Статья: Из чего складывается стоимость защиты персональных данных?

На закономерный вопрос о стоимости работ по защите персональных данных на принципах аутсорсинга ответить не так просто. Операторам необходимо понимать структуру затрат на выполнения мероприятий, чтобы обойтись без казусов в момент визита контролирующих органов. Бытует мнение, что можно показать бумажку (сертификат, аттестат соответствия и т.п.) и на этом все закончится. Однако Роскомнадзор так не считает. Программа проверок довольно обширна и включает в себя все явно прописанные требования Федерального закона №152-ФЗ и Постановления Правительства № 1119.

   Но требования на этом не заканчиваются. Если у Роскомнадзора есть основания полагать, что оператором не выполнены технические меры защиты информации или нарушаются правила использования шифровальных (криптографических) средств, то он имеет полное право пригласить для дополнительной проверки ФСТЭК и ФСБ. В настоящее время разрабатываются соответствующие регламенты. Чем это может грозить, понятно без лишних слов. Какие вывод следует сделать из вышесказанного?

   Понятно, что для того, чтобы полностью избежать рисков, связанных с санкциями соответствующих органов, необходима комплексная, полная защита персональных данных в соответствии с требованиями законодательства. Из каких же составляющих складывается комплексная защита, а значит и полная стоимость всех мероприятий?

Первый момент – это аудит информационной системы. Под термином аудит информационной системы понимается системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию.

Второй и основополагающий момент - это организационные мероприятия. Необходимо разработать предусмотренные нормативными актами организационно-распорядительные документы, издать соответствующие приказы, назначить ответственных лиц. Здесь следует помнить, что именно ответственные лица понесут ответственность в случае наложения административного взыскания. Важно провести инструктаж лиц, работающих с персональными данными, донести до них важность проводимых мероприятий. И конечно не забываем о физической защите.

Третий момент - средства защиты информации. Следует иметь в виду, что окончательная стоимость средств защиты (технических и программных) будет понятна только в тот момент, когда оператор (силами аутсорсера или собственными силами) провел хотя бы минимальное обследование информационных систем персональных данных и составил акт о классификации. Очевидно, что стоимость средств защиты информации будет разниться в зависимости от класса системы, топологии сети, наличия подключения к сети Интернет, количества персональных компьютеров, на которых ведется обработка персональных данных, и других параметров. Сюда же следует отнести установку и настройку средств защиты, что влечет за собой дополнительные затраты. Необходимо помнить, что некоторые средства защиты могут быть установлены только организацией-лицензиатом ФСБ или ФСТЭК.

Четвертый момент – аттестация/декларация введенной в эксплуатацию системы защиты персональных данных. Это важный момент, однако он не имеет смысла без предыдущих этапов. Ни один лицензиат не выдаст аттестат соответствия на информационную систему, если не будут выполнены ВСЕ вышеперечисленные требования. Даже если такой найдется, то при визите контролирующих органов все встанет на свои места. И полученная на первый взгляд экономия обернется потерями в виде штрафов и нервных потрясений.

Пятый момент – обеспечение защиты информации в ходе эксплуатации системы защиты персональных данных. Необходимо разработать и ввести в действия регламенты: по управлению (администрированию) системой защиты информации, по выявлению инцидентов и реагированию на них, по контролю (мониторингу) за обеспечением уровня защищенности информации, содержащейся в информационной системе.

Подводя итог, следует сказать, что вопрос стоимости мероприятий по защите персональных данных индивидуален. Оператор сам волен выбрать объем заказываемых работ. Однако ему следует учитывать риски невыполнения тех или иных требований. И в любом случае, лучше обратиться за консультацией к профессионалам. Обязательное условие - наличие лицензии ФСТЭК на техническую защиту конфиденциальной информации.



 

Авторские права: ООО "Информзащита-Софт" г. Смоленск 2012-2018