Презентация с вебинара в сообществе Смартсорсинг

1. www.b-152.ru
Способы выполнения
требований закона №152-ФЗ
Специально для

2. Спикер
Макс Лагутин
СЕО проекта «Б-152»: Первой
автоматизированной онлайн-системы
защиты персональных данных
Специалист по ИБ
Контакты будут позже 

3. Для затравки
В Российской Федерации, по данным Росстата и Опоры России,
зарегистрировано более 7 млн юридических лиц и ИП
Зарегистрировано чуть больше 240 тысяч операторов
персональных данных
Закон выполнили крупные бизнесы и гос.
компании

4. Что нужно выполнять?
Назначение Комиссии по защите персональных
данных
Аудит информационных систем и бизнес
процессов
Подача Уведомления в Роскомнадзор
Разработка организационно-распорядительной
документации
Обучение персонала
Классификация информационных систем
персональных данных (ИСПДн)
Разработка системы защиты персональных
данных (СЗПДн)
Ввод в эксплуатацию СЗПДн и ее поддержка

5. Способы выполнения
Основные способы:
• Использование услуг системных интеграторов
• Наем собственного специалиста по информационной безопасности
• Делегирование на одного из сотрудников
• Воспользоваться специализированными программами и сервисами
• Прибегнуть к экзотическим способам

6. Как выбрать «свой» способ?
Определите, зачем вам это нужно:
быть чистыми перед законом, не попасть на штрафы при проверке, для поднятия среднего
чека, для поднятия лояльности, забота о клиентах, требования контрагента или головной
компании
Определите то, что для вас важно при выборе одного из способов:
наличие портфолио, невысокая стоимость, комплексная услуга, простота работы и
взаимодействия, скорость реализации проекта по защите ПДн, постоянные консультации,
поддержка при изменении законов, собственное участие в проекте, страхование рисков,
наличие лицензии на работы по защите информации, помогают пройти проверки
регуляторов
Определите для себя примерную верхнюю ценовую планку, выше
которой вы не подниметесь – это одно из ключевых значений

7. Системный интегратор
Преимущества:
Предоставляют комплексную услугу высокого качества, распределяют риски,
помогают пройти проверки регуляторов, обладают лицензией на защиту
информации и портфолио реализованных проектов, постоянные консультации
во время реализации проекта
Недостатки:
Высокая стоимость реализации проектов (от 300 т.р.), долгое время реализации
проекта (от 6 месяцев), отсутствуют во многих регионах, проваливают сроки
реализации проектов и увеличивают стоимость проекта, большое число
повторяющихся действий, присутствуют не во всех регионах, могут отказаться от
проекта, если низкая цена

8. Выбор интегратора
1. Составляем список системных интеграторов – поможет Яндекс
2. Проявляем интерес к услуге по защите ПДн через их сайт или почту
3. Получаем анкету предпроектного обследования, заполняем ее и
отправляем обратно / Общаемся на личной встрече с представителями
интеграторов
4. Получаем коммерческое предложение со сроками и стоимостью
5. Выбираем наиболее подходящий для нас вариант
Интеграторы делятся на тех, кто зарабатывает с установки своих средств
защиты, и кто получает прибыль со своего консалтинга.
Первые подходят тем, у кого большая ИТ-инфраструктура, а вторые у кого
много бизнес-процессов, в которых циркулируют персональные данные, а ИТ-
инфраструктура относительно небольшая.

9. Собственный безопасник
Преимущества:
Оказывает комплексную услугу при должном опыте работы и наличии
необходимых сертификатов, простое взаимодействие с начальством, проводит
постоянные консультации, при изменении законов меняет документацию и
СЗПДн, поможет выполнить иные виды защиты информации
Недостатки:
Кадровый голод на рынке, специалиста по ИБ сложно найти, но при
нахождении он обойдется минимум в 35 000 рублей в месяц, при этом может
не обладать всеми необходимыми компетенциями (проектирование СЗПДн и
внедрение средств защиты), без постоянных (раз в года-два) курсов по защите
информации, будет терять свою привлекательность на рынке и может уйти,
после проекта по защите ПДн может оказаться для компании балластом, нужна
лицензия ТЗКИ для защиты ПДн для собственных нужд

