4 марта, четверг 17:48
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Интегратор для 152 ФЗ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Интегратор для 152 ФЗ

    Банк заключил договор со сторонней организацией на приведение систем банка в соответствии со 152 ФЗ (не СТО).

    На какие ОСНОВНЫЕ моменты обратить внимание при приемке работы?
    Удачи!

  • #2
    Сообщение от BARD Посмотреть сообщение
    Банк заключил договор со сторонней организацией на приведение систем банка в соответствии со 152 ФЗ (не СТО).

    На какие ОСНОВНЫЕ моменты обратить внимание при приемке работы?
    http://lukatsky.blogspot.com/2009/12/blog-post_25.html

    Комментарий


    • #3
      +1
      Еще как вариант пригласить - внешнего аудитора...

      Комментарий


      • #4
        Сообщение от swan1976 Посмотреть сообщение
        +1
        Еще как вариант пригласить - внешнего аудитора...
        swan1976,
        Дык фактически эта организация и проводит аудит...
        Удачи!

        Комментарий


        • #5
          Сообщение от BARD Посмотреть сообщение
          swan1976,
          Дык фактически эта организация и проводит аудит...
          IMO имеется ввиду внешний аудитор, который будет контролировать интегратора и будет независим от этого интегратора

          Комментарий


          • #6
            Алексей Лукацкий,

            Я имел ввиду именно приемку работы, а не только выбор интегратора...
            Удачи!

            Комментарий


            • #7
              Сообщение от Toparenko Посмотреть сообщение
              IMO имеется ввиду внешний аудитор, который будет контролировать интегратора и будет независим от этого интегратора
              Toparenko,

              Ого... Не уж то кто то это делает?
              Удачи!

              Комментарий


              • #8
                Сообщение от BARD Посмотреть сообщение
                Алексей Лукацкий,

                Я имел ввиду именно приемку работы, а не только выбор интегратора...
                Ну этот вопрос покрыт завесой тайны ;-) Все зависит от того, какую цель вы ставили перед интегратором. Разработка документов, защита от регулятора, 100%-е прохождение проверки, оптимизация ваших усилий и ресурсов и т.п. Исходя из цели, критерии оценки результата могут быть разные.

                Комментарий


                • #9
                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  Ну этот вопрос покрыт завесой тайны ;-) Все зависит от того, какую цель вы ставили перед интегратором. Разработка документов, защита от регулятора, 100%-е прохождение проверки, оптимизация ваших усилий и ресурсов и т.п. Исходя из цели, критерии оценки результата могут быть разные.
                  Алексей Лукацкий,
                  Выполнение требований законодательства по персональным данным
                  Удачи!

                  Комментарий


                  • #10
                    Сообщение от BARD Посмотреть сообщение
                    Toparenko,

                    Ого... Не уж то кто то это делает?
                    Если нет внутри сотрудника который это смогет, то почему бы не нанять конкурента для аудита интеграции.

                    Естественно следует учитывать, что рынок не такой уж и большой и все друг друга знают - соответственно полной независимости не будет.

                    Любые желания за Ваши деньги (с)

                    Комментарий


                    • #11
                      Сообщение от BARD Посмотреть сообщение
                      Алексей Лукацкий,
                      Выполнение требований законодательства по персональным данным
                      Это ни о чем, к сожалению. Абсолютно неконкретно.

                      Комментарий


                      • #12
                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        Это ни о чем, к сожалению. Абсолютно неконкретно.
                        Тем не менее так прописано...
                        Потому и вопрос - на какие основные моменты при приемке работ обратить внимание...?
                        Удачи!

                        Комментарий


                        • #13
                          Сообщение от BARD Посмотреть сообщение
                          Тем не менее так прописано...
                          Потому и вопрос - на какие основные моменты при приемке работ обратить внимание...?
                          Как минимум в договоре с интегратором должны быть прописаны этапы работ и критерии их приемки. Потому, что с одно такой формулировкой ни один интегратор никогда не сдаст работу.

                          Комментарий


                          • #14
                            Сообщение от Toparenko Посмотреть сообщение
                            Как минимум в договоре с интегратором должны быть прописаны этапы работ и критерии их приемки. Потому, что с одно такой формулировкой ни один интегратор никогда не сдаст работу.
                            Это все есть...
                            Удачи!

                            Комментарий


                            • #15
                              Сообщение от Toparenko Посмотреть сообщение
                              Как минимум в договоре с интегратором должны быть прописаны этапы работ и критерии их приемки. Потому, что с одно такой формулировкой ни один интегратор никогда не сдаст работу.
                              Точнее будет сложно ее не принять, т.к. отсутствуют формальные критеории отказа.

