Как проверить работу консультанта по ПДн?

Когда-то я уже поднимал вопрос о том, как выбрать консультанта по ПДн. На днях на bankir.ru подняли вопрос о том, как принять проделанную таким консультантом работу? На мой взгляд надо встать на место каждого из трех проверяющих (РКН, ФСТЭК и ФСБ) и по каждому пункту ФЗ-152, четырех постановлений Правительства, «Приказа трех», Приказа 58, двух документов ФСБ или СТО ответить на 6 вопросов:

  1. Вы выполняете этот пункт ФЗ-152, ПП-781/687/512, Приказа трех, Приказа 58 и методических рекомендаций ФСБ или СТО?
  2. Как вы докажете, что выполняете этот пункт?
  3. Что вы делаете для выполнения этого пункта?
  4. Как и где это регламентируется?
  5. Если вы не пополняете этот пункт, то почему?
  6. Кто отвечает за выполнение данного пункта?

Например, типичная проблема при проверке — уведомление РКН.

  1. Вы уведомили РКН? Да/нет?
  2. Ответ РКН о регистрации в реестре оператора ПДн или квитанция об отправке заказного письма в РКН.
  3. Копия уведомления в РКН и документация, которая легла в основу данных для уведомления.
  4. Данный пункт не регламентируется.
  5. Если вы не уведомили РКН, то каковы у вас были основания для этого? Вы попадаете в исключения, указанный в 22-й статье?
  6. Приказ о создании комиссии или назначении ответственного за решение вопросов приведения в соответствие ФЗ-152.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Ригель

    Знаешь, я бы добавил, что показатель хорошего консультанта — это способность к свертке (компактизации, совмещению, убиванию двух зайцев и т.п.). Если человек не просто знает, а глубоко понимает тему, то он не будет совать вам 28 документов по одному на каждое требование, а скажет: эти три мы покрываем включением в вашу политику ИБ такого-то абзаца, эти уже почти есть в положении по конфиденциалке и т.п.

    Ответить
  2. Андрейка

    В чем смысл консультанта, если всё-равно его работу проверять по каждому пункту. Мне кажется, что если руководитель сядет и ответит на все вопросы по всем нормативным документам (и выполнит), то в результате он получит неплохую СЗПДн.

    Ответить
  3. Анонимный

    а как проверить что он правильно отвечает на вопросы?

    Ответить
  4. Алексей Лукацкий

    Андрейке: Проверять и писать самому — это разные вещи. К тому же, консультантов часто приглашают для того, чтобы самому ничего не делать, а переложить это на чужие плечи.

    melifaroh: Ну можно пригласить аудитора 😉 Но это дорого. А так — только по ответам и манере отвечать. Универсального рецепта нет.

    Ригелю: Согласен. Но тут все зависит от постановки задачи. Если консультант изначально предлагает чуть выйти за рамки "чисто" ПДн и учесть уже имеющиеся нормативные документы у заказчика, то это хорошо. Но заказчик может сказать, что ему нужно пройти проверку регулятора и поэтому нужен ОТДЕЛЬНЫЙ комплект документов. На эту тему я как раз завтра и в четверг отпишусь 😉

    Ответить
  5. Алексей Т.

    О чем пост не понял. 🙂 Скорее выразиться надо так: консультант по итогам своей работы должен представить отчет о выполнении требований по защите ПДн. И в него должны быть как раз включены все эти самые пункты ФЗ, ПП и т.д. Если проект эконом-класса и Заказчик сам проверяет выполнение, то зачем здесь консультант? Причем встать на место проверяющих ни у кого не получится — слишком темное и нерегламентированное это самое место, ни опыта ни информации нет. А выполнять "в лоб" — это как раз то, против чего Вы, Алексей боролись (с сертификациями, аттестациями, СКЗИ и т.д.). Судя по всему, концепция у автора поменялась. 🙂 И про интеграторов напоследок — все работают примерно на одном уровне, и защита от регуляторов скорее в лицензии ФСТЭК и формальных документах (ОРД, моделях, актах и т.д.), но не в содержании этих документов. 🙂

    Ответить
  6. Unknown

    Все немножко не о том…
    С Международным днем защиты информации, коллеги!

    Ответить
  7. Алексей Лукацкий

    Консультант ВЫПОЛНЯЕТ, а заказчик ПРОВЕРЯЕТ. А то напишет консультант, что заказчик должен пройти аттестацию и получить 4 лицензии на ЗИ и что, заказчик должен бежать все это выполнять?

    Или другой пример. Обойдет консультант вниманием вопрос обработки резюме, а при проверках этот вопрос обязательно всплывет. Ну и т.д.

    Учитывая, что многие консультанты ВПАРИВАЮТ, а не КОНСУЛЬТИРУЮТ, проверка будет нелишней.

    Ответить
  8. Алексей Т.

    Конечно консультант выполняет. Так вот для того, чтобы консультант отвечал за свои действия, надо хранить отчетные материалы с подписями и печатями, читать обоснование мер. А проверять строго по ФЗ, ПП и т.д. Заказчик не в состоянии — ну нет у него ни опыта, ни компетенции. У меня есть такие Заказчики, которые цепляются к некоторым пунктам ОРД и просят обосновать принимаемые решения — приходится ссылаться на ФЗ, ПП, приказы и тогда он всё понимает. Но таких Закзчиков — 20 процентов от общего числа. Остальным нужны "бумажки".

    Ответить
  9. Ригель

    Алексею Лукацкому:
    Отдельность тоже не исключает свертки.

    Ответить
  10. Алексей Лукацкий

    А это как раз зависит от целеполагания, о котором я завтра опубликую заметку. Кому-то нужна бумажка, кому-то реально работающие документы.

    Ответить
  11. Алексей Т.

    Даже тем, кому просто нужны бумажки, можно сделать нормальные бумажки и от этого интегратор не умрет. Но не умеет 80 процентов интеграторов делать нормальные бумажки, из-за чего появляются такие посты. 🙂

    Ответить
  12. Сергей Борисов

    Хорошо бы, если ещё на первом этапе "планирование работ" консультант подробно расписал как он планирует реализовать выполнение по каждому из требований Регуляторов.

    Дальше нужно принимать работы в соответствии с этим планом.

    Ответить
  13. doom

    2 Сергей Б.

    Ну вообще-то на первом этапе работ консультант еще не знает, что представляет собой объект защиты и какие механизмы защиты там уже реализованы, поэтому, как показывает практика, заказчику достаточно внятного рассказа о порядке проведения работ, целях и результатах каждой стадии/этапа.

    А предложенный вариант Алексеем хорош — у нас один заказчик уже успел и проверку ФСТЭК пройти и проверку ФСБ — наверное все же имеет смысл готовить заказчика к вопросам регуляторов заранее — иначе не на все они сами способны оперативно отреагировать (а иной раз вопросы/замечания регулятора реально могут поставить в тупик).

    Ответить