10. Поиск безопасника
1.Посмотрите описания вакансий на hh.ru, superjob.ru, rabota.ru и на сайтах системных
интеграторов (ищите вакансии младших специалистов и специалистов по ИБ)
2.Набросайте свою вакансию на основании просмотренного и разместите ее сайтах поиска
работы
3.Поищите среди технических институтов МГТУ, МИФИ, МАИ и иными, у которых есть
кафедра Защиты информации
4.Позвоните или сходите на кафедру, узнайте о самых перспективных студентах
5.Выберите лучшего студента и берите его на стажировку с трудоустройством или без
оного (например как преддипломная практика или строка в резюме после института)
6.При необходимости отправьте его на курсы (12-28 т.р.) по организации защиты ПДн
7.Зарегистрируйтесь на сайте ispdn.ru и поищите специалистов там (через анализ веток
форума и личные сообщения)
Безопасник подойдет только для компаний со штатом более 30 сотрудников

11. Загрузить своего сотрудника
Преимущества:
Сотруднику можно поставить новые задачи, без увеличения оклада, и из-за
того, что ему доверяют - взаимодействие с начальством выходит на новый
уровень. Сотрудник в получит новые компетенции, которые в будущем могут
пригодится
Недостатки:
Сотрудник будет начинать все с нуля, из-за чего много времени уделяется
самообучению и реализации проекта, что поставит под вопрос его основные
обязанности. Гарантий и качества работы ждать не стоит. Опять же нужно
будет получать лицензию ФСТЭК на ТЗКИ

12. Что делать сотруднику?
1. Лучше всего назначать на проект не одного специалиста, а двух –
системного администратора и юриста. Вместо юриста может быть HR.
2. Им будет полезно почитать основные законы (www.b-152.ru/npb) и
посмотреть ветки форума ispdn.ru.
3. Задавать вопросы экспертному сообществу или Роскомнадзору (pd.rsoc.ru)
4. Системному администратору не помешает пройти курс по тех. защите
информации
С этого способа начинают многие компании и львиная доля из них
обращаются к одному из других способов. Причина – неэффективность и
незнание тематики защиты ПДн.

13. Программы и сервисы
Преимущества:
Низкая стоимость, за счет автоматизации, что так же позволяет ускорить
реализацию проекта защиты ПДн (до 1 недели), постоянные
консультации специалистов, обновление документов в течение срока
подписки на использование, помощь в прохождении проверки. За счет
возможности тех. защиты в защищенном ЦОД, достигается
комплексность услуги. Программы и сервисы нацелены на работу
неопытных в вопросах защиты информации сотрудников
Недостатки:
Из-за масштабов охвата не могут поставить на поток разделение рисков,
не все обладают лицензией на ТЗКИ. Помимо этого, не всегда возможно
узнать клиентов, пользующихся данным ПО или сервисом

14. Какие ПО и сервисы есть?
Специализированных сервисов и ПО не так много.
Из программного обеспечения можно выделить Wingdoc ПД,
предназначенный для специалистов по ИБ и позволяющий построить
модели угроз. Стоит в пределах 20 т.р., но неизвестна частота обновления
Из онлайн-сервисов это b-152.ru, который позволяет компаниям до 500
сотрудников в штате за 12 т.р. в год подготовить комплект необходимой
документации, зарегистрироваться в Роскомнадзоре построить и
внедрить тех. защиту на защищенном ЦОДе, а также получать поддержку
специалистов по ИБ и новые документы, при обновлении законов
Автоматизация не панацея, но имеет свои преимущества

15. Экзотичные способы
Отдать проект по защите ПДн стороннему
безопаснику без гарантий
Одолжить безопасника у знакомой
компании
Заплатить за крышу
Обратиться к юридическим компаниям

16. Вопросы
Задавайте свои вопросы, я с удовольствием
на них отвечу

17. www.b-152.ru
Макс Лагутин
mlagutin@b-152.ru
+7 (926) 125-44-53
skype: max.lagutin