Система обеспечения информационной безопасности персональных данных на предприятии. Инвестиционная оценка внедрения проекта

Булгакова Е.С.
выпускник группы MBA CSO 12
Школы IT-менеджмента
РАНХиГС при Президенте РФ

Свое начало информационная безопасность в России берет с древнейших времен. В сравнительно же управляемое русло она вошла во времена Ивана IV Грозного, когда Российское государство приступило к активной внешнеполитической деятельности с регулярной дипломатической перепиской, а также постоянными войнами и конфликтами.

Технический прогресс и с каждым годом усиливающееся влияние информационных технологий на жизнь общества послужили началом формирования новой отрасли права - информационное законодательство.

Европейский союз сначала в 1981 году, а затем в 1999 году принял директиву № 95/46/ЕС «О защите физических лиц применительно к обработке персональных данных и свободном движении таких данных». В Российской Федерации предпосылки к подобной сфере законодательства были определены в федеральном законе от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации». Однако четко отмечены лишь в 2006 году с выходом федерального закона № 152-ФЗ «О персональных данных», который задал новые требования в развитии информационной безопасности. И впервые закрепил требования по защите персональных данных в рамках отдельного, самостоятельного федерального закона, сделав их обязательными для юридических лиц и индивидуальных предпринимателей.

При всей работе, проделанной за последние 25 лет в области обработки и защиты персональных данных субъектов, актуальным остается вопрос баланса между интересами бизнеса и интересами субъекта персональных данных, воплощением которых является блок законодательства Российской Федерации по обработке и защите персональных данных. Выполнить требование закона - недостаточное условие для существования подразделений информационной безопасности. В сложившихся экономических условиях стало необходимо показать бизнесу выгоды от проектов в области персональных данных. Для достижения этого результата первое с чего стоит начать – это изучение уже имеющихся активов. Далее на основе выявленных активов разработать архитектуру информационной безопасности с учетом настоящих и будущих потребностей.

Следующим этапом для изыскания возможности построения оптимальной системы защиты персональных данных при минимальных затратах является переход от оценки результативности к оценке эффективности. Понятие эффективности системы защиты персональных данных для бизнеса включает в себя три аспекта. Во-первых - это достижение соответствия требованиям законодательства. Во-вторых, защитабизнеса от реализации угроз. И, в-третьих – стоимость проекта.

Проекты по обработке и защите персональных данных субъектов включают в себя закупку, в том числе, программного обеспечения, поддержание работоспособности которого требует обновления его лицензий. И при таких условиях выводом является тот факт, что система защиты персональных данных, заработная плата работников, которые поддерживает работоспособность этой системы, а также постоянная работа по поддержанию соответствия бизнеса требованиям федерального законодательства в области обработки и защиты персональных данных, исключительно затратная статья бюджета.

Стимулом, повышающим экономический интерес для бизнеса от описываемых проектов, является обязательность положений федерального законодательства, а также тот факт, что система безопасности в целом – фактор превентивной защиты бизнеса. Иными словами, внедрение системы защиты персональных данных позволит бизнесу не только добиться соответствия требованиям законодательства в области обработки и защиты персональных данных, что, в свою очередь, позволяет сократить или исключить расходы будущих периодов, связанные с проверками органов исполнительной власти, возможными судебными издержками, в том числе со стороны субъектов персональных данных, а также минимизировать ущерб от инцидентов.В совокупности это является возможными расходами будущих периодов, исключение которых для подразделений информационной безопасности - тот самый положительный эффект, ожидаемый бизнесом.

На основе документа «Методические рекомендации по оценке эффективности инвестиционных проектов», утвержденный Министерством экономики Российской Федерации, Министерством финансов Российской Федерации, Государственным комитетом Российской Федерации по строительной, архитектурной и жилищной политике 21 июня 1999 года № ВК 477, была разработана методика оценки экономической эффективности системы защиты персональных данных на базе критерия «эффективность затрат на создание системы защиты», который определяется как период времени, в течение которого затраты на создание системы защиты персональных данных будут меньше возможных потерь от отсутствия системы защиты персональных данных. Чем меньше этот период, тем целесообразнее затраты на систему защиты персональных данных в выбранной конфигурации.

Предлагаемая модель является универсальной за счет возможности ее реструктурирования под частные случаи.

Модель экономической эффективности затрат на внедрение системы защиты персональных данныхпредприятием применяется после решения таких задач как: