Сегодня диапазон цен на услуги по защите персональных данных (далее — ПДн) довольно большой. Некоторые компании предлагают выполнить работы по приведению информационной системы персональных данных (далее — ИСПДн) в соответствие с требованиями законодательства и нормативных документов за миллион рублей, а другие за ту же работу просят десять миллионов рублей. Так сколько же может стоить предприятию, провести работы по защите персональных данных?
Для примера расчета стоимости возьмем средний банк, имеющий несколько филиалов и порядка 400 пользователей.
Итак, что необходимо сделать, чтобы информационная система предприятия могла на законных основаниях обрабатывать персональные данные?
Условно все работы можно разделить на четыре этапа.
Первый этап — это обследование информационных систем. Этот этап можно осуществить как силами привлеченной компании-интегратора, так и собственными силами. Обследование информационной системы заключается в выделении информационных ресурсов, содержащих персональные данные, а также технических средств осуществляющих их обработку, определении соответствия системы обработки персональных данных требованиям ФЗ № 152 «О защите персональных данных», классификации информационных систем персональных данных. Для того, чтобы провести обследование самостоятельно, нужно понимание, что необходимо знать об информационной системе для дальнейшей работы. Проведение обследования собственными силами не вызывает каких- либо трудностей при наличии этой информации.
Цель обследования — получение полного описания состава, структуры, функционирования и размещения информационных систем. Результаты обследования информационных систем лягут в основу организационно-распорядительных документов (далее — ОРД).
Если обследование поручить интегратору и основной целью при обследовании ставить получение минимального объема необходимой информации для защиты информационных систем персональных данных, то стоимость может быть от 170 000 до 1 500 000 рублей. Цена зависит, прежде всего, не от сложности систем, а от запросов конкретного исполнителя и целей.
Опять же, надо четко понимать, если мы говорим о минимизации стоимости работы, обследование информационных систем персональных данных будет иметь малое отношение к полноценному аудиту и исследованию бизнес-процессов. Можно привести в качестве примера, что не имеет смысла рассматривать, как именно настроен межсетевой экран Cisco ASA, когда он изначально не может использоваться (если это не сертифицированная версия) для защиты персональных данных. Поэтому при обследовании необходим факт наличия Cisco ASA, а не его настройки.
Второй этап это разработка документов, в том числе Акта категорирования, Частной модели угроз, технического задания, технического проекта и организационно-распорядительных документов. Это наиболее важный этап, так как одним из основных вопросов проверки является наличие и правильность оформления документов.
Пакет документов имеет смысл делать отдельно для каждой ИСПДн. Информационные системы персональных данных филиалов рекомендуется приводить к типовому решению. Это позволит уменьшить стоимость работ.
При создании Частной модели угроз следует учитывать, что в банке ИСПДн, скорее всего, будет специальная. Сформулированная соответствующим образом и обоснованная Частная модель угроз позволяет понизить требования к средствам защиты и обосновать неактуальность некоторых угроз (пример — ПЭМИН). Здесь надо понимать, что полностью убрать средства защиты, обосновывая это их стоимостью или отсутствием угроз, не получится. Понижение класса обрабатываемых ПДн возможно через обезличивание ПДн, разделение баз данных и т. д. В каждом конкретном случае, использование того или иного способа, зависит от бизнес-процессов внутри компании. Иногда дешевле построить систему защиты по высокому классу, чем изменить бизнес-процесс. Одним из наиболее простых способов снижения стоимости защиты является разделение информационных систем на отдельные сегменты.
Для рассматриваемого банка понадобиться три варианта пакета документов, описывающие три основные информационные системы персональных данных:
— серверный сегмент;
— ИСПДн центрального офиса;
— ИСПДн филиалов (при условии, что все ИСПДн филиалов унифицированы)
Следующим шагом на этом этапе будет разработка технического задания на построение системы защиты информационных систем персональных данных. На текущий момент техническое задание может, разрабатывается как без модели угроз, так и на базе уже созданной модели угроз. Техническое задание должно отвечать требованиям ГОСТ 34. 60289.
Технический проект на каждую ИСПДн разрабатывается на основании технического задания и Частной модели угроз и должен отвечать требованиям ГОСТ 34 698-90.
