Все с нетерпением ждут подзаконных актов по персональным данным, а затем и обновленную версию СТО БР ИББС-1.0. В данном посте мы бы хотели поделиться нашими соображениями на тему того, что следует скорректировать в новой редакции стандарта:
1) Необходимо доработать стандарт на предмет разделения на процессы БПТП, БИТП и процессы, в которых обрабатываются ПДн. Здесь видится 2 пути развития: или мы оставляем это разделение, но тогда это нужно отразить во всех документах Комплекса БР ИББС, или отказаться от разделения на процессы и защищать все процессы одинаково.
2) Убрать конфликтные моменты:
- коэффициенты групповых показателей не равны 1 в группах М18 и М33
- привязка уточняющих вопросов по типам ИСПДн не везде корректна
- требования в РС БР ИББС-2.3-2010 и распределение по типам ИСПДн в некоторых случаях конфликтуют…
3) Определить единый подход к тому, как должны оцениваться те или иные частные показатели и уточняющие вопросы: только по документируемости, только по выполняемости или по тому и другому.
4) Конкретизировать математику расчетов частных показателей, относящихся к области персональных данных, а именно оценку показателей, на которые влияют уточняющие вопросы Приложения В.
5) Неплохо было бы сделать проверочную таблицу по «связным показателям». Это реализовано у нас в ISM Revision: Audit Manager, но появление рекомендаций по этому вопросу, так же как в документе РС БР ИББС-2.3-2010 есть ссылки на пункты с требованиями, думается нам было бы не лишним.
6) Ну и конечно же, прописать область ПДн в соответствии с подзаконными актами, которых мы все ждем!!!
Комментариев нет:
Отправить комментарий