Китайский юань: Способы хеджирования юаневых требований и обязательств
Способы выполнения требований 152-ФЗ
17
www.b-152.ru Способы выполнения требований закона №152-ФЗ Специально для
-
Upload
valery-bychkov -
Category
Documents
-
view
42.864 -
download
5
description
Презентация с вебинара в сообществе Смартсорсинг
Transcript of Способы выполнения требований 152-ФЗ
www.b-152.ru
Способы выполнения требований закона №152-ФЗ
Специально для
Спикер
Макс Лагутин СЕО проекта «Б-152»: Первой автоматизированной онлайн-системы защиты персональных данных
Специалист по ИБ
Контакты будут позже
Для затравки
В Российской Федерации, по данным Росстата и Опоры России, зарегистрировано более 7 млн юридических лиц и ИП
Зарегистрировано чуть больше 240 тысяч операторов персональных данных
Закон выполнили крупные бизнесы и гос. компании
Что нужно выполнять?
Назначение Комиссии по защите персональных данных
Аудит информационных систем и бизнес процессов
Подача Уведомления в Роскомнадзор
Разработка организационно-распорядительной документации
Обучение персонала
Классификация информационных систем персональных данных (ИСПДн)
Разработка системы защиты персональных данных (СЗПДн)
Ввод в эксплуатацию СЗПДн и ее поддержка
Способы выполнения
Основные способы: • Использование услуг системных интеграторов • Наем собственного специалиста по информационной безопасности • Делегирование на одного из сотрудников • Воспользоваться специализированными программами и сервисами • Прибегнуть к экзотическим способам
Как выбрать «свой» способ?
Определите, зачем вам это нужно: быть чистыми перед законом, не попасть на штрафы при проверке, для поднятия среднего чека, для поднятия лояльности, забота о клиентах, требования контрагента или головной компании
Определите то, что для вас важно при выборе одного из способов: наличие портфолио, невысокая стоимость, комплексная услуга, простота работы и взаимодействия, скорость реализации проекта по защите ПДн, постоянные консультации, поддержка при изменении законов, собственное участие в проекте, страхование рисков, наличие лицензии на работы по защите информации, помогают пройти проверки регуляторов
Определите для себя примерную верхнюю ценовую планку, выше которой вы не подниметесь – это одно из ключевых значений
Системный интегратор
Преимущества: Предоставляют комплексную услугу высокого качества, распределяют риски, помогают пройти проверки регуляторов, обладают лицензией на защиту информации и портфолио реализованных проектов, постоянные консультации во время реализации проекта
Недостатки: Высокая стоимость реализации проектов (от 300 т.р.), долгое время реализации проекта (от 6 месяцев), отсутствуют во многих регионах, проваливают сроки реализации проектов и увеличивают стоимость проекта, большое число повторяющихся действий, присутствуют не во всех регионах, могут отказаться от проекта, если низкая цена
Выбор интегратора
1. Составляем список системных интеграторов – поможет Яндекс 2. Проявляем интерес к услуге по защите ПДн через их сайт или почту 3. Получаем анкету предпроектного обследования, заполняем ее и
отправляем обратно / Общаемся на личной встрече с представителями интеграторов
4. Получаем коммерческое предложение со сроками и стоимостью 5. Выбираем наиболее подходящий для нас вариант Интеграторы делятся на тех, кто зарабатывает с установки своих средств защиты, и кто получает прибыль со своего консалтинга. Первые подходят тем, у кого большая ИТ-инфраструктура, а вторые у кого много бизнес-процессов, в которых циркулируют персональные данные, а ИТ-инфраструктура относительно небольшая.
