Из чего складывается стоимость аутсорсинга мероприятий по защите персональных данных

На закономерный вопрос о стоимости работ по защите персональных данных на принципах аутсорсинга ответить не так просто. Операторам необходимо понимать структуру затрат на выполнения мероприятий, чтобы обойтись без казусов в момент визита контролирующих органов. Бытует мнение, что можно показать бумажку (сертификат, аттестат соответствия и т.п.) и на этом все закончится. Однако Росвязькомнадзор так не считает. Программа проверок довольно обширна и включает в себя все явно прописанные требования Федерального закона №152-ФЗ и Постановления Правительства №781. Но требования на этом не заканчиваются. Если у Россвязьнадзора есть основания полагать, что оператором не выполнены технические меры защиты информации или нарушаются правила использования шифровальных (криптографических) средств, то он имеет полное право пригласить для дополнительной проверки ФСТЭК и ФСБ. В настоящее время разрабатываются соответствующие регламенты. Чем это может грозить, понятно без лишних слов. Какие вывод следует сделать из вышесказанного?

Понятно, что для того, чтобы полностью избежать рисков, связанных с санкциями соответствующих органов, необходима комплексная, полная защита персональных данных в соответствии с требованиями законодательства. Из каких же составляющих складывается комплексная защита, а значит и полная стоимость всех мероприятий?

Первый и основополагающий момент – это организационные мероприятия. Необходимо разработать предусмотренные нормативными актами организационно-распорядительные документы, издать соответствующие приказы, назначить ответственных лиц. Здесь следует помнить, что именно ответственные лица понесут ответственность в случае наложения административного взыскания. Важно провести инструктаж лиц, работающих с персональными данными, донести до них важность проводимых мероприятий.

Второе – это описание системы защиты персональных данных. Некоторые ведомства требуют, чтобы описание системы защиты было оформлено в виде технического проекта в соответствии с ГОСТ. Это дополнительные затраты аутсорсера.

Третий момент – средства защиты информации. Следует иметь в виду, что окончательная стоимость средств защиты (технических и программных) будет понятна только в тот момент, когда оператор (силами аутсорсера или собственными силами) провел хотя бы минимальное обследование информационных систем персональных данных и составил акт о классификации. Очевидно, что стоимость средств защиты информации будет разниться в зависимости от класса системы, топологии сети, наличия подключения к сети Интернет, количества персональных компьютеров, на которых ведется обработка персональных данных, и других параметров. Сюда же следует отнести установку и настройку средств защиты, что влечет за собой дополнительные затраты. Необходимо помнить, что некоторые средства защиты могут быть установлены только организацией-лицензиатом ФСБ или ФСТЭК.


Четвертый момент – аттестация введенной в эксплуатацию системы защиты персональных данных. Аттестация обязательна для информационных систем персональных данных самых высоких классов защищенности - 2-го и 1-го. Это последний важный момент, однако он не имеет смысла без предыдущих этапов. Ни один лицензиат не выдаст аттестат соответствия на информационную систему, если не будут выполнены ВСЕ вышеперечисленные требования. Даже если такой найдется, то при визите контролирующих органов все встанет на свои места. И полученная на первый взгляд экономия обернется потерями в виде штрафов и нервных потрясений.

Как можно сэкономить, не нарушая требования Закона?
Во-первых, часть работ оператору вполне по силам сделать самостоятельно. Например, провести инвентаризацию, назначить ответственных лиц, уведомить Россвязькомнадзор о начале обработки персональных данных. А вот более сложные моменты стоит поручить аутсорсеру – от разработки организационных документов, написания технического проекта до поставки и грамотной настройки всех средств защиты а также, безусловно, аттестации. Во-вторых, тщательно подойти к выбору средств защиты информации, например, проконсультировавшись у лицензиата ФСТЭК. Разброс цен на рынке большой, и есть возможность сделать наиболее оптимальный выбор, то есть получить необходимый функционал за меньшие деньги.

Как можно сэкономить еще больше?
Выполнить хотя бы минимальные требования, озвученные в 781-м Постановлении правительства, закупить и настроить (с помощью аутсорсера) средства защиты информации в соответствии с требованиями методических документов ФСТЭК и ФСБ, описать и ввести в эксплуатацию систему. Такой вариант обойдется гораздо дешевле, нежели чем делать все «от и до». Однако операторам следует быть готовым к тому, что контролирующие органы настойчиво попросят их внести доработки в систему защиты, что повлечет дополнительные затраты.

