сделать выводы…

    Про субподряды… мало афишируется… Зачем компании **** делиться славой… ну тут еще кучка подводных камней но не буду…

    Ответить
  21. tzk

    @Евгений Родыгин
    Могу назвать только одного интегратора [1], у которого достаточно ресурсов, который корпеет над своей методикой, тратит деньги на обучение СВОИХ специалистов, а не аутсорсит кому попало свои услуги. За других интеграторов говорить не могу и не имею права.

    [1] http://www.infosec.ru/services/

    Ответить
  22. Анонимный

    2 Touzoku
    К сожалению Вы не являетесь испытательной лабораторией и таким образом не являетесь полноценным интегратором в плане полного цикла.
    В случае необходимости сертификацию Вы передаете соисполнителям ?

    Ответить
  23. Алексей Т.

    @Евгений Родыгин

    Жестковато Вы с интеграторами — я все-таки насчитаю с десяток полноценных интеграторов, которые могут выполнить полный цикл разработки, внедрения и аттестации ИСПДн. Возможно Вы путаете привлечение внешних организаций именно для сертификации ПО — но ведь это является как раз показателем ответственности, не должна компания сама свои средства сертифицировать. В-общем Вы неправы. Хотя и есть такие интеграторы, которые пилят, но не работают. Будем надеяться их век недолог, хотя и обеспечен. 🙂

    Ответить
  24. Анонимный

    2 Алексей Т.

    А как иначе…
    Интегратор должен быть ответственным.
    Я бы хотел отметить, что интеграторов можно классифицировать по уровню возможностей…
    Соответственно Топовых 2-3-4-5
    средних 20-30
    и остальных по принципу "что схватить успел"

    Не хочу никого обижать конечно. Под сертификацией я в части ПДн имел в виду не сертификацию разработанных интегратором средств защиты а подготовка к сертификации и сертификация СПО со встроенными механизмами ЗИ для ИСПДн К2,К1 и т.п. в интересах заказчика.

    Ответить
  25. doom

    2 Евгений Родыгин

    А зачем по-вашему для подготовки к сертификации иметь статус испытательной лаборатории?

    Вообще говоря, подготовка к сертификации это почти всегда разработка конструкторской и эксплуатационной документации, что, теоретически, вообще производитель СрЗИ должен делать.

    2 Алексей Лукацкий

    А вас похоже читают и наши потенциальные клиенты 🙂
    Пыталась у нас одна организация затребовать примеры реальных отчетов об обследовании, моделей угроз и тому подобных документов.

    И что прикажете в такой ситуации делать? Те документы, что мы разрабатывали для других заказчиков, естественно, имеют гриф и, если мы покажем этот документ третьему лицу, то мы нарушим соглашение о конфиденциальности с нашим заказчиком.

    Своих документов у нас, очевидно, нет — поскольку регистрироваться как оператор и выполнять какие-то работы только из-за того, что у каждого менеджера есть своя пухленькая пачка визиток — как-то избыточно. А если бы были, то, скорее всего, они бы были нашей коммерческой тайной и показывать их всем подряд тоже было бы неправильно…

    Ну и в качестве саморекламы 🙂 мы не говорим, что все подряд должны подавать уведомление и что все подряд должны разрабатывать полные пакеты документов даже для экселевских формочек с ПДн 🙂

    Ответить
  26. Алексей Лукацкий

    doom: Ну вы можете убрать наимнования заказчиков 😉

    И весь набор документов вам нужен даже если вы не подавали уведомление в РКН. Вы же не перестаете быть от этого оператором ПДн. Так что клиент прав, запрашивая такую информацию.

    Ответить
  27. Анонимный

    2 doom
    "А зачем по-вашему для подготовки к сертификации иметь статус испытательной лаборатории?"
    — Для подготовки к сертификации не нужен статус испытательной лаборатории. Я этого и не утверждал… Речь идет об интеграторах с полным циклом услуг. При предоставлении таких услуг для оператора — интегратор полного цикла (ИПЦ) — может помочь оптимизировать затраты и денежные и временные и ресурсные на всем ЖЦ ИСПДн имея большой практический опыт в частности проведения испытаний. Включая рекомендации по выбору систем защиты, переработке собственных СрЗИ изменения их архитектуры для последующих доработок и т.п.

    "Вообще говоря, подготовка к сертификации это почти всегда разработка конструкторской и эксплуатационной документации, что, теоретически, вообще производитель СрЗИ должен делать."
    — Подготовка к сертификации это не только документация — само изделие должно выполнять требования на него возложенные!
    — Естественно подготовку выполняет Заявитель, но в разрезе "консльтантов ПДн" и ИПЦ — очень рекомендую обращаться к специалистам… Множество заказчиков загоняют себя в тупики из которых приходится их выводить. Решая проблемы сегодняшнего дня разработчики/заявители накапливают проблемы как снежный ком и на следующих этапах теряют ресурсы там где не нужно.
    Практически с определенным опытом я убедился, что опытные консультанты не зря едят свой хлеб… Действительно их работа спасает от многих рисков…

    Именно поэтому склоняюсь к "Интеграторам полного цикла" которые могут как лоцман "вести кораблик по всей Мисисипи…" (с) swan.

