Понятно, что для того, чтобы полностью избежать рисков, связанных с санкциями соответствующих органов, необходима комплексная, полная защита персональных данных в соответствии с требованиями законодательства. Из каких же составляющих складывается комплексная защита, а значит и полная стоимость всех мероприятий?
Первый и основополагающий момент – это организационные мероприятия. Необходимо разработать предусмотренные нормативными актами организационно-распорядительные документы, издать соответствующие приказы, назначить ответственных лиц. Здесь следует помнить, что именно ответственные лица понесут ответственность в случае наложения административного взыскания. Важно провести инструктаж лиц, работающих с персональными данными, донести до них важность проводимых мероприятий.
Второе – это описание системы защиты персональных данных. Некоторые ведомства требуют, чтобы описание системы защиты было оформлено в виде технического проекта в соответствии с ГОСТ. Это дополнительные затраты аутсорсера.
Третий момент – средства защиты информации. Следует иметь в виду, что окончательная стоимость средств защиты (технических и программных) будет понятна только в тот момент, когда оператор (силами аутсорсера или собственными силами) провел хотя бы минимальное обследование информационных систем персональных данных и составил акт о классификации. Очевидно, что стоимость средств защиты информации будет разниться в зависимости от класса системы, топологии сети, наличия подключения к сети Интернет, количества персональных компьютеров, на которых ведется обработка персональных данных, и других параметров. Сюда же следует отнести установку и настройку средств защиты, что влечет за собой дополнительные затраты. Необходимо помнить, что некоторые средства защиты могут быть установлены только организацией-лицензиатом ФСБ или ФСТЭК.
Четвертый момент – аттестация введенной в эксплуатацию системы защиты персональных данных. Аттестация обязательна для информационных систем персональных данных самых высоких классов защищенности - 2-го и 1-го. Это последний важный момент, однако он не имеет смысла без предыдущих этапов. Ни один лицензиат не выдаст аттестат соответствия на информационную систему, если не будут выполнены ВСЕ вышеперечисленные требования. Даже если такой найдется, то при визите контролирующих органов все встанет на свои места. И полученная на первый взгляд экономия обернется потерями в виде штрафов и нервных потрясений.
Как можно сэкономить, не нарушая требования Закона?
Во-первых, часть работ оператору вполне по силам сделать самостоятельно. Например, провести инвентаризацию, назначить ответственных лиц, уведомить Россвязькомнадзор о начале обработки персональных данных. А вот более сложные моменты стоит поручить аутсорсеру – от разработки организационных документов, написания технического проекта до поставки и грамотной настройки всех средств защиты а также, безусловно, аттестации. Во-вторых, тщательно подойти к выбору средств защиты информации, например, проконсультировавшись у лицензиата ФСТЭК. Разброс цен на рынке большой, и есть возможность сделать наиболее оптимальный выбор, то есть получить необходимый функционал за меньшие деньги.
Как можно сэкономить еще больше?
Выполнить хотя бы минимальные требования, озвученные в 781-м Постановлении правительства, закупить и настроить (с помощью аутсорсера) средства защиты информации в соответствии с требованиями методических документов ФСТЭК и ФСБ, описать и ввести в эксплуатацию систему. Такой вариант обойдется гораздо дешевле, нежели чем делать все «от и до». Однако операторам следует быть готовым к тому, что контролирующие органы настойчиво попросят их внести доработки в систему защиты, что повлечет дополнительные затраты.
Подводя итог, следует сказать, что вопрос стоимости мероприятий по защите персональных данных индивидуален. Оператор сам волен выбрать объем заказываемых работ. Однако ему следует учитывать риски невыполнения тех или иных требований. И в любом случае, лучше обратиться за консультацией к профессионалам.
Комментариев нет:
Отправить комментарий