30.11.2010

Как проверить работу консультанта по ПДн?

Когда-то я уже поднимал вопрос о том, как выбрать консультанта по ПДн. На днях на bankir.ru подняли вопрос о том, как принять проделанную таким консультантом работу? На мой взгляд надо встать на место каждого из трех проверяющих (РКН, ФСТЭК и ФСБ) и по каждому пункту ФЗ-152, четырех постановлений Правительства, "Приказа трех", Приказа 58, двух документов ФСБ или СТО ответить на 6 вопросов:

  1. Вы выполняете этот пункт ФЗ-152, ПП-781/687/512, Приказа трех, Приказа 58 и методических рекомендаций ФСБ или СТО?
  2. Как вы докажете, что выполняете этот пункт?
  3. Что вы делаете для выполнения этого пункта?
  4. Как и где это регламентируется?
  5. Если вы не пополняете этот пункт, то почему?
  6. Кто отвечает за выполнение данного пункта?
Например, типичная проблема при проверке - уведомление РКН.
  1. Вы уведомили РКН? Да/нет?
  2. Ответ РКН о регистрации в реестре оператора ПДн или квитанция об отправке заказного письма в РКН.
  3. Копия уведомления в РКН и документация, которая легла в основу данных для уведомления.
  4. Данный пункт не регламентируется.
  5. Если вы не уведомили РКН, то каковы у вас были основания для этого? Вы попадаете в исключения, указанный в 22-й статье?
  6. Приказ о создании комиссии или назначении ответственного за решение вопросов приведения в соответствие ФЗ-152.

13 коммент.:

Ригель комментирует...

Знаешь, я бы добавил, что показатель хорошего консультанта - это способность к свертке (компактизации, совмещению, убиванию двух зайцев и т.п.). Если человек не просто знает, а глубоко понимает тему, то он не будет совать вам 28 документов по одному на каждое требование, а скажет: эти три мы покрываем включением в вашу политику ИБ такого-то абзаца, эти уже почти есть в положении по конфиденциалке и т.п.

Андрейка комментирует...

В чем смысл консультанта, если всё-равно его работу проверять по каждому пункту. Мне кажется, что если руководитель сядет и ответит на все вопросы по всем нормативным документам (и выполнит), то в результате он получит неплохую СЗПДн.

melifaroh комментирует...

а как проверить что он правильно отвечает на вопросы?

Алексей Лукацкий комментирует...

Андрейке: Проверять и писать самому - это разные вещи. К тому же, консультантов часто приглашают для того, чтобы самому ничего не делать, а переложить это на чужие плечи.

melifaroh: Ну можно пригласить аудитора ;-) Но это дорого. А так - только по ответам и манере отвечать. Универсального рецепта нет.

Ригелю: Согласен. Но тут все зависит от постановки задачи. Если консультант изначально предлагает чуть выйти за рамки "чисто" ПДн и учесть уже имеющиеся нормативные документы у заказчика, то это хорошо. Но заказчик может сказать, что ему нужно пройти проверку регулятора и поэтому нужен ОТДЕЛЬНЫЙ комплект документов. На эту тему я как раз завтра и в четверг отпишусь ;-)

Алексей Т. комментирует...

О чем пост не понял. :-) Скорее выразиться надо так: консультант по итогам своей работы должен представить отчет о выполнении требований по защите ПДн. И в него должны быть как раз включены все эти самые пункты ФЗ, ПП и т.д. Если проект эконом-класса и Заказчик сам проверяет выполнение, то зачем здесь консультант? Причем встать на место проверяющих ни у кого не получится - слишком темное и нерегламентированное это самое место, ни опыта ни информации нет. А выполнять "в лоб" - это как раз то, против чего Вы, Алексей боролись (с сертификациями, аттестациями, СКЗИ и т.д.). Судя по всему, концепция у автора поменялась. :-) И про интеграторов напоследок - все работают примерно на одном уровне, и защита от регуляторов скорее в лицензии ФСТЭК и формальных документах (ОРД, моделях, актах и т.д.), но не в содержании этих документов. :-)

officerinfosec комментирует...

Все немножко не о том...
С Международным днем защиты информации, коллеги!

Алексей Лукацкий комментирует...

Консультант ВЫПОЛНЯЕТ, а заказчик ПРОВЕРЯЕТ. А то напишет консультант, что заказчик должен пройти аттестацию и получить 4 лицензии на ЗИ и что, заказчик должен бежать все это выполнять?

Или другой пример. Обойдет консультант вниманием вопрос обработки резюме, а при проверках этот вопрос обязательно всплывет. Ну и т.д.

Учитывая, что многие консультанты ВПАРИВАЮТ, а не КОНСУЛЬТИРУЮТ, проверка будет нелишней.

Алексей Т. комментирует...

Конечно консультант выполняет. Так вот для того, чтобы консультант отвечал за свои действия, надо хранить отчетные материалы с подписями и печатями, читать обоснование мер. А проверять строго по ФЗ, ПП и т.д. Заказчик не в состоянии - ну нет у него ни опыта, ни компетенции. У меня есть такие Заказчики, которые цепляются к некоторым пунктам ОРД и просят обосновать принимаемые решения - приходится ссылаться на ФЗ, ПП, приказы и тогда он всё понимает. Но таких Закзчиков - 20 процентов от общего числа. Остальным нужны "бумажки".

Ригель комментирует...

Алексею Лукацкому:
Отдельность тоже не исключает свертки.

Алексей Лукацкий комментирует...

А это как раз зависит от целеполагания, о котором я завтра опубликую заметку. Кому-то нужна бумажка, кому-то реально работающие документы.

Алексей Т. комментирует...

Даже тем, кому просто нужны бумажки, можно сделать нормальные бумажки и от этого интегратор не умрет. Но не умеет 80 процентов интеграторов делать нормальные бумажки, из-за чего появляются такие посты. :-)

Сергей Б комментирует...

Хорошо бы, если ещё на первом этапе "планирование работ" консультант подробно расписал как он планирует реализовать выполнение по каждому из требований Регуляторов.

Дальше нужно принимать работы в соответствии с этим планом.

doom комментирует...

2 Сергей Б.

Ну вообще-то на первом этапе работ консультант еще не знает, что представляет собой объект защиты и какие механизмы защиты там уже реализованы, поэтому, как показывает практика, заказчику достаточно внятного рассказа о порядке проведения работ, целях и результатах каждой стадии/этапа.

А предложенный вариант Алексеем хорош - у нас один заказчик уже успел и проверку ФСТЭК пройти и проверку ФСБ - наверное все же имеет смысл готовить заказчика к вопросам регуляторов заранее - иначе не на все они сами способны оперативно отреагировать (а иной раз вопросы/замечания регулятора реально могут поставить в тупик).