Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
Вывод на рынок услуг продукта «Защита персональных данных предприятий сегмента SMB»
Летуновский А.А.
выпускник группы MBA CIO-17
Школа IT-менеджмента
АНХ при Правительстве РФ
Введение
Как известно, в китайском языке слово «кризис» пишется двумя иероглифами: первый означает «опасность», а второй — «благоприятная возможность».
Автор настоящей работы, являясь владельцем, и по совместительству генеральным директором компании «АйТи Респект» (г. Казань), которая специализируется на оказании услуг в области информационных технологий предприятиям малого и среднего бизнеса (Small & Medium Business, SMB) Республики Татарстан, решил не дожидаться второй, третьей и последующих волн пресловутого экономического кризиса и открыть новое направление деятельности своей компании - а именно «Услуги в области информационной безопасности». При этом предпосылок для открытия именно этого направления бизнеса, используя благоприятные возможности, более чем достаточно. Согласно исследованиям, проведенным компанией LETA IT-сompany в 2009 году:
- Рынок информационной безопасности (ИБ) пострадал от кризиса меньше всех остальных сегментов ИТ рынка.
- На рост рынка в условиях кризиса влияют: возникновение новых угроз, требования регуляторов, требования партнеров, выход ИБ из прикладной дисциплины на уровень бизнеса.
- Рынок ИБ обладает в условиях кризиса самой большой инвестиционной привлекательностью. И именно в нем можно ожидать крупные M&A сделки.
- В 2008 – 2009 году усилилась роль регулирующих органов, и был выпущен ряд стандартов.
- Исполнение ФЗ РФ «О персональных данных» будет основным двигателем рынка в 2009 – 2010 годах.
Еще одним фактором влияния на развитие рынка служит то, что крупные ИТ-компании столкнулись с проблемой работы в SMB-сегменте. Крупные системные интеграторы изначально работали с корпоративным сектором и госструктурами, но последние изменения на рынке ИБ, где все большую роль играют SMB-компании, показали, что сегодняшним «крокодилам» чрезвычайно сложно приспосабливаться к новым условиям.
В свою очередь, специализированные компании отлично разбираются в технологических основах ИБ, но при этом хуже ориентируются в «экономическом» подходе. В результате, на рынке смогут полноценно работать те компании, которые предложат заказчикам как «экономический» подход, так и хорошую техническую базу [1]. Именно это и является основной целью компании «АйТи Респект» сегодня, пути достижения которой автор попытался изложить в рамках настоящей работы на примере вывода на рынок услуг продукта «Защита персональных данных предприятий сегмента SMB».
Основную часть работы можно разделить на 3 раздела: теоретическая часть, методологическая часть и практическая часть.
Теоретическая часть
В теоретической части настоящей работы описываются такие основные понятия, как:
• персональные данные (Пдн);
• оператор Пдн;
• обработка Пдн;
• информационная система персональных данных (ИСПДН).
Также приведен перечень документов, регламентирующих обработку Пдн. Здесь следует заметить, что с приближением часа «Х» (а именно так окрестили в интернете дату 01.01.2010, по наступлении которой, все информационные системы персональных данных, созданные до дня вступления в силу Федерального закона №152 (27.07.2006), должны быть приведены в соответствие с требованиями данного закона) усиливается законотворческая деятельность как законодательных органов власти, так и регулирующих организаций.
Так, совсем недавно, на рассмотрение в Государственную Думу РФ были внесены поправки к №152-ФЗ РФ «О защите персональных данных», основной лейтмотив которых – это перенос срока исполнения требований закона до 01.01.2011, а также отмена требований по обязательному использованию средств криптозащиты при построении систем защиты Пдн. С одной стороны, перенос срока выполнений требований на один год несколько снизит ажиотаж со стороны операторов Пдн, и соответственно должен умерить спрос на консалтинговые услуги в области реализации требований «Закона о Пдн», построения систем защиты Пдн от несанкционированного доступа. Однако, с другой стороны, становится очевидным, что уже столь повышенное внимание со стороны государства к данному вопросу исключает возможность дальнейших послаблений в части предоставления отсрочек по выполнению требований «Закона о Пдн». Другими словами, отведенное дополнительное время, операторы Пдн должны будут использовать максимально эффективно, дабы не попасть впоследствии под «пристальное внимание» со стороны регулирующих органов, которыми на сегодня, согласно действующему законодательству являются:
• ФСТЭК России – осуществляет контроль защиты информации с применением технических средств;
• ФСБ – курирует вопросы защиты информации с использованием средств шифрования (криптографии);
• Роскомнадзор – является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.
