Итак, начнём с самых простых фактов – в чём же заключаются работы по приведению ИСПДН в соответствие к 152-ФЗ? Это не только какие то программные средства защиты типа антивирусного ПО и технические средства защиты типа криптозащиты и USB ключей, но и организационная составляющая – приказы, постановления и распорядительные документы по защите ПДн. Перечень данных документов прописан в законе и является общедоступным, но разрабатывается индивидуально для каждой организации, будь то муниципальное учреждение или частная организация.

Если с техническими средствами защиты (антивирусами, межсетевыми экранами, Рутокенами и т.д.) всё в принципе понятно и более менее ясно, начнём разбираться с организационными моментами в 152-ФЗ. Как говорилось выше, перечень данных документов прописан в законе и является общедоступным, но для его оформления необходимы определённые навыки и умения. Нами был проведён мониторинг компании, которые занимаются обучением специалистов в области «Защиты информации». Преимущественно это краткосрочные курсы, которые предоставляют московские компании и Вузы. Начнём с экономической составляющей данного вопроса:

1. Компания ОАО «ИнфоТекс» — предлагает обучение по «Защите информации» в результате, которого ученик получает сертификат специалиста по технической защите. Срок обучения 5 дней и стоимость курса 26.550 рублей. Так как проводить организационные мероприятия без знания технологий защиты будет сложно ( потому что документы разрабатываются исходя из обследования сетей и технического оборудования), поэтому придётся учиться.

2. Компания «ITsecurity» предлагает сразу несколько программ по квалификации «Защита информации»:

2.1 Безопасность информационных технологий – срок 5 дней, цена курса 28,950 рублей.

2.2 Защита конфиденциальной информации и её утечки по техническим каналам – срок 5 дней, цена курса – 25,670 рублей.

2.3 Комплексная защита конфиденциальной информации в организациях – срок 10 дней, цена курса – 50,800 рублей.

3. Компания «ИнформЗащита» предлагает курс обучения по специальности «Обеспечение информационной безопасности» срок 5 дней и стоимость курса 28,950 рублей.

Данные курсы повышения квалификации рекомендованы для выполнения работ по 152-ФЗ, цена на курсы в принципе приемлемые, но стоит учитывать и другие расходы на обучение – такие как проживание в г. Москва(а это в среднем 2000р в сутки) и суточные для обучающегося сотрудника, плюс к этому проезд до Москвы и обратно. Отсюда, благодаря элементарным математическим подсчётам вытекает общая сумма больше 100,000 рублей. И это только для того чтобы Ваш специалист мог подготовить необходимые документы, которые требует 152-ФЗ, но остаётся открытым вопрос – а достаточно ли опыта у сотрудника для грамотного составления данных документов? Плюс к этому ещё стоит учитывать и зп, которую придётся выплачивать сотруднику во время обучения. Поэтому сумма расходов на данное мероприятия выглядит весьма впечатляюще.

Так же стоит учитывать определённые риски, связанные с обучением сотрудника:

• Обучился, прошел курсы, но хватит ли полученных знаний сотруднику?

• Обучился сотрудник и ушел, уволился и так далее.

• Так же возникает вопрос, а правильно ли сотрудник оформил все документы (опыта то нет)? Где гарантия качества?

• Сколько потребуется временных затрат сотруднику для выполнения всех работ?

• Отсутствие работника на рабочем месте, во время его обучения.

Исходя из приведённой выше информации, возникает вопрос – а не проще ли заплатить в среднем от 50,000 до 80,000 тысяч рублей сторонней организации, с опытом работы в данной области, и избавиться от лишней головной боли?

Главным преимуществом наверно так же является тот факт, что при проверке проверяющими органами все их предписания можно адресовать организации, которая занималась данным вопросом на Вашей территории, по Вашей просьбе, следовательно, между Вами заключён договор, по которому имеются те или иный обязательства по данному вопросу.

Подводя итоги можно выделить основные преимущества работы со сторонними организациями по приведению ИСПДн в соответствие к требованиям 152-ФЗ:

1. Уменьшение расходов на выполнение требований.

2. Экономия времени и ресурсов Вашей компании.

3. Квалифицированное оформление, согласно требованиям 152-ФЗ, что избавляет от проблем с проверяющими органами.

4. Квалифицированная помощь в случае возникновения конфликтных ситуации.

5. Выполнение требований закона в соответствующем тому порядке, следовательно, соблюдение 152-ФЗ. Работы проводятся на основании лицензии всё тех же ФСТЭК и ФСБ, поэтому фирма обладающая данными лицензиями, полностью отвечает за качество работ.

6. В случае если контролирующие органы находят ошибки, компания исполнители переделывают в течение гарантийного срока прописанного в договоре.

7. Данная система защиты ПДн будет сертифицирована, так как компания имеет право её сертифицировать на основании лицензий ФСБ и ФСТЭК.

Подводя итог данной статьи, можно сделать вывод что выгодней, целесообразней, с наименьшими потерями, следовательно, оптимизировав затраты и главное время, решение вопроса по 152-ФЗ лучше всего положиться на стороннюю квалифицированную компанию. В любом случае решать каждый сам будет для

Автор: Смурыгин Александр,
координатор направления
«Информационная безопасность»
компании ООО АйТиТерра».