Интегратор для 152 ФЗ
Банк заключил договор со сторонней организацией на приведение систем банка в соответствии со 152 ФЗ (не СТО).
На какие ОСНОВНЫЕ моменты обратить внимание при приемке работы?
На какие ОСНОВНЫЕ моменты обратить внимание при приемке работы?
-
Удачи! -
http://lukatsky.blogspot.com/2009/12/blog-post_25.htmlСообщение от BARD Посмотреть сообщение -
+1Сообщение от Алексей Лукацкий Посмотреть сообщение
Еще как вариант пригласить - внешнего аудитора...Комментарий
-
swan1976,Сообщение от swan1976 Посмотреть сообщение
Дык фактически эта организация и проводит аудит...Удачи!Комментарий
-
IMO имеется ввиду внешний аудитор, который будет контролировать интегратора и будет независим от этого интегратораСообщение от BARD Посмотреть сообщениеКомментарий
-
Алексей Лукацкий,Сообщение от Алексей Лукацкий Посмотреть сообщение
Я имел ввиду именно приемку работы, а не только выбор интегратора...Удачи!Комментарий
-
Комментарий
-
Ну этот вопрос покрыт завесой тайны ;-) Все зависит от того, какую цель вы ставили перед интегратором. Разработка документов, защита от регулятора, 100%-е прохождение проверки, оптимизация ваших усилий и ресурсов и т.п. Исходя из цели, критерии оценки результата могут быть разные.Сообщение от BARD Посмотреть сообщениеКомментарий
-
Алексей Лукацкий,Сообщение от Алексей Лукацкий Посмотреть сообщение
Выполнение требований законодательства по персональным данным
Удачи!Комментарий
-
Если нет внутри сотрудника который это смогет, то почему бы не нанять конкурента для аудита интеграции.Сообщение от BARD Посмотреть сообщение
Естественно следует учитывать, что рынок не такой уж и большой и все друг друга знают - соответственно полной независимости не будет.
Любые желания за Ваши деньги (с)
Комментарий
-
Это ни о чем, к сожалению. Абсолютно неконкретно.Сообщение от BARD Посмотреть сообщениеАлексей Лукацкий,
Выполнение требований законодательства по персональным даннымКомментарий
-
Тем не менее так прописано...Сообщение от Алексей Лукацкий Посмотреть сообщение
Потому и вопрос - на какие основные моменты при приемке работ обратить внимание...?Удачи!Комментарий
-
Как минимум в договоре с интегратором должны быть прописаны этапы работ и критерии их приемки. Потому, что с одно такой формулировкой ни один интегратор никогда не сдаст работу.Сообщение от BARD Посмотреть сообщениеКомментарий
-
-
Точнее будет сложно ее не принять, т.к. отсутствуют формальные критеории отказа.Сообщение от Toparenko Посмотреть сообщениеКомментарий
-
Так перечислите тут критерии оценки. Может чего и можно будет стоящего сказать.Сообщение от BARD Посмотреть сообщениеКомментарий
-
Какие ПД есть у Интергаторов,чтобы им регистрироваться в РКН ???Удачи!Комментарий
-
На готовность интегратора доказывать правильность разработанных документов и на убедительность этих доказательств.Сообщение от BARD Посмотреть сообщение
Т.е., на вашем месте я бы проводил приемку, представив себя инспектором "три в одном", а специалистов интегратора - сотрудниками банка. И пошел бы по всем пунктам ФЗ/ПП/методических документов:- "Покажите, где регламентировано выполнение этой обязанности";
- "Какими свидетельствами вы подтвердите выполнение этой нормы";
- "Каким техническим решением выполнено это требование".
Каждый вопрос, на который вы не получите убедительного ответа, который вы готовы были быповторить реальному инспектору, превращается в мотивированное замечание.Комментарий
-
Класс!Сообщение от malotavr Посмотреть сообщение
А есть подборка этих вопросов ?
Если нет - может создать для общего пользования?Удачи!Комментарий
-
В рекомендациях рабочей группы ЦБ/АРБ есть перечень из 20-ти типовых ошибок. Посмотрите, как результат работы интегратора, устраняет эти ошибки. Это как минимум ;-)Комментарий
-
Ну подборка простая. Вопросов всего шесть:Сообщение от BARD Посмотреть сообщениеКласс!
А есть подборка этих вопросов ?
Если нет - может создать для общего пользования?
1. Вы ВЫПОЛНЯЕТЕ этот пункт ФЗ-152, ПП-781/687/512, Приказа трех, Приказа 58 и методических рекомендаций ФСБ или СТО?
2. КАК вы докажете, что выполняете этот пункт?
3. ЧТО вы делаете для выполнения этого пункта?
4. Как и ГДЕ это регламентируется?
5. Если вы не пополняете этот пункт, то ПОЧЕМУ?
6. КТО отвечает за выполнение данного пункта?
Например, типичная проблема при проверке - уведомление РКН.
1. Вы уведомили РКН? Да/нет?
2. Ответ РКН о регистрации в реестре оператора ПДн или квитанция об отправке заказного письма в РКН.
3. Копия уведомления в РКН и документация, которая легла в основу данных для уведомления.
4. Данный пункт не регламентируется.
5. Если вы не уведомили РКН, то каковы у вас были основания для этого? Вы попадаете в исключения, указанный в 22-й статье?
6. Приказ о создании комиссии или назначении ответственного за решение вопросов приведения в соответствие ФЗ-152
Примерно так.Комментарий
-
Проявите творческую фантазию.Сообщение от BARD Посмотреть сообщениеКласс!
А есть подборка этих вопросов ?
Если нет - может создать для общего пользования?
ФЗ 152:
Берете перечень своих ИСПД и по каждой ИСПД интересуетесь, где у тут у нас регламентировано получение согласия?Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Если получение согласия для какой-то ИСПД не регламентировано, то на каком из перечисленных оснований?2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
...
А где тут у нас регламентированы мероприятия по обепечению конфиденциальности? Для каждой из ИСПД, естественно.Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
И так далее, норма за нормой. Сперва ФЗ, потом ПП 781, потом приказ трех, потом приказ ФСТЭК 58, потом ПП 687.Комментарий
-
Я бы добавил общие вещи:Сообщение от Алексей Лукацкий Посмотреть сообщение
- любой ответ на вопрос должен иметь документальное отражение - тоесть прописан в приказе/положении/руководстве/инструкции(пользователям и т.п.). Устный ответ он и есть устный ответ.
- рекомендую учесть разработку инструкций ответственным/должностным лицам в части касающейся.
Очень важный момент:
Часть терминологии используемой в ФЗ и связанных РД/ПП и т.п. толкуется регуляторами по разному даже в пределах территориальных подразделений одного и того же ведомства! Поэтому обратите внимание(занудно) почему то или иное требование толкуется Интегратором именно так!
Например:
- уничтожение данных;
- обезличивание данных;
- обработка данных (автоматизированная/ручная...)
- использование терминального доступа и т.п.
Удачи...Комментарий
-
Коллеги, а как вы думаете, может составить коллективный список вопросов, на которые надо ответить проверяющим при проверках по ИБ???
Типа как шпаргалка. Наверняка они у них есть...Удачи!Комментарий
-
Предлагаете помочь ФСТЭК/РКН/ФСБ в разработке критериев оценки выполнения требований по защите персональных даных?Сообщение от BARD Посмотреть сообщение
На самом деле инициатива хорошая, только нужно подумать, как ее исполнить.Комментарий
-
Вопрос только в том, нужен ли такой список проверяющим...Комментарий
-
Думаю он у них имеется в виде инструкций по проверкам или может сами наклепали...Сообщение от Алексей Лукацкий Посмотреть сообщение
Думаю если мы составим такой список - нам легко будет оценить себя на предмет проверки...
Хорошо бы конечно у регуляторов такие списочки попросить, но то что дадут врят ли, хотя ничего секретного в них быть не должно...
Давайте составлять?Удачи!Комментарий
-
Комментарий