Как выбрать консультанта по ПДн?

Как выбрать консультанта по ПДн?
Очень часто мне задают вопрос "Как выбрать консультанта/интегратора по приведению себя в соответствие с требованиями ФЗ-152?". Вопрос не простой, но есть простое решение, которое позволит отсечь явно некомпетентные компании. Первое. с чего стоит начать, проверить наличие кандидата на оказание вам услуг в реестре операторов ПДн . Учитывая, что все интеграторы заявляют, что уведомление в РКН посылать надо, то простое обращение к реестру РКН станет отличной проверкой того, интегратор действительно знает, что говорит или он просто вас запугивает, планируя стрясти побольше денег. Разумеется, это упрощенная схема, но она работает. Год назад я уже поднимал эту тему, но с тех пор ничего не поменялось. Интеграторы как не регистрировались как операторы ПДн, так и не регистрируются, прекрасно понимая, какие проблемы это влечет за собой. Тогда какое они имеют право требовать этого от вас? Вторым шагом по проверке компетентности консультанта/интегратора является затребование у него всех тех документов, которые он будет разрабатывать для вас - модели угроз, акты классификации, приказы, инструкции, руководства и т.д. Ведь он же должен был все это разработать для своей компании, как оператора ПДн. Причем требовать надо документы подписанныеруководством консультанта/интегратора, а не просто шаблоны. В противном случае опять получается, что он будет предлагать вам то, что на себе не проверял и в реальной жизни может не работать. Ну и третьим шагом является краткое собеседование с целью выяснить, какие варианты оптимизации ваших затрат предлагает консультант/интегратор. Из этой беседы вы сразу поймете, какую цель будет преследовать даже компетентная в области ПДн компания - помочь вам или "срубить бабла". Как раз недавно анализировал документы одного такого интегратора, говоряего о себе, как о лидере рынка ПДн/ИБ. Но в реестре операторов ПДн его нет, подготовленные им документы явно неработоспособны в той компании, для которой они делались, и почти никаких рекомендаций по оптимизации. Зато набор рекомендаций стандартен - аттестация, лицензирование, использование сертифицированных СЗИ/СКЗИ (это для HP UX и каналов связи, работающих на скоростях 10 Гбит/сек) и т.д.
проблемы ИБ-компаний персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас