СЗПДн. Анализ. Сколько сотрудников необходимо для организации обработки и обеспечения безопасности ПДн (UPD)
Ни
для кого не секрет, что федеральный закон 152-ФЗ “О персональных данных”
и подзаконные акты требуют от Оператора ПДн выполнения определенных мероприятий
и соответственно накладывают на него дополнительные затраты: приобретение
оборудования, оплата услуг консультантов, зарплата дополнительным сотрудникам.
В данной заметке хочу опустить разовые
затраты Оператора на разработку первоначального комплекта документов и
первоначального внедрения системы защиты персональных данных.
Пусть эти работы уже проведены, внедрена
СЗПДн, комплект документов по ПДн в наличие. На этом затраты Оператора
связанные с 152-ФЗ закончились?
Нет. В ИСПДн постоянно происходят
изменения: появляются новые формы отчетности, появляется необходимость
информационного взаимодействия, меняется системное и прикладное ПО, увольняются
сотрудники, устраиваются на работу новые, выходит из эксплуатации техника и
закупается новая. В связи со всеми изменениями ИСПДн законодательство требует
принятия определенных мер.
Уже внедренные средства защиты требуют
ещё определенных действий в рамках их эксплуатации и изменениях в ИСПДн.
Если вы планируете начать обрабатывать
ПДн или если вы уже обрабатываете ПДн, но до выполнения требований руки дошли
только сейчас - удобно иметь под рукой оценку будущих затрат.
Для определенности был взят оператор
ПДн имеющий 100 пользователей ПДн и обрабатывающий данные 50000 субъектов ПДн.
В расчете сделано предположение, что в рамках эксплуатации ИСПДн оператор не
использует аутсорсинг, не поручает обработку, не использует специализированные
систему управления ПДн, централизованные системы управления ИБ.
Получаем следующий расчет трудозатрат
в год в часах.
Всего получается трудозатрат в год =
5670 часов или 5670/1920 = 2.95 ~= 3 сотрудника. То есть в нашем примере
получается, что надо нанять дополнительно 3 сотрудников. В деньгах это 60000
(стоимость владения сотрудником в регионах) * 12 * 3 = 2 160 000 руб. в год. И
120000 (стоимость владения сотрудником в Москве) * 12 * 3 = 4 320 000 руб. в
год.
Если отметить что трудозатраты на
мероприятия 1-24 пропорциональны количеству пользователей ИСПДн, а трудозатраты
на мероприятия 25-38 пропорциональны количеству субъектов ПДн получаем примерную
формулу для других организаций:
Трудозатраты на выполнение 152-ФЗ при
эксплуатации в год = 2260*X + 3410*Y часов (где X = количество пользователей ИСПДн/100,
Y = количество обрабатываемых субъектов
ПДн/50000).
Готов рассмотреть предложения и
замечания. Если интересует большая детализация расчета для использования в
конкретной задаче, пишите в личку с указанием организации и задачи - поделюсь.
UPD. Для реализации "метода Дельфи" необходимо ещё 2 эксперта, которые готовы будут поучаствовать в оценке типовых трудозатрат.
Комментарии
На всякий случай отмечу что речь идет о том объеме работ, который оператор мог не делать раньше, но стал обязан делать после выхода 152-ФЗ и подзаконных актов.
От того что вы распихаете это трудозатраты по разным подразделениям сам факт этих трудозатрат не пропадет.
И при чем сдесь отдел кадров. В примере у нас 50000 субъектов. Это скорее клиенты, абоненты, партнеры, пациенты.
Общие моменты:
1. Считаю завышенными стоимость работников. Я бы ориентировался на от 15-30 тр. в регионах и 30-60 тр. в Москве. Не имеет смысла брать высококвалифицированного специалиста на такие задачи (т.к. СЗПДн уже вроде как построена). В крайнем случае можете добавить 15-50 тр. на обучение по ПДн + обучение по СЗИ (считать отдельно). Ну уж совсем в крайнем случае раз в 1 год-2 года нанимайте стороннего консултанта, чтобы он дорабатывал документы (100 тр.-1 млнр., это как договоритесь и с кем).
