Многие не знают, что есть несколько способов выполнить требования закона №152-ФЗ «О персональных данных». Все они различаются порой кардинальным образом: стоимостью, сложностью и временем реализации.
Один из специалистов нашей команды Б-152 решил поведать вам о первом способе: обращении к системному интегратору и работе с ним.
Основные способы выполнения закона
Основных способов выполнения закона четыре:
- Использование услуг системных интеграторов
- Наем собственного специалиста по информационной безопасности
- Делегирование на сотрудников
- Использование специализированными программами и сервисами
Каждый из способов по своему хорош – какой-то дешевле, какой-то проще, а иные быстрее в плане реализации.
Сперва определите, зачем вы выполняете требования закона «О персональных данных»: быть чистыми перед законом, не попасть на штрафы при проверке, для поднятия среднего чека, для поднятия лояльности, забота о клиентах, требования контрагента или головной компании.
Определите то, что для вас важно при выборе одного из способов: наличие портфолио, невысокая стоимость, комплексная услуга, простота работы и взаимодействия, скорость реализации проекта по защите ПДн, постоянные консультации, поддержка при изменении законов, собственное участие в проекте, страхование рисков, наличие лицензии на работы по защите информации, помощь в прохождении проверки регуляторов.
Нащупайте свою верхнюю ценовую планку, выше которой вы не подниметесь – это один из ключевых факторов.
Какие требования нужно выполнять?
Это обобщенные требования, но именно по ним можно определить, чем именно поможет вам тот или иной способ. Обобщенные требования являются у многих интеграторов этапами реализации проекта по защите персональных данных.
Кто такой системный интегратор?
Системный интегратор это, по сути, компания-подрядчик. Его услуги в плане защиты персональных данных являются комплексными. Реже можно встретить системных интеграторов, в портфеле которых львиная доля это некомплектные проекты.
Большая часть системных интеграторов сконцентрированы в центральном федеральном округе. В регионах присутствуют крупные системные интеграторы, но их на порядок меньше, чем в Москве.
Интеграторы делятся на малых, средних и крупных.
Крупные системные интеграторы берутся только за большие проекты: крупного бизнеса, государственных компаний. Стоимость их услуг начинается с нескольких миллионов рублей. Небольшие проекты они могут рассматривать, но их выполнением будут заниматься субподрядчики. Как правило, большинство системных интеграторов просто отказываются от таких проектов. Имеют свою высококачественную документацию.
Средние системные интеграторы берутся за проекты стоимостью 500 тысяч рублей и выше. Таких системных интеграторов большинство, проекты по защите персональных данных они стали выполнять в качестве сопутствующего их основному бизнесу (разработка ПО, аутсорсинг, внедрение) направления. Берутся за все проекты, реже отдают на субподряд. Имеют свою высококачественную документацию.
Малые системные интеграторы берут проекты стоимостью от 100 тысяч рублей. В большинстве своем, организованными двумя-тремя выходцами из крупных и средних системных интеграторов. Пользуются лицензией средних системных интеграторов для выполнения проектов, за счет чего 1/3 или ¼ от стоимости проекта уходит на оплату лицензии. Их можно продавить на проекты стоимостью ниже 100 тысяч рублей. Используют документацию, взятую из интернета или у системного интеграторы.
Преимущества системного интегратора
Если вы хотите спокойствия, то преимущества их неоспоримы.
Системные интеграторы, кроме малых, могут:
— оказать комплексную услугу высокого качества
— взять на себя риски
— помочь пройти проверки регуляторов
— взять всю реализацию проекта на себя
В договорах на оказание услуг с системным интегратором, учтены абсолютно все нюансы, которые только могут быть учтены. Они имеют внутренние регламенты, в связи с чем взаимодействие с ними всегда находится на высшем уровне.
