/* Variable definitions ==================== */ body { background: #ffffff; margin: 0; padding: 0px; font: x-small Verdana, Arial; text-align: center; color: #333333; font-size/* */:/**/small; font-size: /**/small; } a:link { color: #336699; } a:visited { color: #336699; } a img { border-width: 0; } #outer-wrapper { font: normal normal 100% Verdana, Arial, Sans-serif;; } /* Header ----------------------------------------------- */ #header-wrapper { margin:0; padding: 0; background-color: #c4e1ff; text-align: left; } #header { margin: 0; background-color: #c4e1ff; color: #003366; padding: 0; font: normal normal 210% Verdana, Arial, Sans-serif;; position: relative; } h1.title { padding-top: 38px; margin: 0 2% .1em; line-height: 1.2em; font-size: 100%; } h1.title a, h1.title a:visited { color: #003366; text-decoration: none; } #header .description { display: block; margin: 0 1%; padding: 0 0 40px; line-height: 1.4em; font-size: 50%; } /* Content ----------------------------------------------- */ .clear { clear: both; } #content-wrapper { margin: 0 2%; padding: 0 0 15px; text-align: left; background-color: #ffffff; border: 1px solid #ffffff; border-top: 0; } #main-wrapper { margin-left: 1%; width: 64%; float: left; background-color: #ffffff; display: inline; /* fix for doubling margin in IE */ word-wrap: break-word; /* fix for long text breaking sidebar float in IE */ overflow: hidden; /* fix for long non-text content breaking IE sidebar float */ } #sidebar-wrapper { margin-right: 1%; width: 29%; float: right; background-color: #ffffff; display: inline; /* fix for doubling margin in IE */ word-wrap: break-word; /* fix for long text breaking sidebar float in IE */ overflow: hidden; /* fix for long non-text content breaking IE sidebar float */ } /* Headings ----------------------------------------------- */ h2, h3 { margin: 0; } /* Posts ----------------------------------------------- */ .date-header { margin: 1.5em 0 0; font-weight: normal; color: #999999; font-size: 100%; } .post { margin: 0 0 1.5em; padding-bottom: 1.5em; } .post-title { margin: 0; padding: 0; font-size: 125%; font-weight: bold; line-height: 1.1em; } .post-title a, .post-title a:visited, .post-title strong { text-decoration: none; color: #333333; font-weight: bold; } .post div { margin: 0 0 .75em; line-height: 1.3em; } .post-footer { margin: -.25em 0 0; color: #333333; font-size: 87%; } .post-footer .span { margin-right: .3em; } .post img { padding: 4px; border: 1px solid #ffffff; } .post blockquote { margin: 1em 20px; } .post blockquote p { margin: .75em 0; } /* Added*/
Read more!
/* Comments ----------------------------------------------- */ #comments h4 { margin: 1em 0; color: #999999; } #comments h4 strong { font-size: 110%; } #comments-block { margin: 1em 0 1.5em; line-height: 1.3em; } #comments-block dt { margin: .5em 0; } #comments-block dd { margin: .25em 0 0; } #comments-block dd.comment-footer { margin: -.25em 0 2em; line-height: 1.4em; font-size: 78%; } #comments-block dd p { margin: 0 0 .75em; } .deleted-comment { font-style:italic; color:gray; } .feed-links { clear: both; line-height: 2.5em; } #blog-pager-newer-link { float: left; } #blog-pager-older-link { float: right; } #blog-pager { text-align: center; } /* Sidebar Content ----------------------------------------------- */ .sidebar h2 { margin: 1.6em 0 .5em; padding: 4px 5px; background-color: #ffcc66; font-size: 100%; color: #333333; } .sidebar ul { margin: 0; padding: 0; list-style: none; } .sidebar li { margin: 0; padding-top: 0; padding-right: 0; padding-bottom: .5em; padding-left: 15px; text-indent: -15px; line-height: 1.5em; } .sidebar { color: #333333; line-height:1.3em; } .sidebar .widget { margin-bottom: 1em; } .sidebar .widget-content { margin: 0 5px; } /* Profile ----------------------------------------------- */ .profile-img { float: left; margin-top: 0; margin-right: 5px; margin-bottom: 5px; margin-left: 0; padding: 4px; border: 1px solid #ffffff; } .profile-data { margin:0; text-transform:uppercase; letter-spacing:.1em; font-weight: bold; line-height: 1.6em; font-size: 78%; } .profile-datablock { margin:.5em 0 .5em; } .profile-textblock { margin: 0.5em 0; line-height: 1.6em; } /* Footer ----------------------------------------------- */ #footer { clear: both; text-align: center; color: #333333; } #footer .widget { margin:.5em; padding-top: 20px; font-size: 85%; line-height: 1.5em; text-align: left; } /** Page structure tweaks for layout editor wireframe */ body#layout #header { width: 750px; } -->

среда, 15 июля 2009 г.