2. В целом считаю и трудозатраты завышенными. Надеюсь, что правильно Вас понял и мы говорим про трудозатраты, а не длительность. По итогам (см. ниже) получилось завышение примерно в 3-3,5 раза
3. В перечне не увидел такой задачи как Аудит (контроль соответствия). Также можете заложить часов 20 на поиск, анализ и подготовку рекомендаций при изменении законодательства :)))
4. Сразу оговорюсь, что это мое личное экспертное мнение. Если вам удасться протолкнуть/обосновать такой бюджет, то вы молодец (если вы работаете в коммерческой организации) или "не молодец" и пост Навального по вам плачет (если работаете в гос.учреждении).
- 1) я бы рекомендовал это сделать 1 раз, в приказе и перечне лиц прописывать не фамилии, а должности (для высокого уровня зрелости -роли). Необходимость в пофамильном предоставлении доступа минимальна. В крайнем случае раз в 2-3 года пересматривайте, такой точности будет более чем достаточно для compliance. Пока вашу цифру оставляем.
- 2) вполне можно отдать в HR (ну, или рук.подразделений), суть проста. Пусть читают документы и расписываются в журнале. Пока вашу цифру оставляем.
- 3) ок
- 4) допустим ок
- 5) и 6) если уж решили заморачиваться с журналом учета установки СЗИ, то дело ваше. Однако мало вероятно, что будете так часто устанавливать / переустанавливать.
- 7) считаю, что завышено. Оптимизируйте. Обратите внимание, что это вы говорите на 100 СЗИ и только по НСД
- 8), 9), 10), 11), 12), 13) считаю что завышены трудозатраты. Постарайтесь сократить раза в 2, а лучше в 3. Решение: корп.стандарты на конфигурацию, автоматическое обновление и резервное копирование, автоматический сбор и анализ логов, увеличение периодичности процессов управления изменениями и мониторинга, снижение кол-во отчетов
- 14) допустим
- 15), 16), 17) ок
- 18) если сделано 1й раз хорошо и не вносились принципиальные изменения в ИТ-инфраструктуру и требования регуляторов, то вполне можно сократить в 2-5 раз
- 19) вроде как уже частично повторяетесь. Попробуйте понизить уровень детализации и не так часто актуализировать. Сократить в 2-5 раз
- 20) проверка сроков и мест установки - минутное дело (особенно с учетом того, как вы детально собрались вести описание СЗИ), иницация продления сертификатов не такая частая процедура. Итого сократить в 4-10 раз
- 21) не совсем понятно, что будете делать тут (кстати, про метрики эффективности я у вас нигде не нашел)... Или это внутренний аудит? Пока ваши сроки оставляем
- 22) Автоматизируйте и оптимизируйте процедуру. Сократить сроки в 2 раза
- 23) А надо ли отдельно? включите в общий внутренний аудит. Если вы не занимаетесь спецпроверками и/или просто замеров уровня инфосигнала, толщины стен, расстояний до следующих зданий и пр. То следует сократить в 2 раза.
- 24) ну, допустим. Хотя и не уверен, что будете столько времени уделять. но ладно
- 25), 26), 27) опять аналоги у Вас уже были (кажется, что повторяетесь, но ладно). Врядли СИЛЬНО будет система меняться за год. я бы сократил трудозатраты в 2-5 раз
- 28) оптимизируйте процесс. По факту сбор согласия с субъекта для оператора не так сложно, просто дать на подпись еще 1 бумажку... Сократить в 10-20 раз
- 29)-32), 36) в теории может быть, но на практике у вас так много запросов? Сократить в 2-5 раза
- 33) Сделайте шаблон ответов и рассылайте его. Сократиь срок в 5-7 раз
- 34) в теории может быть, но на практике у вас так много запросов? Сократить в 3 раза
- 35) и 37) а это еще не было сделано (вы же построили СЗПДн)? В последующие годы будет заметно ниже (раз 5-10), ну или у вас плохо построена процесс получения согласия (это для 35). Сейчас пока вашу цифру оставляем
- 38) процесс не эффективен. Сократите в 3-4 раза
Итого, запрашиваемые трудозатраты я считаю что можно сократить ~на 4000 часов (я не поленился посчитать, однако это примерные прикидки), т.е в 3,4 раза меньше Ваше прикидки. А это значит, что 1го человека вполне дростаточно. Но да, нужен выделенный человек, навесить эти задачи на существующих сотрудников будет сложно...
