Самооценка соответствия организации требованиям 152-ФЗ о персональных данных - Форум по вопросам информационной безопасности

to Павел Симонов
А... комплайенс... менеджмент... сегмент... Тогда понятно, почему вы все в одну кучу мешаете, никак не можете сформулировать, чего хотите, и пытаетесь искать решения в стиле "быстро, качественно, объективно и желательно нахаляву"...
С другой стороны, благодарю за подтверждение наблюдения, что такие подходы не зависят от образования - это состояние души и/или деформация под воздействием внешних факторов...

ЗЫ Упреждая. Если бы вы в первом же сообщении не привели ссылку на *вырезано* лохотрон для эффективных менеджеров */вырезано* в качестве примера, а далее хотя бы попытались раскрыть смысл или детали неведомой "самооценки" для обсуждения конкретики - был бы другой коленкор...

Вот вы мне нос утерли :)
А я всего лишь спрашивал о средствах оценки соответствия. Кто чем пользуется. Ну зато получил ответ на множество других вопросов. Тоже хорошо.

to Павел Симонов
Да причем тут нос?
Еще раз. Оценка соответствия чего-либо чему-либо - это комплексный процесс. Кстати, в вопросах ИБ упирающийся в хренову гору "белых пятен", первичных стратегий, приемлимых рисков и т.д. Единых средств автоматизации для этого не существует и не может существовать (во всяком случае с уровнем качества и объективности, превышающим "заранее известную проверку ревизоров под конъячок", ага). Если же вам кто-либо будет утверждать обратное, смело действуйте по методу К.Пруткова. А если вас интересуют средства автоматизации для конкретных (подчеркиваю) задач в рамках какой-либо оценки - то так и говорите...
И в контексте соответствия всем (подчеркиваю) требованиям, положениям, порядка и проч. законодательства по ПДн лучше сразу учесть масштабы и границы организации, процессов обработки ПДн и инфраструктуры. Потому что иначе опять на выходе получится сферический конь в вакууме...

Я спрашивал про конкретный закон, устанавливающий вполне конкретные требования, которые в организации либо выполняются, либо нет. Никаких принципиальных сложностей с базовой оценкой их выполнения я не увидел, прочитав данный закон. Да, есть нюансы, по которым требуется консультироваться с юристами, кадровикам, технарями, лицензиатами и т.д. это нормально.

Но почему вы считаете, что не существует универсальных эффективных средств автоматизации данного процесса? Производители GRC систем нас обманывают? Что принципиально сложного может быть в автоматизации опросов? Это не ИИ. Качество и глубина оценки будет зависеть от качества опросника и честности ответов.

to Павел Симонов
Если вы не видите никаких сложностей, то в чем проблема самостоятельно изучить процессы в своей организации, перечитать 152-ФЗ, выписать все требования в один огромный документ и провести опрос на базе этого первичный анализ, простите, опрос? Потом провернуть тот же финт с соответствующими ПП РФ, нормативкой ФСТЭК, бумажками РКН, бумажками ведомственной принадлежности организации, а если для защиты ПДн используется криптография - то и нормативкой ФСБ (и не только 378 Приказ, ага) и т.д. Переложить это все на существующую стратегию безопасности в конкретной организации, понять, что и с чем согласуется, от чего зависит, чем выполняется, от чего умышленно отказались (простите, компенсировали) и т.д. Влезть по локоть в используемые ИС, в реализованные процессы и пощупать их за жабры (потому что опрос - это одно, а фактическое состояние той же технической части, зачастую, совсем другое). Ввести в уравнение особенности взаимодействия с регуляторами по всем выявленным спорным вопросам (коих будет дохрена)...
imho, с продвижением по этой кривой появится понимание, что во всем этом ворохе + применительно к конкретным реалиям конкретной организации + если своих рук не хватает, то без привлечения дополнительных специалистов обойтись не получится. Поэтому вы начнете искать вменяемых людей, лучше всего с лицензией и ... = error! error! модуль разъяснений перегрелся на фоне сильного приступа дежа вю! =
Конечно, можно забить на логику и провести исключительно "высокоуровневый" опрос на базе какой-то "бумажки" (даже в электронном виде) с вопросами и галочками или полями для ответа. Тем более, что оценивать качество этого опроса будут аналогичным образом. Получить по результатам приемлимые ХХ баллов и с чувством гордости за решение комплайнс-задачи радоваться жизни... = error! error! модуль самоповтора зафиксировал повторную отсылку к ЕГЭ! =

ЗЫ Недавние "опросники" Минцифры весьма показательны. Выявлены критические уязвимости? Получите +баллы к итоговому рейтингу. Утверждаете, что критических уязвимостей в ваших системах нет? Очень жаль, снижаем рейтинг...

Вы слишком глубоко копаете. Есть более общие задачи, которые состоят из частных. Есть общая задача обеспечения безопасности организации, она включает в себя обеспечение ИБ, что включает в том числе защиту ПДн, что включает обеспечение соответствие нормативным требованиям в области ПДн, что включает оценку соответствия этим требованиям, что включает в том числе оценку соответствия 152-ФЗ, что включает формирования плана обеспечения соответствия и контроль его выполнения (я упрощаю немного). Это лишь одна из частных задач. А вы мне про стратегию, особенности регуляторов, всю совокупность нормативных документов и т.д. Я же не говорю, что это все не важно. Просто я толкую о небольшой частной задачке, а вы обо всем сразу.