Еще одним разделом теоретической части настоящей работы является «Защита Пдн». В данном разделе затронуты вопросы необходимости и достаточности защиты Пдн на предприятии, классификации и аттестации ИСПДн, а также лицензирования деятельности в области защиты конфиденциальной информации.
В заключении теоретической части рассмотрены основные угрозы невыполнения требований законодательства о защите персональных данных. Ниже приведена таблица, демонстрирующая всю серьезность положения операторов Пдн в случае нарушения законодательства.
Таблица 1. Возможные меры наказаний за нарушение законодательства в области Пдн
Статья | Нормативно- правовой акт |
Нарушение | Максимальная мера наказания |
137 | УК | Нарушение неприкосновенности частной жизни | 300.000 руб., либо исправительные работы на срок до 240 часов, либо арест до 6-ти месяцев (с 01.01.2010 года – лишение свободы сроком до 4 лет) |
140 | УК | Отказ в предоставлении гражданину информации о его ПДн, обрабатываемых организацией | 200.000 руб., либо в размере заработной платы или иного дохода осужденного за период до 18-ти месяцев, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет |
19.5 | КоАП | Невыполнение в срок требований надзорного органа или ФСТЭК РФ (при повторной проверке) | 500.000 руб. + дисквалификация должностного лица до 3-х лет |
13.11 | КоАП | Нарушение порядка сбора, хранения, использования и распространения ПДн | 10.000 руб. |
19.7 | КоАП | Непредставление или представление в неполном или искаженном виде в Роскомнадзор сведений об операторе ПДн | 5.000 руб. |
13.12 | КоАП | Нарушение правил защиты информации | 20.000 руб. + конфискация + приостановление деятельности на срок до 90 суток |
13.13 | КоАП | Деятельность в области защиты ПДн без лицензии ФСТЭК РФ / ФСБ РФ | 20.000 руб. + конфискация |
13.14 | КоАП | Разглашение информации с ограниченным доступом (например, ПДн) | 5.000 руб. |
Методическая часть
В методической части приведено описание продукта «Защита персональных данных предприятий сегмента SMB», а также раскрыта методика вывода продукта на рынок услуг.
Продукт «Защита персональных данных предприятий сегмента SMB», выводимый компанией «АйТи Респект» на рынок, состоит из следующего набора услуг:
1. Обследование информационных систем персональных данных
2. Оптимизация процессов обработки персональных данных
3. Построение модели угроз безопасности персональных данных
4. Разработка частного технического задания на создание системы защиты персональных данных (СЗПДн)
5. Разработка проектной документации на создание системы защиты персональных данных
6. Разработка организационно-распорядительной документации по защите персональных данных
7. Ввод в действие системы защиты персональных данных
8. Сопровождение системы защиты персональных данных
Не вдаваясь в более детальное описание каждой из услуг, входящих в состав продукта, следует все же обратить внимание на п.2 (Оптимизация процессов обработки персональных данных). Так как основным потребителем продукта будет являться сектор SMB, для которого важным фактором является возможность оптимизировать свои затраты на выполнение требований «Закона о ПДн», то наличие подобной услуги в составе продукта будет являться одним из конкурентных преимуществ на рынке услуг.
Также следует остановиться на п.8 (Сопровождение системы защиты персональных данных). Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПДн, согласно методическим документам регуляторов, должны носить плановый характер. Проводиться такие мероприятия должны лицом, ответственным за обеспечение безопасности персональных данных, или соответствующим структурным подразделением заказчика. Мероприятия должны предусматривать методическое руководство и контроль эффективности принятых мер обеспечения безопасности персональных данных. В случае, если ИСПДн имеет класс 1, 2 или 3 (распределенный), проведение таких плановых работ (да и построение СЗПДн в целом) возможно при наличии у Заказчика лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации. Аналитика показывает, что большинство предприятий намерены передать эту функцию на аутсорсинг компаниям, специализирующимся на защите информации и имеющим соответствующие лицензии.
