Кому доверить внедрение защиты персональных данных?
1. Самостоятельно (силами специалистов компании).
Этот вариант потребует наличия обученных и сертифицированных специалистов в области защиты персональных данных и получение лицензий.
Нужно также принять во внимание, что подобный проект Вы внедряете впервые, а это значит, что Вам придется столкнуться с несовершенством и противоречием законодательства в области защиты персональных данных и информационной безопасности, ознакомиться с массой регламентирующих документов разных ведомств.
Даже изучив эти документы и нормативно-правовые акты, отсутствие опыта проектирования и внедрения подобных систем усложняет задачу подбора всех элементов решения составляющих системы защиты информации. Это справедливо как в части выбора технических средств, так и в части подготовки системы защиты персональных данных к аттестации.
Этот путь выбирают крупные компании, хотя и привлекают в проект сторонних экспертов и консультантов, сохраняя за собой ответственность за результат.
При этом существует риск неправильно оценить и классифицировать угрозы безопасности, неправильно выбрать класс защиты и т.д., что, в свою очередь, может привести либо к завышению стоимости системы защиты, либо к выявлению нарушений со стороны регуляторов, которые потребуют их устранения и повышения класса защиты.
Серьёзная переделка проекта может оказаться существенно дороже построения системы "с нуля".
Среднему и малому бизнесу этот вариант не приемлем, т.к. потребует больших инвестиций на внедрение и последующее обслуживание ИСПДн, по сравнению со вторым способом.
2. С помощью сторонних специализированных компаний-консультантов.
Этот путь считается менее рискованным, т.к. ответственность за результат берет на себя другая сторона, отвечающая финансовой составляющей за достижение целей проекта.
Основная Ваша задача как заказчика – правильно выбрать партнера-исполнителя.
Критериями выбора должны быть:
Положительный опыт в области построения систем информационной безопасности.
Наличие лицензий на осуществление деятельности по защите персональных данных и обеспечения информационной безопасности.
Наличие опытных квалифицированных специалистов, которых необходимо привлекать для участия в проекте.
Адекватность параметров коммерческого предложения (цены, сроки, объем участия собственных специалистов и руководства в проекте).
Правовое сопровождение квалифицированных юристов с опытом работы в области информационной безопасности и взаимодействия с силовыми структурами.
вверх страницы | к предыдущему вопросу
|