Проблема выбора интегратора действительно существует и является актуальной в условиях жесткой конкуренции и в порыве компаний заработать "халявных денег" на предоставлении услуг в области защиты ПДн.
Возвращаясь к томуже проекту документа "Концепция аудита ИБ.......", заострил свое внимание на пункте 7 Требование к кадровому обеспечению аудиторской деятельности. Изучив данный пункт каждая организация может составить своего рода план оценки интегратора.
Процесс оценки включает в себя следующие этапы:
1. Оценка личных качеств и знаний группы специалистов участвующих в проекте по защите информации ограниченного доступа (именно специалистов "участвующих", а не специалистов работающих в организации.).
2. Определить критерии оценки.
3. Выбор метода оценки.
4. Проведение оценки.
Этап на которые стоит обратить пристальное внимание - это определение критериев оценки.
К таким критериям в документе определяют:
- наличие базового образования;
- наличие практического опыта;
- наличие специального образования (курсы повышения квалификации, переподготовки, сертификации, аккредитации и т.д.);
- знание российских и международных нормативно-правовых актов;
- свободное владение деловым русским языком (важный аспект, так как разрабатываемые документы интегратором должны содержать стилистически и орфографически грамотные обороты, которые понятны всем, а не только человеку который их написал).
Применительно к организации, а не ее специалистам, я бы ввел еще такой критерий, как количество успешно выполненных проектов, аналогичных Вашему.
Наличие базового образования - высшего технического образования по направлению ИТ, ИБ.
Наличие практического опыта - опыт в проведение и участии в проектах, подобному Вашему, желательно, чтобы опыт имел нижнюю планку - 3года.
Знание российской и международной нормативки - как бы хорошо человек не знал российскую нормативку это не поможет ему провести, например аудит по стандарту Cobit или ISO 2700x.
В целом, п.7 "Концепции аудита....." я отнесу к полезной информации, которая может помочь многим специалистам и организациям в процессе выбора интегратора по ИБ.
2 комментария:
Ну если речь идёт о проекте по защите ПДн, то нижняя планка 3 года - жестковато ;) С учётом того, что закон приняли в 2007, а реальные проекты интеграторы протолкнули только в 2008.
Защита ПДн и защита информаци ограниченного доступа имеют одинаковые принципы организации. Если специалист 4 года проводил работы по защите информации ограниченного доступа, а последние 2 года занимается ПДн, то вполне подходит. А вот если спец занимался аттестацией объектов информатизации и технической защитой, то доверить ему проект по защите ПДн довольно сомнительный шаг.
Отправить комментарий