Из чего складывается стоимость аутсорсинга мероприятий по защите персональных данных

На закономерный вопрос о стоимости работ по защите персональных данных на принципах аутсорсинга ответить не так просто. Операторам необходимо понимать структуру затрат на выполнения мероприятий, чтобы обойтись без казусов в момент визита контролирующих органов. Бытует мнение, что можно показать бумажку (сертификат, аттестат соответствия и т.п.) и на этом все закончится. Однако Росвязькомнадзор так не считает. Программа проверок довольно обширна и включает в себя все явно прописанные требования Федерального закона №152-ФЗ и Постановления Правительства №781. Но требования на этом не заканчиваются. Если у Россвязьнадзора есть основания полагать, что оператором не выполнены технические меры защиты информации или нарушаются правила использования шифровальных (криптографических) средств, то он имеет полное право пригласить для дополнительной проверки ФСТЭК и ФСБ. В настоящее время разрабатываются соответствующие регламенты. Чем это может грозить, понятно без лишних слов. Какие вывод следует сделать из вышесказанного?


Понятно, что для того, чтобы полностью избежать рисков, связанных с санкциями соответствующих органов, необходима комплексная, полная защита персональных данных в соответствии с требованиями законодательства. Из каких же составляющих складывается комплексная защита, а значит и полная стоимость всех мероприятий?

Первый и основополагающий момент – это организационные мероприятия. Необходимо разработать предусмотренные нормативными актами организационно-распорядительные документы, издать соответствующие приказы, назначить ответственных лиц. Здесь следует помнить, что именно ответственные лица понесут ответственность в случае наложения административного взыскания. Важно провести инструктаж лиц, работающих с персональными данными, донести до них важность проводимых мероприятий.

Второе – это описание системы защиты персональных данных. Некоторые ведомства требуют, чтобы описание системы защиты было оформлено в виде технического проекта в соответствии с ГОСТ. Это дополнительные затраты аутсорсера.

Третий момент – средства защиты информации. Следует иметь в виду, что окончательная стоимость средств защиты (технических и программных) будет понятна только в тот момент, когда оператор (силами аутсорсера или собственными силами) провел хотя бы минимальное обследование информационных систем персональных данных и составил акт о классификации. Очевидно, что стоимость средств защиты информации будет разниться в зависимости от класса системы, топологии сети, наличия подключения к сети Интернет, количества персональных компьютеров, на которых ведется обработка персональных данных, и других параметров. Сюда же следует отнести установку и настройку средств защиты, что влечет за собой дополнительные затраты. Необходимо помнить, что некоторые средства защиты могут быть установлены только организацией-лицензиатом ФСБ или ФСТЭК.


Четвертый момент – аттестация введенной в эксплуатацию системы защиты персональных данных. Аттестация обязательна для информационных систем персональных данных самых высоких классов защищенности - 2-го и 1-го. Это последний важный момент, однако он не имеет смысла без предыдущих этапов. Ни один лицензиат не выдаст аттестат соответствия на информационную систему, если не будут выполнены ВСЕ вышеперечисленные требования. Даже если такой найдется, то при визите контролирующих органов все встанет на свои места. И полученная на первый взгляд экономия обернется потерями в виде штрафов и нервных потрясений.

Как можно сэкономить, не нарушая требования Закона?
Во-первых, часть работ оператору вполне по силам сделать самостоятельно. Например, провести инвентаризацию, назначить ответственных лиц, уведомить Россвязькомнадзор о начале обработки персональных данных. А вот более сложные моменты стоит поручить аутсорсеру – от разработки организационных документов, написания технического проекта до поставки и грамотной настройки всех средств защиты а также, безусловно, аттестации. Во-вторых, тщательно подойти к выбору средств защиты информации, например, проконсультировавшись у лицензиата ФСТЭК. Разброс цен на рынке большой, и есть возможность сделать наиболее оптимальный выбор, то есть получить необходимый функционал за меньшие деньги.

Как можно сэкономить еще больше?
Выполнить хотя бы минимальные требования, озвученные в 781-м Постановлении правительства, закупить и настроить (с помощью аутсорсера) средства защиты информации в соответствии с требованиями методических документов ФСТЭК и ФСБ, описать и ввести в эксплуатацию систему. Такой вариант обойдется гораздо дешевле, нежели чем делать все «от и до». Однако операторам следует быть готовым к тому, что контролирующие органы настойчиво попросят их внести доработки в систему защиты, что повлечет дополнительные затраты.

Подводя итог, следует сказать, что вопрос стоимости мероприятий по защите персональных данных индивидуален. Оператор сам волен выбрать объем заказываемых работ. Однако ему следует учитывать риски невыполнения тех или иных требований. И в любом случае, лучше обратиться за консультацией к профессионалам.

Комментариев нет:

Отправить комментарий