    Ответить
  28. doom

    2 Евгений Родыгин:

    ну вот ваше же фраза: "К сожалению Вы не являетесь испытательной лабораторией и таким образом не являетесь полноценным интегратором в плане полного цикла.
    В случае необходимости сертификацию Вы передаете соисполнителям ?"

    Я утверждаю, что роль конкретной испытательной лаборатории в процессе сертификации минимальна — все может взять на себя консультант не обладая статусом лаборатории. Кроме того, если уж совсем уж формально смотреть на положение о сертификации, то становится понятно, что лабораторию назначают — как раз типа для того, чтобы исключить предвзятость.

    Поэтому полный цикл услуг можно спокойно оказывать не являясь ни органом по аттестации (отдельный вопрос, что для аттестации ИСПДн это и не надо, но сейчас не в этом суть), ни испытательной лабораторией. Привлечение подрядчика для выполнения аттестационных испытаний + подготовки заключения и аттестата это капля в море — не такая уж и дорогая услуга, что на фоне общих трат на создание полноценной СЗПДн вообще незаметно. С ИЛ хуже — там ниже конкуренция и лаборатории ломят цену на пустом месте, но ведь совсем не факт, что интегратор со статусом ИЛ вдруг займется демпингом на этом рынке.

    Ну а касательно того, что подготовка к сертификации это не только разработка КД и ЭД — вы сомневаетесь, что какая-нибудь Cisco ASA не выполняет функции на нее возложенные? Или что MS Windows не способна разграничить доступ на уровне файлов? К сожалению, у нас сертификация это подтверждение очевидного факта за 4 месяца времени и кучу денег. Особенно это становится понятно, если посмотреть на конкретный вариант ТУ для СрЗИ или еще лучше — на методику испытаний.

    Ответить
  29. Анонимный

    2 doom
    Извините Вы не совсем правы…
    1. Я действительно считаю, что ИПЦ лучше чем "цвенящий интегратор"
    2. Роль ИЛ велика — искренне говорю потому как во всех системах сертификации работаю очень плотно 13 год.
    3. Испытательная лаборатория не назначается! Назначается орган по сертификации…
    4. "на фоне общих трат на создание полноценной СЗПДн" отвечу дианектически: "это смотря какой". Тем более этим вопросом занимаюсь и слава богу вижу пользу не только я.
    5. ИЛ ломят цены! Ну это смотря как работать. У нас есть ИЛ которые только делают вид что работают. А я утверждаю обратное — наша команда готова очень тщательно проверить Вашу поделку, но боюсь это будет стоить очень дорого. Вообще "разборки" на эту тему непродуктивны — у нас были случаи жестких обоснований под контролем высших сил которым на это жаловались — к сожалению для жалобщика удалось доказать, что цена ниже чем должна быть… Подозреваю, что для кого то нужна бумажка, а для кого то защита… по этому роль ИЛ у каждой своя 😉
    6. На последний пост не знаю даже что ответить… Вы против конкретно чего ? Верю я или не верю это мое личное.

    P.S. Часто верящие часто хватаются за голову о кричат "да не может быть…"

    Ответить
  30. Анонимный

    2 doom
    (пропал куда то пост последний — попробую переписать)
    1. Искренне считаю, ИПЦ лучше чем "звенящие интеграторы"
    2. роль ИЛ высока, дай Бог уже 13 год очень плотно работаю во всех системах сертификации СЗИ.
    3. Огорчу — ИЛ не назначают, назначают орган по сертификации.
    4. Про "ломят цены" — огорчу, была у нас история когда заказчик жаловался на самый верх — пришлось обосновывать — удалось доказать что цена ниже чем должна быть.
    Похоже Вы кухню изнутри не знаете или узнали там, про кого судите…
    5. Последний абзац не понял… Вы против чего конкретно ? Вопрос веры — это личное…По вопросам веры — это в споры "lin vs win" и "есть закладки — нет закладки"

    P.S. Кто часто верит тот часто хватается за голову с криком "Да не может такого быть"…

    Ответить
  31. Алексей Лукацкий

    Просто для защиты от спама старые сообщения проходят премодерацию и не сразу размещаются 😉

    Ответить
  32. doom

    2 Евгений Родыгин

    Ну вот например во всем УрФО нет ни одной испытательной лаборатории вообще. И что, неужели будет выгоднее "звать варягов"? Нет, конечно, ценник взлетит, если не на порядок, то все равно очень существенно.

