В компаниях часто возникает вопрос о том как провести аттестацию системы: стоит ли заниматься этим самостоятельно или лучше привлечь внешних экспертов?
Хотя внутренние ресурсы могут казаться наиболее логичным и экономически выгодным решением, ряд аспектов требует более глубокого анализа и возможного внешнего взгляда.
Обратимся к закону
Аттестация информационных систем персональных данных (ИСПДн) часто воспринимается как сложное и дорогостоящее мероприятие, особенно для небольших организаций.
Согласно пункту 6 Приказа № 21 ФСТЭК от 18.02.2012, операторы персональных данных могут самостоятельно оценивать эффективность мер по защите данных или привлекать к этому процессу лицензированных специалистов. Таким образом, закон предоставляет операторам выбор, не делая аттестацию строго обязательной. Но это не означает, что можно игнорировать требования безопасности.
Что может пойти не так? Риски самостоятельной аттестации
При аттестации информационной системы персональных данных (ИСПДн), даже одна ошибка или неверное толкование информации может привести к тому, что результаты не будут отражать реальное положение вещей и соответствовать законодательным требованиям.
Часто такие ошибки происходят, когда операторы используют общедоступные шаблоны документов, меняя в них только адрес и название своей организации. Это ведет к целой цепочке проблем.
- Неправильная оценка угроз ведет к созданию некорректного технического задания.
- Ошибки в техническом проекте могут привести к лишним затратам или пропуску важных мер защиты.
- Средства защиты информации (СЗИ) часто закупаются неправильно: либо их слишком много, либо они вовсе не нужны. Затем эти средства могут так и не быть установлены.
- Персонал не обучают должным образом, что усугубляет проблему неправильной защиты данных
Последствия для бизнеса тоже есть. Неверно выполненная аттестация может негативно на него повлиять.
- Ошибки быстро обнаружатся при первом же внешнем запросе или проверке.
- Контрагенты могут отказаться от сотрудничества или подать в суд за несоответствие условий контракта.
- Регуляторы могут провести проверку, что может привести к штрафам и другим наказаниям для руководства компании.
Что выбрать в итоге: варианты проведения аттестации
Защита персональных данных (ПДн) является ключевым аспектом для любой организации. Рассмотрим три основных варианта решения этой задачи: работа своими силами, найм новых специалистов или обучение существующего персонала, и привлечение лицензиата ФСТЭК.
1. Аттестация собственными силами
Плюсы
- Экономия финансовых ресурсов.
- Возможность вносить изменения и адаптации в процессе работы.
- Повышение квалификации и вовлеченности собственного персонала.
Минусы
- Возможное предвзятое отношение контрагентов и регуляторов к самостоятельно выполненной работе.
- Риски, связанные с кадровой текучкой, могут привести к потере знаний и навыков.
- Трудности при участии в тендерах, где часто требуется наличие аттестата соответствия.
- Возможное увеличение сроков выполнения работ из-за загруженности сотрудников.
2. Найм или обучение специалистов
Плюсы
- Создание квалифицированной команды, полностью адаптированной к потребностям организации
- Построение внутренней экспертизы в области защиты ПДн.
Минусы
- Высокая стоимость и длительные сроки поиска или обучения специалистов.
- Дополнительные расходы на обучение и повышение квалификации.
- Необходимость значительного времени для интеграции новых сотрудников в команду.
3. Привлечение лицензиата ФСТЭК
Плюсы
- Высокое качество и скорость выполнения работ.
- Отсутствие вопросов к качеству работы у контрагентов и регуляторов.
- Поддержка и консультации по всем вопросам, связанным с аттестованным объектом.
Минусы
- Дополнительные затраты на техподдержку.
Обратите внимание
Найм отдельного сотрудника выйдет в несколько раз дороже, чем привлечение лицензиата со всеми необходимыми знаниями процесса.
Как подготовиться к аттестации ИСПДн, если проводите ее своими силами
Даже если аттестация проводится самостоятельно, оператор должен тщательно подготовиться и запустить несколько важных процессов:
- обследование и оценку текущего состояния системы;
- разработку модели угроз и потенциальных нарушителей; классификацию ИСПДн с присвоением уровня защищенности;
- составление технического задания и проекта системы защиты персональных данных;
- покупку и установку необходимых средств защиты;
- разработку соответствующей документации и обучение персонала.
Эти мероприятия требуют значительных усилий и ресурсов, поэтому без профессиональных знаний и опыта качественно подготовить систему к аттестации будет сложно.
Не рискуйте – доверьте дело профессионалам
Запишитесь на консультацию специалиста по аттестации, чтобы выявить возможные риски.
Получить консультацию