Методика вывода продукта «Защита персональных данных предприятий сегмента SMB» включает в себя следующие основные мероприятия:
- Составление бизнес-плана проекта по выводу продукта на рынок, в котором отражаются: анализ рынка, основные этапы проекта; их сроки исполнения; затраты, необходимые для реализации этапов проекта; риски, возможные при реализации проекта.
- Мероприятия по подготовке к лицензированию ФСТЭК, ФСБ.
- Организационные мероприятия, направленные на привлечение специалистов в области информационной безопасности необходимой квалификации для ведения проектов по защите ПДн.
- Мероприятия предпродажной подготовки, направленные в первую очередь на привлечение новых клиентов, а также на то, чтобы спровоцировать инициацию проектов по исполнению «Закона о ПДн» у существующих клиентов – как собственных, так и клиентов наших партнеров.
Практическая часть
В практической части настоящей работы приводится описание хода выполнения мероприятий методики вывода продукта «Защита персональных данных предприятий сегмента SMB» на рынок услуг.
На сегодняшний день:
• разработан и воплощается в жизнь бизнес-план;
• завершены организационные мероприятия;
• завершаются мероприятия по получению лицензии ФСТЭК на деятельность по защите конфиденциальной информации;
• осуществляются мероприятия предпродажной подготовки.
Основным препятствием на пути к достижению намеченной цели стало отсутствие на рынке труда квалифицированных специалистов с высшим образованием в области защиты информации, имеющих практические навыки разработки технической и организационно-распорядительной документации. Таких специалистов в Республике Татарстан выпускает единственная кафедра КГТУ. Однако, все же удалось подобрать достойные кандидатуры на приемлемых условиях для выполнения проектов в области защиты персональных данных.
Заключение
Принятие 152-ФЗ стало актом рождения новой рыночной ниши, живущей по правилам, установленным государством. Одно из этих правил гласит, что услуги по приведению ИСПДн в соответствие с требованиями закона могут оказывать только компании, имеющие соответствующие лицензии ФСТЭК или ФСБ. А это резко ограничивает число игроков.
Насколько широк круг компаний, к которым могут обращаться операторы ПДн? На сегодня насчитывается порядка 2 тыс. лицензиатов ФСТЭК и немногим более 200 лицензиатов ФСБ. Практически все лицензиаты ФСБ также имеют лицензию ФСТЭК. В итоге получаем примерно 2 тыс. сертифицированных поставщиков услуг. На фоне нескольких миллионов операторов ПДн совсем немного. К тому же далеко не все лицензиаты готовы оказывать услуги в области ПДн, и не все фокусируют свои усилия исключительно на этой нише.
Лицензии ФСТЭК и ФСБ имеют практически все ведущие системные интеграторы, но они обслуживают, как правило, крупных клиентов. Проекты в небольших фирмах им невыгодны. Правда, число компаний, решивших заняться бизнесом в сфере защиты ПДн, быстро растет. Привлекает огромная, практически необъятная клиентская база.
Без преувеличения можно сказать, что для компаний, специализирующихся в области информационной безопасности, наступает звездный час. По разным данным, в стране насчитывается от 4 до 8 млн. операторов ПДн, наиболее реалистичная оценка 6,5–7 млн. И нет сомнений, что в обозримом будущем их число будет только расти, поскольку существует много востребованных услуг, при оказании которых необходимо оперировать ПДн клиентов.
Список использованных источников
- LETA IT - company. Экспертный отчет «Рынок информационной безопасности: Эпоха кризиса». 2009 г.
- Электронный журнал «Персональные данные», 2009 г.
- Законодательство РФ, нормативно – методическая документация в области защиты информации, по состоянию на ноябрь 2009 г.
- Альтшулер И.Г. «Практика бизнеса. Записки консультанта», второе издание - Москва, Дело, 2007.
Copyright © 2009 Летуновский А.А.
- Войдите на сайт для отправки комментариев