Когда-то я уже поднимал вопрос о том, как выбрать консультанта по ПДн. На днях на bankir.ru подняли вопрос о том, как принять проделанную таким консультантом работу? На мой взгляд надо встать на место каждого из трех проверяющих (РКН, ФСТЭК и ФСБ) и по каждому пункту ФЗ-152, четырех постановлений Правительства, «Приказа трех», Приказа 58, двух документов ФСБ или СТО ответить на 6 вопросов:
- Вы выполняете этот пункт ФЗ-152, ПП-781/687/512, Приказа трех, Приказа 58 и методических рекомендаций ФСБ или СТО?
- Как вы докажете, что выполняете этот пункт?
- Что вы делаете для выполнения этого пункта?
- Как и где это регламентируется?
- Если вы не пополняете этот пункт, то почему?
- Кто отвечает за выполнение данного пункта?
Например, типичная проблема при проверке — уведомление РКН.
- Вы уведомили РКН? Да/нет?
- Ответ РКН о регистрации в реестре оператора ПДн или квитанция об отправке заказного письма в РКН.
- Копия уведомления в РКН и документация, которая легла в основу данных для уведомления.
- Данный пункт не регламентируется.
- Если вы не уведомили РКН, то каковы у вас были основания для этого? Вы попадаете в исключения, указанный в 22-й статье?
- Приказ о создании комиссии или назначении ответственного за решение вопросов приведения в соответствие ФЗ-152.
Знаешь, я бы добавил, что показатель хорошего консультанта — это способность к свертке (компактизации, совмещению, убиванию двух зайцев и т.п.). Если человек не просто знает, а глубоко понимает тему, то он не будет совать вам 28 документов по одному на каждое требование, а скажет: эти три мы покрываем включением в вашу политику ИБ такого-то абзаца, эти уже почти есть в положении по конфиденциалке и т.п.
В чем смысл консультанта, если всё-равно его работу проверять по каждому пункту. Мне кажется, что если руководитель сядет и ответит на все вопросы по всем нормативным документам (и выполнит), то в результате он получит неплохую СЗПДн.
а как проверить что он правильно отвечает на вопросы?
Андрейке: Проверять и писать самому — это разные вещи. К тому же, консультантов часто приглашают для того, чтобы самому ничего не делать, а переложить это на чужие плечи.
melifaroh: Ну можно пригласить аудитора 😉 Но это дорого. А так — только по ответам и манере отвечать. Универсального рецепта нет.
Ригелю: Согласен. Но тут все зависит от постановки задачи. Если консультант изначально предлагает чуть выйти за рамки "чисто" ПДн и учесть уже имеющиеся нормативные документы у заказчика, то это хорошо. Но заказчик может сказать, что ему нужно пройти проверку регулятора и поэтому нужен ОТДЕЛЬНЫЙ комплект документов. На эту тему я как раз завтра и в четверг отпишусь 😉
О чем пост не понял. 🙂 Скорее выразиться надо так: консультант по итогам своей работы должен представить отчет о выполнении требований по защите ПДн. И в него должны быть как раз включены все эти самые пункты ФЗ, ПП и т.д. Если проект эконом-класса и Заказчик сам проверяет выполнение, то зачем здесь консультант? Причем встать на место проверяющих ни у кого не получится — слишком темное и нерегламентированное это самое место, ни опыта ни информации нет. А выполнять "в лоб" — это как раз то, против чего Вы, Алексей боролись (с сертификациями, аттестациями, СКЗИ и т.д.). Судя по всему, концепция у автора поменялась. 🙂 И про интеграторов напоследок — все работают примерно на одном уровне, и защита от регуляторов скорее в лицензии ФСТЭК и формальных документах (ОРД, моделях, актах и т.д.), но не в содержании этих документов. 🙂
Все немножко не о том…
С Международным днем защиты информации, коллеги!
Консультант ВЫПОЛНЯЕТ, а заказчик ПРОВЕРЯЕТ. А то напишет консультант, что заказчик должен пройти аттестацию и получить 4 лицензии на ЗИ и что, заказчик должен бежать все это выполнять?
Или другой пример. Обойдет консультант вниманием вопрос обработки резюме, а при проверках этот вопрос обязательно всплывет. Ну и т.д.
Учитывая, что многие консультанты ВПАРИВАЮТ, а не КОНСУЛЬТИРУЮТ, проверка будет нелишней.
Конечно консультант выполняет. Так вот для того, чтобы консультант отвечал за свои действия, надо хранить отчетные материалы с подписями и печатями, читать обоснование мер. А проверять строго по ФЗ, ПП и т.д. Заказчик не в состоянии — ну нет у него ни опыта, ни компетенции. У меня есть такие Заказчики, которые цепляются к некоторым пунктам ОРД и просят обосновать принимаемые решения — приходится ссылаться на ФЗ, ПП, приказы и тогда он всё понимает. Но таких Закзчиков — 20 процентов от общего числа. Остальным нужны "бумажки".
Алексею Лукацкому:
Отдельность тоже не исключает свертки.
А это как раз зависит от целеполагания, о котором я завтра опубликую заметку. Кому-то нужна бумажка, кому-то реально работающие документы.
Даже тем, кому просто нужны бумажки, можно сделать нормальные бумажки и от этого интегратор не умрет. Но не умеет 80 процентов интеграторов делать нормальные бумажки, из-за чего появляются такие посты. 🙂
Хорошо бы, если ещё на первом этапе "планирование работ" консультант подробно расписал как он планирует реализовать выполнение по каждому из требований Регуляторов.
Дальше нужно принимать работы в соответствии с этим планом.
2 Сергей Б.
Ну вообще-то на первом этапе работ консультант еще не знает, что представляет собой объект защиты и какие механизмы защиты там уже реализованы, поэтому, как показывает практика, заказчику достаточно внятного рассказа о порядке проведения работ, целях и результатах каждой стадии/этапа.
А предложенный вариант Алексеем хорош — у нас один заказчик уже успел и проверку ФСТЭК пройти и проверку ФСБ — наверное все же имеет смысл готовить заказчика к вопросам регуляторов заранее — иначе не на все они сами способны оперативно отреагировать (а иной раз вопросы/замечания регулятора реально могут поставить в тупик).