Защита персональных данных
Структура законодательства в сфере защиты персональных данных
Защита персональных данных - общие сведения
Алгоритм приведения организации в соответствие 152-ФЗ
Перечень мероприятий по защите персональных данных
Риски невыполнения требований по защите персональных данных
Из чего складывается стоимость защиты персональных данных
Главная >>    Из чего складывается стоимость защиты персональных данных   

Из чего складывается стоимость защиты персональных данных

На закономерный вопрос о стоимости работ по защите персональных данных на принципах аутсорсинга ответить не  так просто. Операторам необходимо понимать структуру затрат на выполнения мероприятий, чтобы обойтись без казусов в момент визита контролирующих органов. Бытует мнение, что можно показать бумажку (сертификат, аттестат соответствия и т.п.) и на этом все закончится. Однако Росвязькомнадзор так не считает. Программа проверок довольно обширна и включает в себя все явно прописанные требования Федерального закона №152-ФЗ и Постановления Правительства №1119. Но требования на этом не заканчиваются. Если у Россвязьнадзора есть основания полагать, что оператором не выполнены технические меры защиты информации или нарушаются правила использования шифровальных (криптографических) средств, то он имеет полное право пригласить для дополнительной проверки ФСТЭК и ФСБ. В настоящее время разрабатываются соответствующие регламенты. Чем это может грозить, понятно без лишних слов. Какие вывод следует сделать из вышесказанного?

 

Понятно, что для того, чтобы полностью избежать рисков, связанных с санкциями соответствующих органов, необходима комплексная, полная защита персональных данных в соответствии с требованиями законодательства. Из каких же составляющих складывается комплексная защита, а значит и полная стоимость всех мероприятий?

 

Первый и основополагающий момент - это организационные мероприятия. Необходимо разработать предусмотренные нормативными актами организационно-распорядительные документы, издать соответствующие приказы, назначить ответственных лиц. Здесь следует помнить, что именно ответственные лица понесут ответственность в случае наложения административного взыскания. Важно провести инструктаж лиц, работающих с персональными данными, донести до них важность проводимых мероприятий.

 

Второе - это проектирование системы защиты персональных данных. Некоторые ведомства требуют, чтобы проект на систему защиты был оформлено в виде технического проекта в соответствии с ГОСТ. Это дополнительные затраты аутсорсера.

 

Третий момент - средства защиты информации. Следует иметь в виду, что окончательная стоимость средств защиты (технических и программных) будет понятна только в тот момент, когда оператор (силами аутсорсера или собственными силами) провел хотя бы минимальное обследование информационных систем персональных данных и составил акт о классификации (об определении уровня защищенности). Очевидно, что стоимость средств защиты информации будет разниться в зависимости от класса системы (уровня защищенности), топологии сети, наличия подключения к сети Интернет, количества персональных компьютеров, на которых ведется обработка персональных данных, и других параметров. Сюда же следует отнести установку и настройку средств защиты, что влечет за собой дополнительные затраты. Необходимо помнить, что средства защиты могут быть установлены только организацией-лицензиатом ФСБ или ФСТЭК.

 

Четвертый момент - аттестация введенной в эксплуатацию системы защиты персональных данных. Аттестация обязательна для государственных (муниципальных) информационных систем персональных данных. Это последний важный момент, однако он не имеет смысла без предыдущих этапов. Ни один лицензиат не выдаст аттестат соответствия на информационную систему, если не будут выполнены ВСЕ вышеперечисленные требования. Даже если такой найдется, то при визите контролирующих органов все встанет на свои места. И полученная на первый взгляд экономия обернется потерями в виде штрафов и нервных потрясений.

 

Как можно сэкономить, не нарушая требования Закона?

 

Во-первых, часть работ оператору вполне по силам сделать самостоятельно. Например, провести инвентаризацию, назначить ответственных лиц, уведомить Россвязькомнадзор о начале обработки персональных данных. А вот более сложные моменты стоит поручить аутсорсеру - от разработки организационных документов, написания технического проекта до поставки и грамотной настройки всех средств защиты а также, безусловно, аттестации. Во-вторых, тщательно подойти к выбору средств защиты информации, например, проконсультировавшись у лицензиата ФСТЭК. Разброс цен на рынке большой, и есть возможность сделать наиболее оптимальный выбор, то есть получить необходимый функционал за меньшие деньги.

 

Как можно сэкономить еще больше?

 

Выполнить хотя бы минимальные требования, озвученные в 1119-м Постановлении правительства, закупить и настроить (с помощью аутсорсера) средства защиты информации в соответствии с требованиями методических документов ФСТЭК и ФСБ, спроектировать и ввести в эксплуатацию систему. Такой вариант обойдется гораздо дешевле, нежели чем делать все «от и до». Однако операторам следует быть готовым к тому, что контролирующие органы настойчиво попросят их внести доработки в систему защиты, что повлечет дополнительные затраты.

Подводя итог, следует сказать, что вопрос стоимости мероприятий по защите персональных данных индивидуален. Оператор сам волен выбрать объем заказываемых работ. Однако ему следует учитывать риски невыполнения тех или иных требований. И в любом случае, лучше обратиться за консультацией к профессионалам. Обязательное условие - наличие лицензии ФСТЭК на техническую защиту конфиденциальной информации.


Copyright (c) 2017 "Кредо-С"
Создание сайтов в Туле - WebGK.ru
г. Тула, ул. Демонстрации, 27
Факс: (4872) 71-71-74
e-mail: uc@credos.ru
 
(4872) 71-71-74
(495) 225-60-59