    По поводу назначения ИЛ — по чем купил, по том и продаю в положении по сертификации сказано:

    8. Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации…
    Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации,

    Ну и по поводу в целом роли ИЛ (вижу, что для вас это вопрос близок) — никто не собирается "сертифицировать свою поделку". Реалии таковы, что у более-менее нормальных предприятий есть более-менее нормальная система защиты информации — но нет тех самых бумажек. И вот тут появляется необходимость, либо выделить несколько жертв и обозвать их ИСПДн, а потом навесить на них всякие панцири, да оградить от остальной сети каким-нибудь ИВК Кольчуга, либо все-таки провести сертификацию имеющихся реально зарекомендовавших себя средств и, таки да, все это будет делаться ради бумажки. И если посмотреть последние записи в реестре, то становится понятно, что это наиболее распространенный путь — и Элвисы и всякие КРОКи активно выступали заявителями по сертификации всевозможных коммутаторов и марштрутизаторов Cisco и тому подобных вещей, вообще говоря, вполне удовлетворяющих требованиям наших регуляторов.

    Ответить
  33. Анонимный

    2 doom
    1. Работаем в УрФО аттестат аккредитации дествует на всей территории РФ

    2. Покупая — проверяйте… См. приложение 2. Укажите 1-2 случая когда ФСТЭК России выпускал Решение с другой ИЛ! Ни одного не знаю! см. п.п.2.2. (рассматривает заявки на сертификацию, принимает по ним решения, определяет схему проведения сертификации средств защиты информации и испытательный центр (лабораторию) с учетом предложений заявителя и назначает орган по сертификации;)

    3. Ну что Вы мне это рассказывате… с какой целью ?!

    Ответить
  34. Анонимный

    Вот если бы Вы обратили внимание на эту строчку у нас был бы интересный разговор 😉

    "Действие настоящего положения распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну…"

    Ответить
  35. doom

    2 Евгений Родыгин

    Дак замечательно. Вашими услугами как ИЛ и воспользуются при необходимости. А передавать все задачи будет совсем не эффективно. Хотя бы потому, что я к своему клиенту могу съездить хоть на трамвае, а вам придется организовывать командировку, да и оперативность пострадает. В общем цена точно вырастет, а вот с качеством работы непонятно.

    По приложению к положению — я вообще-то ссылался на то положение, которое у нас правительством утверждено, а не приказом председателя Гостехкомиссии. Вполне вероятно, что ГТК поняли по-своему и сделали как им удобно. Я же говорил не о том, что есть на практике, а о том, что, возможно, задумывалось, когда это создавали. То, что ИЛ можно спокойно выбрать я в курсе. Но это, на мой взгляд, не совсем правильно.

    А про реалии сертификации я вам говорю с той целью, чтобы донести простую мысль: выбирать надо не обвешанного красивыми бумажками интегратора, а наиболее подходящего по своим компетенциям. Если у оператора уже есть мощная система ему надо прежде всего, чтобы она нормально продолжала работать после создания СЗПДн — и тут важнее даже технические компетенции, а не ИБшные. Ну и понимание того, как строится бизнес-процесс, как он автоматизируется и как добавить точки контроля, чтобы его не сломать и не ухудшить его характеристики. В конце-концов, если ИСПДн это SAP, то лучше, ИМХО, отдать общее руководство построением СЗПДн SAP'овским консультантам, которые наймут кучу субподрядчиков, чем продвинутой ИБ конторе, которая сделает так, что либо работает ИСПДН, либо СЗПДн.

    Ответить
  36. doom

    Когда я последний раз обратил внимание на эту строчку, обосновывая незаконность требования обязательной сертификации СрЗИ для ИСПДн, то меня чуть не заклевали. Поэтому сейчас я ее стороной обхожу.

    Подобная строчка есть и в положении по аттестации…

    Да и в 51-х ГОСТах (только там еще добавляются системы управления экологически опасными объектами).

    Но с точки зрения ФСТЭК это ничего не значит — они у нас не особо обращают внимание на то, чтобы все буковки сходились.

    Ответить
  37. Анонимный

    2 doom
    "выбирать надо не обвешанного красивыми бумажками интегратора, а наиболее подходящего по своим компетенциям"

    Так я тоже самое называю ИПЦ !!!

    Бывает что в разгаре спора
    когда исход совсем не ясен
    Порой ловлю себя на мысли
    Ведь оппонент во всем согласен 😉

    Ответить
  38. Анонимный

    Подскажите, пожалуйста, разве любая организация в которой ведется бухгалтерский и кадровый учет не является оператором ПДн и не должна регистрироваться в РКН?

    Ответить
  39. doom

    Цитирую:

    Статья 22. Уведомление об обработке персональных данных

    1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

    Ну а дальше выбирайте на свой вкус:

    2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

    1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

    2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

    3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

    4) являющихся общедоступными персональными данными;

    5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

    6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

    7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

    8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

    Ответить