                              Комментарий


                              • #16
                                Сообщение от BARD Посмотреть сообщение
                                Это все есть...
                                Так перечислите тут критерии оценки. Может чего и можно будет стоящего сказать.

                                Комментарий


                                • #17
                                  Какие ПД есть у Интергаторов,чтобы им регистрироваться в РКН ???
                                  Удачи!

                                  Комментарий


                                  • #18
                                    Сообщение от BARD Посмотреть сообщение
                                    На какие ОСНОВНЫЕ моменты обратить внимание при приемке работы?
                                    На готовность интегратора доказывать правильность разработанных документов и на убедительность этих доказательств.

                                    Т.е., на вашем месте я бы проводил приемку, представив себя инспектором "три в одном", а специалистов интегратора - сотрудниками банка. И пошел бы по всем пунктам ФЗ/ПП/методических документов:
                                    • "Покажите, где регламентировано выполнение этой обязанности";
                                    • "Какими свидетельствами вы подтвердите выполнение этой нормы";
                                    • "Каким техническим решением выполнено это требование".


                                    Каждый вопрос, на который вы не получите убедительного ответа, который вы готовы были быповторить реальному инспектору, превращается в мотивированное замечание.

                                    Комментарий


                                    • #19
                                      Сообщение от malotavr Посмотреть сообщение
                                      На готовность интегратора доказывать правильность разработанных документов и на убедительность этих доказательств.

                                      Т.е., на вашем месте я бы проводил приемку, представив себя инспектором "три в одном", а специалистов интегратора - сотрудниками банка. И пошел бы по всем пунктам ФЗ/ПП/методических документов:
                                      • "Покажите, где регламентировано выполнение этой обязанности";
                                      • "Какими свидетельствами вы подтвердите выполнение этой нормы";
                                      • "Каким техническим решением выполнено это требование".


                                      Каждый вопрос, на который вы не получите убедительного ответа, который вы готовы были быповторить реальному инспектору, превращается в мотивированное замечание.
                                      Класс!
                                      А есть подборка этих вопросов ?
                                      Если нет - может создать для общего пользования?
                                      Удачи!

                                      Комментарий


                                      • #20
                                        В рекомендациях рабочей группы ЦБ/АРБ есть перечень из 20-ти типовых ошибок. Посмотрите, как результат работы интегратора, устраняет эти ошибки. Это как минимум ;-)

                                        Комментарий


                                        • #21
                                          Сообщение от BARD Посмотреть сообщение
                                          Класс!
                                          А есть подборка этих вопросов ?
                                          Если нет - может создать для общего пользования?
                                          Ну подборка простая. Вопросов всего шесть:
                                          1. Вы ВЫПОЛНЯЕТЕ этот пункт ФЗ-152, ПП-781/687/512, Приказа трех, Приказа 58 и методических рекомендаций ФСБ или СТО?
                                          2. КАК вы докажете, что выполняете этот пункт?
                                          3. ЧТО вы делаете для выполнения этого пункта?
                                          4. Как и ГДЕ это регламентируется?
                                          5. Если вы не пополняете этот пункт, то ПОЧЕМУ?
                                          6. КТО отвечает за выполнение данного пункта?

                                          Например, типичная проблема при проверке - уведомление РКН.
                                          1. Вы уведомили РКН? Да/нет?
                                          2. Ответ РКН о регистрации в реестре оператора ПДн или квитанция об отправке заказного письма в РКН.
                                          3. Копия уведомления в РКН и документация, которая легла в основу данных для уведомления.
                                          4. Данный пункт не регламентируется.
                                          5. Если вы не уведомили РКН, то каковы у вас были основания для этого? Вы попадаете в исключения, указанный в 22-й статье?
                                          6. Приказ о создании комиссии или назначении ответственного за решение вопросов приведения в соответствие ФЗ-152

                                          Примерно так.

                                          Комментарий


                                          • #22
                                            Сообщение от BARD Посмотреть сообщение
                                            Класс!
                                            А есть подборка этих вопросов ?
                                            Если нет - может создать для общего пользования?
                                            Проявите творческую фантазию.

                                            ФЗ 152:
                                            Статья 6. Условия обработки персональных данных

                                            1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
                                            Берете перечень своих ИСПД и по каждой ИСПД интересуетесь, где у тут у нас регламентировано получение согласия?

