Кто должен проводить оценку эффективности принимаемых мер по обеспечению безопасности ПДн, если их обрабатывает другая организация(Поверенный) в своей ИСПДн по договору поручения на обработку ПДн?
to Денис
А согласно п. 6 Приказа 21 ФСТЭК России - оператор :)
Что, imho, корректнее, потому что Владелец ИСПДн может быть номинальным и чисто "финансирующим/указывающим" (какое-нибудь министерство), а вот Оператор с ПДн и их "обезопасиванием" работает непосредственно, ага...
И да, никто не мешает разделить задачи и ответственность: хранят одни, собирают/вносят/модифицируют/уничтожают другие, а защиту и оценку обеспечивают третьи (четвертые, пятые, шестые). Было бы это корректно документально закреплено...
