четверг, 24 ноября 2011 г.

Предложения по корректировке СТО БР ИББС

Все с нетерпением ждут подзаконных актов по персональным данным, а затем и обновленную версию СТО БР ИББС-1.0. В данном посте мы бы хотели поделиться нашими соображениями на тему того, что следует скорректировать в новой редакции стандарта:

1) Необходимо доработать стандарт на предмет разделения на процессы БПТП, БИТП и процессы, в которых обрабатываются ПДн. Здесь видится 2 пути развития: или мы оставляем это разделение, но тогда это нужно отразить во всех документах Комплекса БР ИББС, или отказаться от разделения на процессы и защищать все процессы одинаково.

2) Убрать конфликтные моменты:
- коэффициенты групповых показателей не равны 1 в группах М18 и М33
- привязка уточняющих вопросов по типам ИСПДн не везде корректна
- требования в РС БР ИББС-2.3-2010 и распределение по типам ИСПДн в некоторых случаях конфликтуют…

3) Определить единый подход к тому, как должны оцениваться те или иные частные показатели и уточняющие вопросы: только по документируемости, только по выполняемости или по тому и другому.

4) Конкретизировать математику расчетов частных показателей, относящихся к области персональных данных, а именно оценку показателей, на которые влияют уточняющие вопросы Приложения В.

5) Неплохо было бы сделать проверочную таблицу по «связным показателям». Это реализовано у нас в ISM Revision: Audit Manager, но появление рекомендаций по этому вопросу, так же как в документе РС БР ИББС-2.3-2010 есть ссылки на пункты с требованиями, думается нам было бы не лишним.

6) Ну и конечно же, прописать область ПДн в соответствии с подзаконными актами, которых мы все ждем!!!

Комментариев нет:

Отправить комментарий