ИЗБЕЖАТЬ УЩЕРБА
Персональные данные стали сегодня неотъемлемым компонентом бизнес-моделей, IТ-сервисов и продуктов. Анализ ПД с помощью современных цифровых инструментов обеспечивает новый уровень функциональности IТ-услуг и продвинутый клиентский опыт.
Обратной стороной развития в этом направлении становятся новые требования к бизнесу по обеспечению процедур сбора, хранения, обработки и передачи персональных данных согласно законодательным требованиям. Несоответствие им чревато штрафами и репутационным ущербом в случае утечки. Негативный шлейф может тянуться за нарушителем очень долго, даже в случае оперативного устранения причин и последствий из-за огласки таких эпизодов в СМИ.
Однако это не значит, что у бизнеса нет других видов мотивации для «прокачки» процедур, связанных с защитой ПД в соответствии с федеральным законом №152. Помимо «карательной» перспективы (75 тыс. рублей штрафа за обнаружение и неустранение нарушений), существуют также операционные и экономические стимулы.
В сумме эти факторы на текущий момент значительно перевешивают последствия мер со стороны Роскомнадзора, а также возможные репутационные потери, связанные с утечкой ПД клиентов и потерей доверия.
Рассмотрим, из чего и как именно складываются эти скрытые издержки.
ТРИ КИТА БЕЗОПАСНОСТИ ПД
Сегодня требования федерального закона «О персональных данных» выполняются за счет того, что у компаний разработаны все необходимые документы и регламенты в сфере информбезопасности (ИБ) в целом и ПД в частности. Реализованы технические и организационные меры защиты, а все ответственные за эти задачи кадры имеют необходимые компетенции.
В целом, совокупность базовых факторов обеспечения безопасной работы с ПД можно объединить в три базовых группы.
Прежде всего, это прямые финансовые затраты на приобретение базового IТ-оборудования и софта, а также средств ИБ и сетевых компонентов. Далее идут кадровые издержки – создание штата сотрудников, ответственных за выполнение всех задач, связанных с ПД. Их нужно найти, привлечь, иногда дообучить, и далее – удерживать в компании. Третье направление – временные ресурсы, которые необходимо потратить сотрудникам для достижения нужного результата. Этот компонент выражается в показателе Full Time Equivalent (FTE) – эквивалент полной занятости сотрудников компании, позволяющий определить уровень вовлеченности работников в трудовой процесс.
Если FTE равняется единице – это означает полную загруженность сотрудника выполнением поставленной задачи (работе c ПД в нашем случае). При показателе 0,5 – загрузка составляет примерно половину рабочего дня.
Эффективное управление тремя базовыми компонентами обеспечения ПД-соответствия в огромной степени зависит от выбора модели развертывания всего комплекса мер. Их две – собственными силами компании (on-premises) или в защищенном облаке сервис-провайдера.
САМИ С УСАМИ?
Возьмем юридический аспект обеспечения соответствия закону о ПД.
Задача требует разработки документации, регламентов, их поддержания в соответствии с изменениями в требованиях регулятора, проведения обучения для сотрудников. Отдельно стоит добавить юридическое сопровождение, к которому относятся экспертиза договоров, взаимодействие с регуляторами, подрядчиками, клиентами. Вне зависимости от того, размещает ли бизнес все IТ-системы и данные on-premises или в облаке у сервис-провайдера, он должен разработать все эти документы самостоятельно.
Затраты на юридическую компетенцию при самостоятельной проработке соответствия федеральному закону и через привлечение третьей стороны, будут полностью одинаковы для обеих моделей. То же самое справедливо и в отношении ИБ-документации.
Но если мы переходим к такой области соответствия, как техническое обеспечение, то здесь
Если же бизнес решает обойтись здесь своими силами, то ему нужно будет покупать «железо», лицензии на ПО, продлевать их по мере истечения, проводить настройку и обновление всех компонентов. Также, в какой-то момент придется решать задачу утилизации устаревших IТ-активов.
В облаке весь аппаратный уровень – физические серверы и инфраструктурное ПО, сеть – реализуется силами провайдера. Бизнесу остается сфокусироваться на прикладном уровне бизнес-приложений в виртуальном окружении. Ближайшая аналогия из повседневного опыта: покупка фильма на физическом носителе в бессрочную собственность или аренда в онлайн-кинотеатре, а также опция бессрочной покупки контента в онлайне, но без физического носителя.
Эта аксиома нарушается только в том случае, если бизнес решает докупить какое-то специальное «железо» или ПО для особых задач: это могут быть продвинутые типы VPN или Next Generation Firewall, специальное сетевое оборудование, которое требуется для работы виртуальной инфраструктуры.
Также, в облаке бизнес не тратит деньги на инженерные системы жизнеобеспечения серверных компонентов: источник бесперебойного питания, системы кондиционирования воздуха. Отсутствуют расходы на обслуживание серверных помещений и шкафов. Если спуститься еще глубже на уровень ИБ, то при миграции ПД-задач в облако, также отпадает необходимость тратиться на антивирусные средства и межсетевые экраны, хранение данных и средства анализа защищенности. Все это, как правило, реализовано в облачной услуге обработки ПД согласно закону «О персональных данных».
В ФОКУСЕ КАДРЫ
Кадровый вопрос по своей важности в работе с ПД не уступает комплексу инфраструктурных моментов и задачам настройки программного-аппаратного взаимодействия.
Что касается ИБ, то здесь от специалистов требуется сочетание компетенций в области написания документации с практическими навыками развертывания и настройки инструментов информбезопасности и технических средств.
На рынке не так просто найти универсального специалиста – чаще доступны люди только с одним набором навыков. Если бизнес решает заниматься обработкой ПД в защищенном облаке, то все технические моменты отдаются на откуп провайдеру. Соответственно, найти ИБ-специалиста в штат компании, который будет заниматься только документацией – намного проще и, возможно, не дорого.
Что касается IТ-специалиста, то в облачном сценарии бизнесу также не нужно иметь в штате дорогого профессионала для обслуживания аппаратных компонентов: серверов, кластеров, систем хранения данных и сети.
ОПЫТ ПОБЕЖДАЕТ
В целом, сложность управления процессами ПД и выделяемой для них IТ-инфраструктурой такова, что при больших объемах этих задач при выборе модели «все делаем сами» весь IТ-отдел, «безопасники» и юристы значительную часть времени будут загружены только ПД.
То есть тот самый показатель FTE у них будет равняться единице, ни на что другое времени и внимания не останется.
Либо придется расширить штат, либо значительно доплачивать за сверхурочную работу. Иначе это приведет к отставанию компании по IТ-направлению в развитии.
Однако если организация переводит ПД-нагрузку в защищенное облако, то ее шансы на гармоничное развитие серьезно возрастают. По нашим расчетам, основанным на опыте работы с клиентами по всему спектру работ с персональными данными, при облачном развертывании FTE коэффициент ИБ-специалистов падает с 0,5-1 до 0,15. Это примерный средний расчет, на математическую точность он не претендует, но общую картину отражает максимально близко к реальности.
Для IТ-специалистов при модели самостоятельной защиты ПД характерен показатель FTE на уровне как минимум 0,5, но после переезда в облако он падает в среднем до 0,17.
То есть,
Сегодня любая организация может самостоятельно построить систему защиты персональных данных по своему усмотрению. Однако комплексный характер задачи и ряд специфических технических требований делают наиболее целесообразным взаимодействие с подрядчиком, который съел на этом «не одну собаку» в ходе реализации других проектов.
© 2023 Linx