                                            2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
                                            ...
                                            Если получение согласия для какой-то ИСПД не регламентировано, то на каком из перечисленных оснований?

                                            Статья 7. Конфиденциальность персональных данных
                                            1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
                                            А где тут у нас регламентированы мероприятия по обепечению конфиденциальности? Для каждой из ИСПД, естественно.

                                            И так далее, норма за нормой. Сперва ФЗ, потом ПП 781, потом приказ трех, потом приказ ФСТЭК 58, потом ПП 687.

                                            Комментарий


                                            • #23
                                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                                              Ну подборка простая. Вопросов всего шесть:
                                              1. Вы ВЫПОЛНЯЕТЕ этот пункт ФЗ-152, ПП-781/687/512, Приказа трех, Приказа 58 и методических рекомендаций ФСБ или СТО?
                                              2. КАК вы докажете, что выполняете этот пункт?
                                              3. ЧТО вы делаете для выполнения этого пункта?
                                              4. Как и ГДЕ это регламентируется?
                                              5. Если вы не пополняете этот пункт, то ПОЧЕМУ?
                                              6. КТО отвечает за выполнение данного пункта?

                                              Например, типичная проблема при проверке - уведомление РКН.
                                              1. Вы уведомили РКН? Да/нет?
                                              2. Ответ РКН о регистрации в реестре оператора ПДн или квитанция об отправке заказного письма в РКН.
                                              3. Копия уведомления в РКН и документация, которая легла в основу данных для уведомления.
                                              4. Данный пункт не регламентируется.
                                              5. Если вы не уведомили РКН, то каковы у вас были основания для этого? Вы попадаете в исключения, указанный в 22-й статье?
                                              6. Приказ о создании комиссии или назначении ответственного за решение вопросов приведения в соответствие ФЗ-152

                                              Примерно так.
                                              Я бы добавил общие вещи:
                                              - любой ответ на вопрос должен иметь документальное отражение - тоесть прописан в приказе/положении/руководстве/инструкции(пользователям и т.п.). Устный ответ он и есть устный ответ.
                                              - рекомендую учесть разработку инструкций ответственным/должностным лицам в части касающейся.

                                              Очень важный момент:
                                              Часть терминологии используемой в ФЗ и связанных РД/ПП и т.п. толкуется регуляторами по разному даже в пределах территориальных подразделений одного и того же ведомства! Поэтому обратите внимание(занудно) почему то или иное требование толкуется Интегратором именно так!
                                              Например:
                                              - уничтожение данных;
                                              - обезличивание данных;
                                              - обработка данных (автоматизированная/ручная...)
                                              - использование терминального доступа и т.п.

                                              Удачи...

                                              Комментарий


                                              • #24
                                                Коллеги, а как вы думаете, может составить коллективный список вопросов, на которые надо ответить проверяющим при проверках по ИБ???

                                                Типа как шпаргалка. Наверняка они у них есть...
                                                Удачи!

                                                Комментарий


                                                • #25
                                                  Сообщение от BARD Посмотреть сообщение
                                                  Коллеги, а как вы думаете, может составить коллективный список вопросов, на которые надо ответить проверяющим при проверках по ИБ???

                                                  Типа как шпаргалка. Наверняка они у них есть...
                                                  Предлагаете помочь ФСТЭК/РКН/ФСБ в разработке критериев оценки выполнения требований по защите персональных даных?

                                                  На самом деле инициатива хорошая, только нужно подумать, как ее исполнить.

                                                  Комментарий


                                                  • #26
                                                    Вопрос только в том, нужен ли такой список проверяющим...

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                      Вопрос только в том, нужен ли такой список проверяющим...
                                                      Думаю он у них имеется в виде инструкций по проверкам или может сами наклепали...

                                                      Думаю если мы составим такой список - нам легко будет оценить себя на предмет проверки...

                                                      Хорошо бы конечно у регуляторов такие списочки попросить, но то что дадут врят ли, хотя ничего секретного в них быть не должно...

                                                      Давайте составлять?
                                                      Удачи!

                                                      Комментарий


                                                      • #28
                                                        поискать не пробовали

                                                        http://www.iso27000.ru/informacionny...onalnyh-dannyh

                                                        http://www.ispdn.ru/forum/index.php?...=y#message3165

                                                        http://lukatsky.blogspot.com/2009/04/blog-post_16.html

                                                        Комментарий


                                                        • #29
                                                          Сообщение от BARD Посмотреть сообщение
                                                          Давайте составлять?
                                                          Составите драфт?

                                                          Комментарий

                                                          Обработка...
                                                          X