понедельник, 24 августа 2009 г.

Способен ли среднестатистический оператор ПДн подготовить информационную систему персональных данных своей организации собственными силами?


  Евгений Царев в своем блоге поднял достаточно интересную тему, которую можно было сформулировать следующим образом: «А способен ли среднестатистический оператор самостоятельно подготовить свою информационную систему в соответствии с требованиями законодательства о защите персональных данных? И что этому мешает?».
  Одним из основных способов сокращения затрат на подготовку ИСПДн является проведение части работ по обследованию и части аналитических работ собственными силами. Конечно, это сложно осуществить, если в штате нет подготовленных специалистов. А может ли стать выходом из данной ситуации обучение этих специалистов на краткосрочных курсах повышения квалификации? Мой опыт говорит о том, что данные курсы помогаю только, с одной стороны, систематизировать имеющиеся у слушателей знания и понять специфические моменты рассматриваемого вопроса и, с другой стороны, получить корочку об образовании.
  Буквально на днях я вернулся из очередной командировки, в течение которой удалось пообщаться с представителями муниципальных образований по подготовке их ИСПДн требованиям ФЗ 152. Был задан вопрос, а как мы можем начать подготовку, когда сертифицированные средства защиты стоят дорого и что никто не выделяет денег и т.п.? Ну что можно было ответить на этот вопрос. Не скажешь же им, сидите и ждите окончания кризиса… В первую очередь им необходимо описать все процессы, в которых участвуют ПДн (лучше самих сотрудников организации это никто не сможет сделать), проанализировать документы для сбора информации об автоматизированных и неавтоматизированных способах обработки ПДн, проанализировать собранную информацию, привести в соответствие все документы. После этого совместно с консультантами разработать модели угроз и разработать рекомендации по построению системы защиты ПДн и уже только после этого думать про закупку необходимых сертифицированных средств защиты и, в случае необходимости, аттестацию.
  Ситуацию усугубляет и тот факт, что идет периодическое сокращение кадров. Буквально на днях поступило очередное распоряжение в гос.органах сократить 10% штата. Обычно кого сокращают? Автоматизаторов и ИТ-специалистов. О какой новой штатной единице (ИБ-специалиста) в данной ситуации может идти речь? Вот и думай, как сокращать расходы на приведение ИСПДн требованиям законодательства путем выполнения части работ собственными силами.

4 комментария:

  1. А можно уточнить - что за распоряжение "сократить 10% штата"?

    ОтветитьУдалить
  2. У меня нет точной информации по данному распоряжению, но она прозвучала в приватной беседе из компетентного источника в администрации одной из областей в ЦФО. Поднимался вопрос, а как можно убедить руководство ввести еще одну штатную единицу, когда с сентября планируется очередное сокращение штата в гос.структурах на 10%? На что мы им ответили, что сокращайте оставшихся безопасносников и проблема снимется сама собой - некому будет заниматься этими вопросами)).

    ОтветитьУдалить
  3. Думаю вопрос о сокращении чисто риторический. Не значит, что сократят безопасников.

    ОтветитьУдалить
  4. Да, никому не хочется верить, что именно его сократят. У нас могут сократить не тех людей, которые не приносят деньги, а тех, кто их тратит. А тратит сейчас больше кто? безопасники... И это не смотря на то, что тратят они их не по своей прихоти, а по требованию самого государства...

    ОтветитьУдалить