Подводя итог, следует сказать, что вопрос стоимости мероприятий по защите персональных данных индивидуален. Оператор сам волен выбрать объем заказываемых работ. Однако ему следует учитывать риски невыполнения тех или иных требований. И в любом случае, лучше обратиться за консультацией к профессионалам.

Все электронные аукционы по закупкам будут проходить через три государственные электронные площадки

Глава Сбербанка Герман Греф презентовал дочернюю компанию банка — «Сбербанк-АСТ», которая будет выполнять функции оператора по организации и проведению открытых аукционов для государственных закупок в электронной форме. С июля этого года правительство постановило, что государственные структуры, министерст­ва и ведомства смогут осуществлять госзакупки лишь на государственных электронных площадках, а не на част­ных, как было ранее. Распоряжением правительства от 1 июня 2009 года №755-р такими площадками были определены «Сбербанк-АСТ», «Единая электронная торговая площадка» и ФГУП «Агентство по государственному заказу, инвестиционной деятельности и межрегиональным связям Республики Татарстан». Перевод госзакупок с аукционов на электронные площадки был осуществлен, чтобы снизить коррумпированность и непрозрачность в сфере проведения госзакупок, которые неоднократно выявлялись ФАС. Так, например, недавно служба запретила указывать в наименовании госзаказов латинские буквы: зачастую заказчики подменяли русские буквы в предмете заказа, что исключало данные закупки из поиска на официальном сайте.

«Мы подключились в эту систему исходя из двух соображений. Во-первых, мы все это время продолжали работу с МЭР и ФАС, а во-вторых, мы увидели для себя перспективы развития бизнеса», — рассказал вчера Герман Греф. По его словам, создание такой электронной площадки — это системная мера по формированию значительно более конкурентной, более прозрачной среды в стране в целом.

Электронная площадка «Сбербанк-АСТ» была создана на базе компании «Амбит-Сервис», 100% которой Сбербанк приобрел в середине января текущего года. Как отметил Герман Греф, инвестиции в этот проект составили около 10 млн долл. Сбербанк рассчитывает окупить эти средства в течение двух-трех лет. Порядок проведения электронных торгов на «Сбербанк-АСТ» позволяет не раскрывать наименования компаний-претендентов на предварительном этапе проведения аукциона — указывается лишь стоимость предлагаемых товаров и услуг. «Когда от востока до Калининграда любой предприниматель с помощью электронно-цифровой подписи сможет войти в систему, я думаю, что участников будет не один и не пять, а будет двадцать или даже сто. И в этой ситуации заказчику-коррупционеру будет очень трудно», — заявил вчера глава ФАС Игорь Артемьев. По его мнению, появление таких площадок, как площадка Сбербанка, это мощная антикоррупционная мера — из тех, которые были приняты в последнее время. «В зависимости от того, какие заказчики будут выходить на электронные аукционы, можно будет делать вывод о прозрачности соответст­вующих ведомств», — отметил Герман Греф. «Я хочу сказать от имени ФАС, что мы буквально со следующего дня выйдем на заказы через электронную площадку», — добавил сразу же г-н Артемьев.

В свою очередь вице-президент «ОПОРА России» Владислав Корочкин отмечает: «Система электронных закупок предполагает открытость, то есть практически все предприятия, где бы они ни находились, хоть рядом с заказчиком, хоть за тысячу километров, имеют возможность принять участие. Единственным критерием является предложенная цена. При большом количестве участников, при их анонимности и при единственном критерии это потенциально резко снижает коррупционность».

С ним согласен и председатель комитета по экономической политике, предпринимательству и собственности Совета Федерации, член Национального банковского совета Оганес Оганян: «Торговля на уполномоченных государственных сайтах, которые являются публичными и открытыми, для всех компаний и любых предпринимателей, которые готовы принимать участие в поставках, — это шаг вперед». По мнению г-на Оганяна, это снизит коррумпированность и нагрузку на бюджет, потому что закупки станут более эффективными и менее дорогими, к тому же на таких аукционах будет минимизирован человеческий фактор, который являлся элементом коррумпированности». «Понятно, что госзакупки возможны по очень ограниченному перечню товаров. Я за то, чтобы была конкуренция в госзакупках, чтобы была прозрачность, если новая система будет работать — это хорошо», — заявил директор по макроэкономическим исследованиям ВШЭ Сергей Алексашенко.

Источник rbcdaily.ru (c)