Собственный безопасник
Преимущества: Оказывает комплексную услугу при должном опыте работы и наличии необходимых сертификатов, простое взаимодействие с начальством, проводит постоянные консультации, при изменении законов меняет документацию и СЗПДн, поможет выполнить иные виды защиты информации
Недостатки: Кадровый голод на рынке, специалиста по ИБ сложно найти, но при нахождении он обойдется минимум в 35 000 рублей в месяц, при этом может не обладать всеми необходимыми компетенциями (проектирование СЗПДн и внедрение средств защиты), без постоянных (раз в года-два) курсов по защите информации, будет терять свою привлекательность на рынке и может уйти, после проекта по защите ПДн может оказаться для компании балластом, нужна лицензия ТЗКИ для защиты ПДн для собственных нужд
Поиск безопасника
1.Посмотрите описания вакансий на hh.ru, superjob.ru, rabota.ru и на сайтах системных интеграторов (ищите вакансии младших специалистов и специалистов по ИБ)
2.Набросайте свою вакансию на основании просмотренного и разместите ее сайтах поиска работы
3.Поищите среди технических институтов МГТУ, МИФИ, МАИ и иными, у которых есть кафедра Защиты информации
4.Позвоните или сходите на кафедру, узнайте о самых перспективных студентах 5.Выберите лучшего студента и берите его на стажировку с трудоустройством или без
оного (например как преддипломная практика или строка в резюме после института) 6.При необходимости отправьте его на курсы (12-28 т.р.) по организации защиты ПДн 7.Зарегистрируйтесь на сайте ispdn.ru и поищите специалистов там (через анализ веток
форума и личные сообщения)
Безопасник подойдет только для компаний со штатом более 30 сотрудников
Загрузить своего сотрудника
Преимущества: Сотруднику можно поставить новые задачи, без увеличения оклада, и из-за того, что ему доверяют - взаимодействие с начальством выходит на новый уровень. Сотрудник в получит новые компетенции, которые в будущем могут пригодится
Недостатки: Сотрудник будет начинать все с нуля, из-за чего много времени уделяется самообучению и реализации проекта, что поставит под вопрос его основные обязанности. Гарантий и качества работы ждать не стоит. Опять же нужно будет получать лицензию ФСТЭК на ТЗКИ
Что делать сотруднику?
1. Лучше всего назначать на проект не одного специалиста, а двух – системного администратора и юриста. Вместо юриста может быть HR.
2. Им будет полезно почитать основные законы (www.b-152.ru/npb) и посмотреть ветки форума ispdn.ru.
3. Задавать вопросы экспертному сообществу или Роскомнадзору (pd.rsoc.ru) 4. Системному администратору не помешает пройти курс по тех. защите
информации С этого способа начинают многие компании и львиная доля из них обращаются к одному из других способов. Причина – неэффективность и незнание тематики защиты ПДн.
Программы и сервисы
Преимущества: Низкая стоимость, за счет автоматизации, что так же позволяет ускорить реализацию проекта защиты ПДн (до 1 недели), постоянные консультации специалистов, обновление документов в течение срока подписки на использование, помощь в прохождении проверки. За счет возможности тех. защиты в защищенном ЦОД, достигается комплексность услуги. Программы и сервисы нацелены на работу неопытных в вопросах защиты информации сотрудников
Недостатки: Из-за масштабов охвата не могут поставить на поток разделение рисков, не все обладают лицензией на ТЗКИ. Помимо этого, не всегда возможно узнать клиентов, пользующихся данным ПО или сервисом
Какие ПО и сервисы есть?
Специализированных сервисов и ПО не так много. Из программного обеспечения можно выделить Wingdoc ПД, предназначенный для специалистов по ИБ и позволяющий построить модели угроз. Стоит в пределах 20 т.р., но неизвестна частота обновления Из онлайн-сервисов это b-152.ru, который позволяет компаниям до 500 сотрудников в штате за 12 т.р. в год подготовить комплект необходимой документации, зарегистрироваться в Роскомнадзоре построить и внедрить тех. защиту на защищенном ЦОДе, а также получать поддержку специалистов по ИБ и новые документы, при обновлении законов Автоматизация не панацея, но имеет свои преимущества
Экзотичные способы
Отдать проект по защите ПДн стороннему безопаснику без гарантий Одолжить безопасника у знакомой компании Заплатить за крышу Обратиться к юридическим компаниям
Вопросы
Задавайте свои вопросы, я с удовольствием на них отвечу