Без грамотно составленных опросников, вы никакого серьезного аудита провести не сможете. Если кто-то говорит, что ему все известно и он знает как обеспечивать соответствие нормативным требованиям, то пускай покажет свои опросники и сформированные по ним отчеты. Сразу все будет ясно.

to Павел Симонов
Это без работы головного мозга, очной ставки по месту и вменяемой обратной связи качественный аудит провести не получится. А опросники - это так, приятное дополнение и, как максимум, вещественное доказательство, чтобы опрошенные потом не отказывались от своих слов. И то не факт (по причине хреновой горы нюансов, ага)...
Или мы все-таки говорим не об опросниках как форме, но об эффективных алгоритмах оценки, ключевых звеньях и совокупности всех правил, норм и требований, выполнение которых нужно оценить, а также нюансах их переложения на деятельность конкретной, $!@^*, организации?
И да, в случае != (ООО "Рога и копыта" исключительно с кадровым учетом работников), не рискнул бы называть оценку соблюдения всех положений, норм и т.д. в контексте 152-ФЗ и его подзаконных актов "небольшой частной задачкой"...

Не буду с вами спорить насчет ценности опросников. Конечно можно взять качественно сделанный аудиторский отчет со всеми приложениями, обходить всех действующих лиц в организации лично и шпарить прям по этому отчету. Или можно распечатать нормативные документы и устроить совместные с заказчиком чтения с обсуждением основных положений и фиксацией результатов. Пусть это раз в 10 менее эффективно, но что поделать, если аудитор не смог или не счел нужным заранее подготовить вменяемые опросники. У него же времени много за деньги заказчика.

Вам же еще и очную ставку и вменяемую обратную связь надо обеспечить, а также совокупность всех правил и норм.... Вы наверное с крупными и средними заказчиками работаете в основном.

Думаю, не открою вам тайны, что помимо нескольких сотен крупных заказчиков, от которых кормятся консультанты, интеграторы и прочие лицензиаты, у нас в стране существуют сотни тысяч малых и микро бизнесов, включая ИП, с численностью работников от 1 до 50 человек, на которых точно также в полном объеме распространяются требования 152-ФЗ и у которых нет и никогда не будет денег на лицензиатов и очные ставки.

to Павел Симонов
Предположения и, imho, вся цепочка рассуждений у вас в корне неверные...
Primo, "качественно сделанный аудиторский отчет со всеми приложениями" не формируется исключительно путем заполнения какого-либо опросника. Тут либо не будет качества, либо приложений, либо аудиторов в принципе...
Secundo, малый бизнес (читай, имеющий малые территориальные масштабы и средства автоматизации, упрощенные процессы обработки ИОД, малое количество точек приема-передачи-хранения-обработки ИОД и т.д.) может позволить себе потратить 50-100 тыс.руб. (в Мск, наверное, дороже) и несколько дней времени на комплексное очное обследование, по результатам которого получить исчерпывающий перечень рекомендаций применительно к его, бизнесу, ситуации, а не многократно упомянутого коня в вакууме (по результатам заполнения каких-то левых опросников на каких-то левых сайтах, ага)...
Tertio, тот же, кто жмет подобные деньги и/или время, либо сам разбирается в теме на достаточном для него уровне (с учетом принимаемых на себя рисков возможных люлей), либо в принципе не хочет заморачиваться на соблюдение требований законодательства (до тех пор, пока гром не грянет). И уж явно не ориентируется в своей деятельности на complience management practices...
Last, в последний раз: если хотите вменяемый ответ, то очертите область и круг интересов своего первичного вопроса. А то эта игра в верю не верю перестает быть забавной...

ЗЫ Судя по всему, вас явно "обидел" какой-то лицензиат (увы, такое довольно часто встречается, потому что получить лицензию ТЗКИ не составляет проблем, а вот думать головой и работать - это долго, заморочно и не приносит 100500% профита). Не стесняйтесь, назовите его имя, изложите подробности - сорвите с него маску, чтобы мы знали, кого утром следует повесить на крепостной стене (с)

Говорите красиво, но немного не туда. Поясню в привычном для вас формате.

Primo, разве кто-то утверждал, что аудиторский отчет формируется исключительно путем заполнение опросника? Речь шла о том, что с опросниками этот процесс эффективнее может быть реализован, конечно если опросники качественные.

Secundo, про левые опросники и левые сайты никто не говорит. Нам нужны качественные опросники и качественные сайты и не только заказчикам они нужны, но и тем кто оказывает услуги. Хотя за 50-100 тыр я представляю себе уровень услуг. Здесь и сайта может не быть. Как раз для того, чтобы услуги так дешево стоили и при этом они были качественные и нужны средства автоматизации,т.е. compliance tools. В связи с тем и начата данная тема.

Tertio, если человек (организация) не разбирается в теме хотя бы на минимальном уровне, то они не будут в ней разбираться и после ухода подрядчика. Останутся просто с ворохом бумаги и не будет особой разницы, где они эту бумагу взяли.

Last, конечно к данному моменту нашей дискуссии уже можно было и забыть "про круг интересов первичного запроса". Я вроде спрашивал о средствах автоматизации оценки соответствия 152-ФЗ. Вы меня убеждаете, что таких средств не бывает и что это профанация. Наверное, если бы мне понадобились, скажем, средства анализа угроз или управления уязвимостями или чем угодно, то все ваши рассуждения в той же самой степени относились бы к ним.

ЗЫ Лицензиаты меня не обижали. Я надеюсь, что тоже их не обидел. Просто тема у меня не про выбор лицензиатов, а про выбор инструментальных средств, облегчающих решение определенных задач. А то, что еще возникла определенная методологическая дискуссия - да пусть будет.