Существуют два варианта создания этого документа.
Первый вариант — это документ, отражающий основные требования средств защиты информации и принципы их настройки.
Второй вариант — это создание техно-рабочего проекта. Этот вариант более сложный и подразумевает детальное описание процессов в ИСПДн, настроек приложений, операционных систем и средств защиты информации. При разработке такого проекта этап обследования необходимо проводить более тщательно, либо проводить дополнительное обследование по вопросам, которые были недостаточно отражены на первом этапе работ.
Разработка техно-рабочего проекта оправдывает себя в случае, если в существующей информационной системе есть необходимость провести полные ее настройки, либо же решить дополнительные задачи по информационной безопасности, не связанные с защитой персональных данных, к примеру, внедрить аутентификацию на Token. Если же необходимо только привести в соответствие с требованиями нормативных документов, без дополнительных задач, то будет достаточно написания технического проекта.
Последним подпунктом разработки пакета документов идет подготовка приказов, инструкций, положений, а также матрицы доступа и т. д. При этом часть документов можно подготовить только после внедрения средств защиты информации.
Общая стоимость работ по второму этапу составляет от 300 000 до 1 200 000 рублей и зависит, прежде всего, от того, какой из вариантов технического проекта разрабатывается. Минимально указанного значения стоимости достаточно чтобы подготовленный пакет документов соответствовал требованию регуляторов.
Третий этап включает в себя установку и настройку средств защиты информации, согласно требованиям технического проекта или техно-рабочего проекта. Средства защиты, поставляемые интегратором, обычно являются типовыми. Количество и тип средств защиты информации сильно зависят от требований оператора персональных данных и интегратора, выполняющего работы.
Как небольшой пример по средствам защиты:
Средства защиты от НСД
SecretNet, Панцирь-С, Dallas Lock
Антивирусы
Kaspersky Antivirus, Eset Nod 32
Средства межсетевого экранирования
В качестве межсетевых экранов для ИСПДн можно использовать применяемые в организации аппаратные средства при условии их сертификации, или установить дополнительные сертифицированные межсетевые экраны, если сертификация имеющихся невозможна. Стоимость сертификации у различных лабораторий разная, как пример, можно привести стоимость сертификации Cisco ASA от 100 000 до 500 000 рублей. Или отдельным решением: ПО ViPNet CUSTOM, CheckPoint.
Так же обычно инсталлируется система обнаружения вторжений (IDS),она может быть встроенным модулем в той же Cisco или отдельным решением, таким как ПАК СОА «Аргус».
Построение VPN
ПО ViPNet CUSTOM, CheckPoint, CSP VPN Gate
Контроль уязвимостей
ПО XSpider
Четвертый этап это аттестация ИСПДн.
Согласно приказу ФСТЭК от 05 февраля 2010 года № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» аттестация ИСПДн не является обязательной.
Если проводить аттестацию ИСПДн, желательно, чтобы компания, проводящая работы по аттестации ИСПДн, имела аттестат аккредитации органа по аттестации. У таких компаний, как правило, большой опыт аттестации информационных систем, и, самое главное, обоснования правильности внедренной системы защиты ИСПДн перед регуляторами.
На текущий момент стоимость аттестации одного рабочего места составляет от 5 000 до 80 000 рублей и, опять же, зависит от Частной модели угроз.
Таким образом, минимальная стоимость работ, в представленном для примера банке, без стоимости средств защиты:
— обследование: 170 000 руб.;
— разработка пакета документов: 300 000 руб.;
— аттестация серверной инфраструктуры из 10 серверов: 250 000 руб.
Итого: 720 000 рублей.
В этом примере стоимость средств защиты информации и их внедрения не указанна, так как их стоимость зависит от конкретного поставщика, выбора производителя, и тех решений, которые есть у самой компании. Но можно сказать, что установить средства защиты информации на один АРМ стоит от 5 000 до 7 000 рублей.
Таким образом, стоимость работ по приведению в соответствие информационных систем оператора персональных данных может быть довольно разумной. В этой статье мы не рассматривали стоимость получения лицензий (ФСБ России и ФСТЭК России), так как они не имеют прямого отношения к персональным данным.
Теги: ЗПДн