Самооценка соответствия организации требованиям 152-ФЗ о персональных данных - Форум по вопросам информационной безопасности

Здравствуйте, Коллеги

Кто-нибудь озадачивался самооценкой своей организации в части выполнения требований 152-ФЗ о персональных данных? Существуют ли автоматизированные средства или сервисы для такой оценки (желательно бесплатные)?

Нашел сайт persdatasec.ru. Кто-нибудь им пользовался? Какие еще есть возможности или сайты на эту тему?

Вопросов много. Обратитесь к лицензиату. Будет проще.

Интересуют не лицензиаты, а именно сервисы или инструментарий для самостоятельной оценки соответствия. Услуги лицензиатов слишком дороги и длительны по времени.

*в сторону*
Бесспорно, глупо тратиться на вменяемого кадровика (для контроля процессов обработки ПДн "сотрудников"), вменяемого юриста (аналогично для ПДн "клиентов"), вменяемых ИТ-специалистов и вменяемого безопасника (для поддержания, контроля и "обезопасивания" используемых средств автоматизированной обработки ПДн). Глупо привлекать сторонних специалистов (для избавления от "замылевания глаз"), глупо учить собственных сотрудников (для предотвращения утечек и проч.) и глупо тратиться на выстраивание внутренних и внешних процессов своей организации...
Куда лучше искать какие-то сервисы в Сети, где, наверняка, исключительно грамотные эксперты, ни разу не бегло пробежавшись по "Консультанту", составили тесты на все случаи жизни для укрепления самооценки всех страждущих. И пачку сервисов, созданных еще более крутыми экспертами, которые позволяют буквально парой кликов "обезопасить" себя пачкой бумаги. Сетевые эксперты и ИТ-системы же врать не будут, ага...

ЗЫ Здесь должна быть шутка про ЕГЭ, но не смог придумать несколько вариантов, включая правильный...

Вообще по-моему не туда комментарий. Т.е. по вашему для оценки соответствия организации требованиям ИБ никакие инструментальные средства не нужны что ли? Хорошо. Тогда скажите мне зачем многие организации тратятся на средства для оценки рисков, анализа событий безопасности и инцидентов, управления уязвимостями, политиками ИБ и т.п. Для решения всех этих задач можно привлечь сторонних экспертов. Наличие сторонних экспертов, что снимает необходимость в использовании каких-либо средств или сервисов? Или наоборот: использование СЗИ снимает необходимость привлечения сторонних экспертов? По-моему, одно другому не противоречит.

А что за шутка про ЕГЭ?

Глянул сайт, так ненавязчиво рекламируемый автором темы. От потолка заполнил ответы и получил сертификат о том, что моя "потолочная" компания соответствует требованиям 152-ФЗ на 57% ))) Что могу написать. Рекламируемый сайт точно не для самооценки, скорее, как шпаргалка, напоминалка о том, что нужно не забыть привести в порядок в части ПДн.

В целом, по сути темы, что Денис, что oko ответили по существу и вполне исчерпывающе.
Павел Симонов, если на Вас в организации повесили ответственность за организацию обработки ПДн или т.п., то лучше изучайте и вникайте в нормативку по ПДн. Никакой сервис самооценки не сможет подготовить Вас к проверке регулятора (Роскомнадзора).

Спасибо за ваше мнение. Я понимаю, что подготовка к проверке регулятора и защита ПДн в целом, это комплексный процесс и никакой отдельный сервис или софтинка всех вопросов не закроет. Для обеспечение соответствия много чего нужно.

Услуги лицензиатов также требуют контроля. Консультанты проведут аудит и выдадут вам отчет с рекомендациями. Как убедится в полноте отчета и объективности их оценок? Проще всего сопоставить с другим отчетом. Для проведения регулярных внутренних аудитов нужны нормально составленные опросники, как минимум, а также желательно средства оценивания и формирования отчетов.

to Павел Смирнов
Комментарий был по принципу "каков запрос, таков и ответ"...
Primo, не надо переобуваться в полете. Вы вначале выдумали несуществующую "самооценку выполнения требований 152-ФЗ", а теперь говорите про инструментальные средства аудита, анализа уязвимостей и инцидентов и т.д. На будущее: требования именно 152-ФЗ лежат в первую очередь в юридической (правовой) плоскости, а всяческие инструментальные средства - в технической, которые именно к 152-ФЗ имеют крайне косвенное отношение...
Secundo, катить бочку на лицензиатов может, imho, другой лицензиат или регулятор. Поскольку они знают внутреннюю кухню и могут оценить их работу объективно. А мешать лицензиатов с консультантами, с SOC-подрядчиками, с независимыми экспертами и проч. в одну кучу - это вообще за гранью добра и зла...
Tertio, шутка про ЕГЭ, видимо, не зашла...
Last, не существует вменяемых инструментальных сервисов и готовых опросников для ситуации "сам не знаю, чего имею и чего хочу". Для ситуации "все в одном: правовая, организационная и техническая части без сферических коней в вакууме на выходе" тоже не существует. Для того и привлекаются люди с опытом и экспертизой, чтобы понять, что конкретно нужно организации, в чем у нее проблемы и как их решить. Хотите качественной оценки? Подтяните собственный тезаурус, изучите нормативку, наведите порядок в организационной и технической части внутри своей организации, держите это все под контролем. Хотите после этого независимой объективной оценки? Вызовите на приватный разговор пару лицензиатов по-очереди, изложите им первичные данные (под соответствующее NDA), запросите КП на инфообследование (за это 100500 денег берут только очень жадные личности) и выбирайте тех, кто дает среднюю цену и вменяемые сроки, исходя из вашего собственного понимания ситуации...

ЗЫ А если, не вникая в специфику самостоятельно, надеяться на какие-то автоматизированные средства, которые к тому же стоят дешевле времени и сил специалистов, то фокус либо не получится, либо радости точно не принесет, ага...

*в догонку*
Извиняюсь, некорректно указал: разумеется, "to Павел Симонов"...

да, шутка про ЕГЭ видимо не зашла из-за, что я сам ЕГЭ не сдавал и никаких ассоциаций с этим не имею.

в ваших рассуждения есть логика, если адресоваться к тому, кто с нуля начинает вникать в эти вопросы, хотя средства самооценки я бы не стал отбрасывать и в этом случае.

вы почему-то то ли не слышали, то ли не признаете наличие огромного сегмента под названием compliance management, охватывающего и правовые вопросы и технические и кадровые и все что угодно, включая ИБ, и большого набора инструментальный средств, упрощающих и автоматизирующих проведение комплайенс-мероприятий.