Решил изучить стандарты НАПФ в области обеспечения безопасности ПДн. Начал с Проведения аудита на соответствие требований. Не знаю кому как, но я сразу обратил внимание на то, чтио стандарт похож на СТО БР ИББС-1.1.2007. Чем дальше я читал, тем понятнее мне становилось, что рекомендации Р НАПФ 4.4-2010 - есть клон СТО БР ИББС-1.1.2007.
Например,
Р НАПФ 4.4-2010
"Привлеченная к проведению аудита организация несет ответственность за:
- достоверность заключения по результатам аудита;
- соблюдение конфиденциальности сведений и документов, получаемых и составляемых в ходе проверки пенсионного фонда (за исключением случаев, прямо предусмотренных действующим законодательством РФ)."
СТО БР ИББС-1.1.2007
"Аудиторская организация несет ответственность за:"
- достоверность заключения по результатам аудита ИБ;
- соблюдение конфиденциальности сведений и документов, получаемых и составляемых в ходе аудиторской проверки организации (за исключением случаев, прямо предусмотрен ных действующим законодательством РФ).
И еще много таких примеров :), исключение составляет только Приложение, которое озаглавлено "Методика оценки соответствия......".
Эта методика вызвала положительные впечатления, хоть и похожа на методику самооценки Банка России. Но речь в документе идет все-таки об аудите и критерии аудита выделены. Я бы рекомендовал назвать этот пункт по другому: "Методика оценки критериев аудита, регламентирущих деятельность НАПФ по обработке и защите ПДн".
И еще я не увидел как оценивается критерий "Общий", "Требования к обработке ПДн" и "требования к защите ПДн". Не подкритерии 1.1., 1.2 а именно критерий 1, 2 и 3. Может он не оценивается вообще, то тогда как мы узнаем на сколько выполняется критерий? Для меня это осталось за рамками данного документа.
Удобно ведь не растягивать отчет, а сформулирвоать его на 3-6 листов, а все остальное вынести в приложение. Сказать что Общие требования - выполняются так-то, Требования по обработке - так-то...... Ну а если необходимо посмотреть что конкретно не выполняется и/или выполяется частично, то милости просим в Приложение.
И еще я не увидел как оценивается критерий "Общий", "Требования к обработке ПДн" и "требования к защите ПДн". Не подкритерии 1.1., 1.2 а именно критерий 1, 2 и 3. Может он не оценивается вообще, то тогда как мы узнаем на сколько выполняется критерий? Для меня это осталось за рамками данного документа.
Удобно ведь не растягивать отчет, а сформулирвоать его на 3-6 листов, а все остальное вынести в приложение. Сказать что Общие требования - выполняются так-то, Требования по обработке - так-то...... Ну а если необходимо посмотреть что конкретно не выполняется и/или выполяется частично, то милости просим в Приложение.
Комментариев нет:
Отправить комментарий