- 1) я бы рекомендовал это сделать 1 раз, в приказе и перечне лиц прописывать не фамилии, а должности (для высокого уровня зрелости -роли). Необходимость в пофамильном предоставлении доступа минимальна. В крайнем случае раз в 2-3 года пересматривайте, такой точности будет более чем достаточно для compliance. Пока вашу цифру оставляем.
- 2) вполне можно отдать в HR (ну, или рук.подразделений), суть проста. Пусть читают документы и расписываются в журнале. Пока вашу цифру оставляем.
- 3) ок
- 4) допустим ок
- 5) и 6) если уж решили заморачиваться с журналом учета установки СЗИ, то дело ваше. Однако мало вероятно, что будете так часто устанавливать / переустанавливать.
- 7) считаю, что завышено. Оптимизируйте. Обратите внимание, что это вы говорите на 100 СЗИ и только по НСД
- 8), 9), 10), 11), 12), 13) считаю что завышены трудозатраты. Постарайтесь сократить раза в 2, а лучше в 3. Решение: корп.стандарты на конфигурацию, автоматическое обновление и резервное копирование, автоматический сбор и анализ логов, увеличение периодичности процессов управления изменениями и мониторинга, снижение кол-во отчетов
- 14) допустим
- 15), 16), 17) ок
- 18) если сделано 1й раз хорошо и не вносились принципиальные изменения в ИТ-инфраструктуру и требования регуляторов, то вполне можно сократить в 2-5 раз
- 19) вроде как уже частично повторяетесь. Попробуйте понизить уровень детализации и не так часто актуализировать. Сократить в 2-5 раз
- 20) проверка сроков и мест установки - минутное дело (особенно с учетом того, как вы детально собрались вести описание СЗИ), иницация продления сертификатов не такая частая процедура. Итого сократить в 4-10 раз
- 21) не совсем понятно, что будете делать тут (кстати, про метрики эффективности я у вас нигде не нашел)... Или это внутренний аудит? Пока ваши сроки оставляем
- 22) Автоматизируйте и оптимизируйте процедуру. Сократить сроки в 2 раза
- 23) А надо ли отдельно? включите в общий внутренний аудит. Если вы не занимаетесь спецпроверками и/или просто замеров уровня инфосигнала, толщины стен, расстояний до следующих зданий и пр. То следует сократить в 2 раза.
- 24) ну, допустим. Хотя и не уверен, что будете столько времени уделять. но ладно
- 25), 26), 27) опять аналоги у Вас уже были (кажется, что повторяетесь, но ладно). Врядли СИЛЬНО будет система меняться за год. я бы сократил трудозатраты в 2-5 раз
- 28) оптимизируйте процесс. По факту сбор согласия с субъекта для оператора не так сложно, просто дать на подпись еще 1 бумажку... Сократить в 10-20 раз
- 29)-32), 36) в теории может быть, но на практике у вас так много запросов? Сократить в 2-5 раза
- 33) Сделайте шаблон ответов и рассылайте его. Сократиь срок в 5-7 раз
- 34) в теории может быть, но на практике у вас так много запросов? Сократить в 3 раза
- 35) и 37) а это еще не было сделано (вы же построили СЗПДн)? В последующие годы будет заметно ниже (раз 5-10), ну или у вас плохо построена процесс получения согласия (это для 35). Сейчас пока вашу цифру оставляем
- 38) процесс не эффективен. Сократите в 3-4 раза
Итого, запрашиваемые трудозатраты я считаю что можно сократить ~на 4000 часов (я не поленился посчитать, однако это примерные прикидки), т.е в 3,4 раза меньше Ваше прикидки. А это значит, что 1го человека вполне дростаточно. Но да, нужен выделенный человек, навесить эти задачи на существующих сотрудников будет сложно...
- 1) я бы рекомендовал это сделать 1 раз, в приказе и перечне лиц прописывать не фамилии, а должности (для высокого уровня зрелости -роли). Необходимость в пофамильном предоставлении доступа минимальна. В крайнем случае раз в 2-3 года пересматривайте, такой точности будет более чем достаточно для compliance. Пока вашу цифру оставляем.
- 2) вполне можно отдать в HR (ну, или рук.подразделений), суть проста. Пусть читают документы и расписываются в журнале. Пока вашу цифру оставляем.
- 3) ок
- 4) допустим ок
- 5) и 6) если уж решили заморачиваться с журналом учета установки СЗИ, то дело ваше. Однако мало вероятно, что будете так часто устанавливать / переустанавливать.
- 7) считаю, что завышено. Оптимизируйте. Обратите внимание, что это вы говорите на 100 СЗИ и только по НСД
- 8), 9), 10), 11), 12), 13) считаю что завышены трудозатраты. Постарайтесь сократить раза в 2, а лучше в 3. Решение: корп.стандарты на конфигурацию, автоматическое обновление и резервное копирование, автоматический сбор и анализ логов, увеличение периодичности процессов управления изменениями и мониторинга, снижение кол-во отчетов
- 14) допустим
- 15), 16), 17) ок
- 18) если сделано 1й раз хорошо и не вносились принципиальные изменения в ИТ-инфраструктуру и требования регуляторов, то вполне можно сократить в 2-5 раз
- 19) вроде как уже частично повторяетесь. Попробуйте понизить уровень детализации и не так часто актуализировать. Сократить в 2-5 раз
- 20) проверка сроков и мест установки - минутное дело (особенно с учетом того, как вы детально собрались вести описание СЗИ), иницация продления сертификатов не такая частая процедура. Итого сократить в 4-10 раз
- 22) Автоматизируйте и оптимизируйте процедуру. Сократить сроки в 2 раза
- 23) А надо ли отдельно? включите в общий внутренний аудит. Если вы не занимаетесь спецпроверками и/или просто замеров уровня инфосигнала, толщины стен, расстояний до следующих зданий и пр. То следует сократить в 2 раза.
- 24) ну, допустим. Хотя и не уверен, что будете столько времени уделять. но ладно
- 25), 26), 27) опять аналоги у Вас уже были (кажется, что повторяетесь, но ладно). Врядли СИЛЬНО будет система меняться за год. я бы сократил трудозатраты в 2-5 раз
- 28) оптимизируйте процесс. По факту сбор согласия с субъекта для оператора не так сложно, просто дать на подпись еще 1 бумажку... Сократить в 10-20 раз
- 29)-32), 36) в теории может быть, но на практике у вас так много запросов? Сократить в 2-5 раза
- 33) Сделайте шаблон ответов и рассылайте его. Сократиь срок в 5-7 раз
- 34) в теории может быть, но на практике у вас так много запросов? Сократить в 3 раза
- 35) и 37) а это еще не было сделано (вы же построили СЗПДн)? В последующие годы будет заметно ниже (раз 5-10), ну или у вас плохо построена процесс получения согласия (это для 35). Сейчас пока вашу цифру оставляем
- 38) процесс не эффективен. Сократите в 3-4 раза
Итого, запрашиваемые трудозатраты я считаю что можно сократить ~на 4000 часов (я не поленился посчитать, однако это примерные прикидки), т.е в 3,4 раза меньше Ваше прикидки. А это значит, что 1го человека вполне дростаточно. Но да, нужен выделенный человек, навесить эти задачи на существующих сотрудников будет сложно...
1. Стоимости работников были взяты в предположении средней месячной зарплаты в регионе 30 тыс. и в Москве 60 тыс.
Как вы наверное знаете стоимость владения сотрудником учитывает отпускные, больничные, налоги, организацию рабочего места.
В среднем месячная стоимость владения сотрудником = месячная зарплата * 2
Да, приведенные мной средние цифры по зарплате актуальны для ИТ и ИБ специалистов.
Например такая статистика http://u.to/ulYvAg
Да - зарплаты у сотрудников работающих с клиентами может быть меньше. Но существенная часть нагрузки по Организации обработки ПДн ложится на какого-то руководителя. Так что в среднем получается такая же картина.
Если и завышеная оценка - то не более чем на 10-15%
Внутренний контроль в части Защиты ПДн заложен в работе 21.
Внутренний контроль в части Организации обработки ПДн заложен в цифрах по самим работам.
На счет внешнего аудита - есть ли явные требования обязывающие нас его делать?
Даже если есть - расчет стоимости внешнего аудита не входит в данную заметку.
Теперь давайте про трудозатраты)))
1) Из моей практики общения с Роскомнадзором вывод один - список должен быть поименным. Иначе нарушение п. 12, ж), п. 14 Постановления Правительства РФ от 17 ноября 2007 г №781.
Новые сотрудники у нас приходят не все скопом раз в год. Вариантов нарушения законодательства я не рассматриваю, поэтому начать обработку ПДн сотрудники могут только после допуска на основании списка, утвержденного оператором или уполномоченным лицом (например, приказа)
В среднем у нас появляется 20 новых пользователей ИСПДн в год, которых необходимо прописать в СЗИ от НСД и предоставить им необходимый доступ и ограничить в остальном доступе. По 30 минут на пользователя.
это 20*0.5=10 часов в год.
Предполагаем что существенные обновления СЗИ от НСД выходят раз в год и на обновление тратится 15 минут.
100*15/60 = 25 ч.
В соответствии с п. 15 ПП 781, раз в неделю проводим анализ журналов СЗИ от НСД. На анализ журнала каждого средства тратим 2 минуты.
100*12*4*2/60 = 160 ч.
5 раз в год создает отчеты о работе СЗИ. 1 раз в квартал и годовой. По часу = 5 ч.
Итого 200 часов.
Я ещё раз напоминаю что специализированных средств автоматизации и оптимизации ещё не используется (например, SIMS).
Мой расчет как раз пригодится для обоснования необходимости таких средств.
Логи раз в месяц или даже раз в квартал, Отчеты раз в пол года или даже раз в год.
Плюс с течением времени будет трудно определить было ли нарушение.
Вот прошел квартал, Вы стали анализировать логи и обнаружили подозрительную запись. Схватили за шиворот пользователя и давай его спрашивать зачем ходил, что делал?
А он справедливо отвечает, что не помнит.
p.s. отключите капчу, думаю, что к вам спама лезет мало, а обычным пользователям комментить неудобно.
В небольших операторах ПДн которые внедряют систему СЗПДн по-минимуму (а таких большинство), а так-же у крупных операторов которые перед проведением оптимизации получаются именно такие большие трудозатраты.
PS: Капчу отключил.
PPS: если есть фактические данные по эксплуатации СЗИ в небольших Операторах, делитесь
У нас есть Модель Угроз (МУ).
Она основывается на неких "исходных данных". В МУ определены случаи когда она должна пересматриваться.
У нас есть описание СЗПДн (например, эскизный проект). В описании зафиксирована некоторая текущая ситуация. Если она меняется - то надо и описание переделывать.
Акт классификации основан на некоторых исходных данных. Если данные меняются, то возможно акт надо менять.
В общем у нас в ИСПДн происходят изменения разной степени важности (в примере, 20 новых АРМ, 2 новых сервера, 5 изменений в приложениях и архитектуре, 5 изменений с составе БД).
Кто-то должен оценивать все изменения (управление изменениями) и принимать решения, требуется ли корректировка уже разработанных документов.
Иначе можно столкнуться с ситуацией, что проверяющие берут МУ или акт, а они не актуальны.
п. 11, г) ПП 781 требует от нас возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
То есть надо регулярно (или после каждого изменения) делать резервные копии.
Я в расчете использовал следующие цифры:
5 баз с ПДн. еженедельно делается резервное копирование каждой базы, администратор проверяет успешность резервного копирования, заносит данные в журнал и уведомляет заинтересованные подразделения (на это 10 минут)
=12*4*5*10/60=40 ч.
Раз в квартал администратор проводит тестирование - восстанавливает базу из архива на тестовом сервере. 2 часа.
=5*4*2 = 40 ч.
Раз в год администратор восстанавливает реальную систему после сбоя и тратит на это 5 часов.
PS: Андрей, как вы видите у меня все цифры получены в результате некоторых расчетов. То есть моя позиция аргументирована.
Прошу и Вас так-же аргументировать свою позицию, хотя бы по какому-то пункту. Привести ваши расчеты или конкретные данные из жизни:
"организация выполняет такие-то мероприятия и тратит на это столько то ресурсов"
Давайте возьмем № 8 про VPN (т.к. громадные трудозатраты и всего 1 VPN). Сейчас у Вас заявлено 408ч, а это значит, что в среднем ЕЖЕДНЕВО админ будет заниматься VPN-ом чуть больше 1,5 часов (я беру 249 рабочих дней 2012 года). Мне эта цифра кажется странной...
Для сложных вопрогнозов мы с Вами можем попробовать "Метод Делфи", тоже могут получиться более точные результаты, только тут наших 2х мнений мало, надо еще экспертных мнений для этого метода.
Посмотрите, может и Вам они пригодятся.
У меня расчет был такой.
VPN используется постоянно - трафик до удаленного подразделения + 20 клиентов.
Ответственный за VPN совмещает обязанности как администратора VPN так и оператора VPN.
Как у оператора у него на одном из мониторов постоянно запущено окно мониторинга состояния VPN - он отслеживает работоспособность устройства, наличие ошибок в подключениях и параллельно просматривает и анализирует журналы подключений.
Тратит на это 1 час в день. Итого 250 ч. в год.
Раз в 2 недели он как администратор выполняет изменения конфигурации криптошлюза (меняется адресация сетей, добавляются новые маршруты, публикуются новые сервисы). Криптошлюз не из самых простых, администратору приходится регулярно обращатся к документации, техподдержке производителя. После каждого изменения конфигурации - делаем резервное копирование. В среднем на одну существенную переконфигурацию тратится 6 часов.
12*2*6=144 ч.
Раз в год выполняем обновление и замену ключей. 4 ч.
Раз в квартал и раз в год - отчеты о работе по 2 ч. = 10 ч.
Но боюсь и там от экспертной оценки не уйти.
На счет "Метода Делфи" - я только за.
если найдется ещё пара желающих экспертов с богатым опытом, готов буду разослать файлики для оценки.
Потом опубликуем скорректированный вариант расчета.
Про PERT: это именно экспертная оценка. А зачем вам ПО? Там же простая формула ((min+max+4*обычное)/6), тут либо в уме считать, либо в exel/
http://ru.wikipedia.org/wiki/PERT
"PERT была разработана главным образом для упрощения планирования на бумаге и составления графиков больших и сложных проектов. PERT предназначена для очень масштабных, единовременных, сложных, нерутинных проектов. Техника подразумевала наличие неопределённости, давая возможность разработать рабочий график проекта без точного знания деталей и необходимого времени для всех его составляющих.
Самой популярной частью PERT является Метод критического пути, опирающийся на построение сетевого графика
(сетевой диаграммы PERT)."
Просто не вижу как мне это поможет.
Я то считаю наоборот рутинные повторяющиеся операции.
Вот простой пример: берем, например, тот же самый VPN (его обслуживание)
min в год: 2ч (ну, если совсем ни чего не менять и пару раз проверить);
max в год: 560ч (если совсем будет все плохо... на самом деле я бы взял намного меньше, но уважительно отношусь к вашей предварительной оценке)
обычное: 120ч (мой прогноз, его можно уточнить спросив у экспертов "как оно обычно бывает?")
PERT = 174ч