Кому доверить внедрение?

Существует два пути реализации подобных проектов:

  1. Самостоятельно
  2. Этот вариант потребует наличия обученных и сертифицированных специалистов в области защиты персональных данных. При этом законодательство пока еще требует наличия лицензии ФСТЭК на осуществление деятельности в области защиты конфиденциальной информации, даже если вы делаете это для себя. Обязательно потребуется лицензия ФСБ на создание систем с применением средств криптографической защиты информации, если вы собираетесь их применять в вашем проекте.

    Нужно также принять во внимание, что подобный проект у вас впервые, а это значит, что вам придется столкнуться с несовершенством и противоречием законодательства в области защиты информации, ознакомиться с массой регламентирующих документов разных ведомств. Даже изучив эти документы, отсутствие опыта проектирования и внедрения подобных систем усложняет задачу подбора всех элементов решения составляющих систему защиты информации. Это справедливо как в части выбора технических средств, так и в части подготовки системы защиты к аттестации.

    Этот путь выбирают крупные компании, хотя и привлекают в проект сторонних экспертов и консультантов, сохраняя за собой ответственность за результат. При этом существует риск неправильно оценить и классифицировать угрозы безопасности, неправильно выбрать класс защиты и т. д., что в свою очередь может привести либо к завышению стоимости системы защиты, либо к выявлению нарушений со стороны регуляторов, которые потребуют их устранения и повышения класса защиты. Серьёзная переделка проекта может оказаться дороже чем, если строить систему с нуля.

    Среднему и малому бизнесу этот вариант не приемлем, т. к. потребует бо?льших инвестиций на внедрение и последующее обслуживание ИСПДн по сравнению со вторым способом:

  3. С помощью сторонних специализированных компаний-консультантов
  4. Этот путь считается менее рискованным, т. к. ответственность за результат берет на себя другая сторона, отвечающая финансами за достижение целей проекта. Основная ваша задача как заказчика — правильно выбрать партнера-исполнителя.

    Критериями выбора должны быть:

    • Положительный опыт в области построения систем информационной безопасности.
    • Наличие лицензий ФСТЭК и ФСБ.
    • Наличие опытных квалифицированных кадров, которые планируется привлекать для участия в проекте.
    • Адекватность параметров коммерческого предложения (цены, сроки, объем участия собственных специалистов и руководства в проекте).


все статьи