12.08.2010

Экономия без риска

С комментариями Алексея Сабанова, к.т.н., заместителя генерального директора Aladdin<br />
Елена Некрасова, CIO №7-8, 2010

Меры, необходимые для приведения ИСПДн организации в соответствие с требованиями 152-ФЗ, требуют затрат, в некоторых случаях — существенных. Возможно ли достичь максимальной защищённости персональных данных, затратив минимальные ресурсы, прежде всего финансовые?


Все расходы оператора персональных данных на обеспечение их защиты делятся на прямые и косвенные. К прямым относятся, например, затраты на создание информационной системы персональных данных (ИСПДн) в защищённом исполнении, поставка и настройка соответствующих аппаратно-программных средств защиты информации, расходы на персонал, на аттестацию и декларирование АС и пр. Сюда же можно причислить разработку модели угроз, адаптированной под конкретную бизнес-модель. Важной частью статьи затрат является проектирование и обследование. Косвенными считаются затраты на эксплуатацию, аттестацию (если необходимо) и поддержку средств защиты персональных данных. Сюда же относятся и дополнительные расходы, связанные с последующей эксплуатацией систем и управлением изменениями в них, затраты на персонал и специалистов в области юриспруденции, информационных технологий, защиты информации и т. д.

"В среднем суммарные затраты на организационные меры для оператора в 100–200 рабочих мест при привлечении внешних исполнителей составляют от 1 до 2 млн руб., а на технические средства защиты — от 2 млн", — отмечает Алексей Сабанов, заместитель генерального директора компании Aladdin.

Можно расходовать меньше

На какие направления деятельности в рамках внедрения и поддержки ИСПДн необходимо обратить внимание, чтобы снизить расходы?

При выборе способов снижения расходов на защиту ПДн необходимо учитывать влияние всех сторон, вовлеченных в проект.

"Дело в том, — объясняет Алексей Сабанов, — что, согласно сегодняшним требованиям, уже не только оператор ПДн и интегратор, внедряющий решение, но и разработчик информационной системы обязан предоставить сервисы защиты обрабатываемых персональных данных. Исходя из этого, стоимость решения и последующей его сервисной поддержки зависит от слаженного взаимодействия этих трех сторон. При этом оператору не удастся "отсидеться" и остаться в стороне: ему надо во всё вникать и по возможности самому возглавлять все работы".

Необходимо тщательно проработать архитектуру будущей ИСПДн и изучить бизнес-процессы обработки данных.

Таким образом, отмечает Алексей Сабанов, правила снижения рисков и последующих расходов очень просты:

  • внимательное отношение к формированию модели угроз с целью минимизации класса ИСПДн и режима обработки ПДн, что в итоге снизит стоимость систем защиты;
  • предоставление пользователям самых минимальных прав доступа, достаточных только для выполнения служебных обязанностей;
  • персонификация доступа с помощью строгой аутентификации и обеспечение неотвратимости наказания в случае нарушений;
  • создание развитой системы мониторинга действий пользователей и аудита систем защиты.

Все публикации