Экономика и предпринимательство

Аттестация АРМ по требованиям безопасности, услуги защиты данных

С ноября 2023 года все туроператоры обязаны быть зарегистрированы в Государственной информационной системе «Электронная путевка» (ГИС «ЭП»). Это обязательное требование, призванное защитить права туристов и сделать рынок более прозрачным. Система контролирует каждую продажу тура, присваивает путевкам уникальные идентификаторы и обеспечивает государственные гарантии для всех участников процесса.

Однако подключение к ГИС «ЭП» — это только первый шаг. Если ваши информационные системы или автоматизированные рабочие места не будут соответствовать новым требованиям к защите информации, то к 1 ноября 2024 года вас просто отключат от системы. А это значит, что вы не сможете законно продолжать свою деятельность.

Аттестация рабочих мест: нужна ли она и что вас ждет?

Без аттестации рабочих мест подключение к ГИС «ЭП» невозможно. Если ваши рабочие места не аттестованы, вы не сможете законно работать на туристическом рынке. Процедура аттестации включает два этапа: техническое оснащение — установка и настройка средств защиты информации, и документальное сопровождение — подготовка документации, подтверждающей соответствие стандартам.

Основные шаги аттестации

Анализ текущего уровня защиты персональных данных — задача не из легких. Это требует определенного опыта и знаний, поэтому проводится на заключительном этапе работы по защите информационных систем компании. Есть шаги, которые обязательны к выполнению.

  • Изучение системы персональных данных. Начинается все с тщательного обследования. Нужно составить акт, где описано текущее состояние системы, и разработать модель возможных угроз. На этом этапе важно понять, насколько эффективны существующие средства защиты, и на основе этого создать техническое задание для разработки и внедрения новых мер безопасности.
  • Создание и внедрение системы защиты. На основании проведенного анализа разрабатывается и внедряется проект системы защиты. Это включает в себя не только установку технических средств, но и подготовку всей необходимой документации, которая будет регламентировать работу системы.
  • Аттестация системы. На заключительном этапе проводится проверка созданной системы. Оформляется технический паспорт, составляется протокол оценки и заключение по результатам анализа. Если все соответствует требованиям законодательства, компания получает аттестат, который действителен на три года.

Сколько это стоит?

Стоимость аттестации зависит от множества факторов, и точную сумму можно определить только после обсуждения всех деталей с клиентом. Важные моменты, влияющие на цену, включают:

  • количество компьютеров и другой техники в компании;
  • специфика технологий, используемых для обработки информации;
  • класс защищенности и тип вашей системы персональных данных;
  • количество и сложность необходимых мер безопасности.

Чем крупнее организация, тем выше затраты, но важно помнить, что инвестируя в защиту данных сейчас, вы избегаете возможных штрафов и проблем в будущем. Согласованные условия сотрудничества должны быть четко прописаны в договоре, чтобы избежать недоразумений.

Что может пойти не так: риски самостоятельной аттестации

Многие компании сталкиваются с вопросом: стоит ли проводить аттестацию своими силами или лучше обратиться к профессионалам? На первый взгляд, кажется, что внутренние ресурсы — самый экономичный вариант. Однако практика показывает, что это может обернуться дополнительными рисками.

Когда операторы данных пытаются провести аттестацию самостоятельно, они часто используют общедоступные шаблоны документов, меняя в них только название организации и адрес. Это может привести к серьезным проблемам:

  • Неправильная оценка угроз приводит к созданию некорректного технического задания.
  • Ошибки в техническом проекте могут обернуться лишними затратами или пропуском важных мер защиты.
  • Закупка ненужных или недостаточно эффективных средств защиты информации.
  • Недостаточное обучение персонала, что усугубляет проблему неправильной защиты данных.

Все это может обернуться серьезными последствиями для бизнеса. Ошибки быстро обнаружатся при первой же проверке, контрагенты могут отказаться от сотрудничества, а регуляторы — наложить штрафы и другие санкции.

Какую стратегию выбрать?

Есть три основных варианта проведения аттестации:

  • Аттестация собственными силами. Экономия средств, возможность адаптировать процесс под свои нужды, но высокие риски ошибок и задержек.
  • Найм или обучение специалистов. Создание внутренней экспертизы, но высокая стоимость и длительные сроки подготовки.
  • Привлечение лицензиата ФСТЭК. Высокое качество работ и уверенность в результате, но дополнительные затраты на техподдержку.

Как самостоятельно подготовиться к аттестации ИСПДн

Если вы решили проводить аттестацию системы персональных данных своими силами, то будьте готовы к серьезной подготовке. Важно не пропустить ни один этап, иначе результаты могут не соответствовать требованиям закона. Вот, что вам нужно сделать.

  • Начните с тщательного обследования вашей системы, чтобы понять, где она уязвима. Это как провести ревизию — важно знать, где могут быть слабые места.
  • Представьте себе, какие угрозы могут повлиять на вашу систему, и составьте их список. Затем определите, насколько эти угрозы реальны и какие меры безопасности нужны для их устранения.
  • Определите, какой уровень защиты требуется для вашей системы. Это важно, потому что от этого зависит, какие меры безопасности нужно будет внедрить.
  • На основе всего этого составьте техническое задание и разработайте проект защиты данных. Это план действий по укреплению безопасности вашей системы.
  • Приобретите необходимые средства защиты и установите их. Не забудьте, что важен не только их выбор, но и правильная настройка.
  • Подготовьте все необходимые документы, подтверждающие соответствие вашей системы требованиям, и обучите сотрудников, чтобы они знали, как правильно использовать новые средства защиты.

Все эти шаги требуют времени, знаний и усилий. Если вы не уверены в своих силах, стоит задуматься о привлечении специалистов, потому что любая ошибка может дорого обойтись.

В итоге: почему стоит задуматься о привлечении профессионалов?

Процедура аттестации — это не просто формальность, а важный шаг в защите вашего бизнеса. Ошибки могут дорого обойтись, поэтому лучше доверить этот процесс профессионалам.