Недостатки системного интегратора
У системного интегратора есть ряд недостатков:
— высокая стоимость реализации проектов – для малых интеграторов от 300 т.р., для крупных от 1 млн. рублей
— авансовая система расчетов – интеграторы работают по 100% предоплате за весь проект или за реализующиеся этапы в рамках данного проекта
— долгое время реализации проекта – стандартный срок реализации проекта по защите персональных данных составляет 9 месяцев, сроки часто переносятся, за счет чего стоимость проекта возрастает
отсутствуют во многих регионах – не в каждом регионе можно найти системного интегратора, но они с охотой выезжают к вам из других регионов, добавляя сумму проезда, проживания и командировочных к стоимости проекта
могут отказаться от проекта – как упомянуто выше, если цена проекта низкая
С другой стороны, крупные компании могут закрыть глаза на все недостатки. Но для малого и среднего бизнеса они существенны и критичны.
Выбираем лучшего для себя интегратора
1. Составляем список системных интеграторов
Тут поможет Google и Яндекс. Для облегчения, ниже приведены некоторые системные интеграторы с указанием их сайтов:
Информзащита, www.infosec.ru
- Leta, www.leta.ru
- Инфосистемы Джет, www.jet.su
- Астерос, www.asteros.ru/
- Элвис-Плюс, www.elvis.ru/
- Энвижн Нруп, www.nvg.ru/
- ДиалогНаука, www.dials.ru/
- SoftLine, services.softline.ru/
- Уральский Центр Систем Безопасности, www.ussc.ru/
- Орбита, www.orbitacom.ru/
- ICL-КПО ВС, www.icl.ru/
- Системная интеграция, www.sysonline.ru/
Так же будет полезно использовать для поиска рейтинг системных интеграторов.
2. Определяем опыт системного интегратора
Для этого смотрим их портфолио, страницы пресс-релизов. Так же важно определять их клиентов по размеру, чтобы найти похожих на ваш бизнес. С похожими проектами можно списаться и узнать у них, как интегратор выполнял их проект.
3. Начинаем общение с выбранными системными интеграторами
Оставить заявку можно как через сайт системного интегратора, так и по телефону. Тут все просто, объяснять ничего не нужно. Напишите сразу нескольким системным интеграторам, чтобы выбрать из них наиболее подходящего в дальнейшем. Ждем от них ответа.
4. Тесное общение с системным интегратором
С вами связываются продажники системных интеграторов, задают некоторые вопросы и высылают анкету предпроектного обследования.
У всех системных интеграторов разные анкеты предпроектного обследования, можно заранее заполнить одну и рассылать всем. Анкетe предпроектного обследования качать тут.
После отправки анкеты в системные интеграторы, их продажники, если вы находитесь с ними в одном городе, предложат приехать к вам для pre-sale, чтобы подробнее узнать ваши потребности. Интеграторы из других регионов редко выезжают на pre-sale.
После этого вам отправляют коммерческие предложения, из которых мы выбираем наиболее подходящее для вас.
Стоит знать, что интеграторы делятся на тех, кто зарабатывает с установки своих средств защиты, и кто получает прибыль со своего консалтинга.Первые подходят тем, у кого большая ИТ-инфраструктура. Таких системных интеграторов можно определить по сайту, на нем представлены разработанные ими средства защиты информации. Вторые подходят тем, у кого много бизнес-процессов, в которых циркулируют персональные данные, а ИТ-инфраструктура небольшая. Они определяются по продаваемым на сайте средствам защиты информации других производителей.
Правильно взаимодействуем с интегратором
При работе с системным интегратором есть нюансы, которые нужно знать:
- Внимательно читайте договор с системным интегратором, если у вас нет юриста, то он вам точно пригодиться. Только правильно согласованный договор с интегратором будет являться залогом вашего спокойствия.
- Проговаривайте ответственность с системным интегратором. Включайте в договор полную ответственность интегратора за оказанные им услуги.
- Можно попытаться снизить цену за проект – покажите их продажникам коммерческие предложения других интеграторов с более низкой стоимостью. Если таких предложений у вас нет, то просто говорите, что хотите дешевле – торговаться нужно обязательно.
- Если вам будут в проекте внедрять средства защиты информации, то просите сертификаты на умение работать с теми или иными средствами защиты информации инженеров, которые будут работать с вами.
- Старайтесь не затягивать сроки по сбору информации со своей стороны, в договоре это прописывается. Из-за этого увеличивается время реализации проекта и стоимость проекта.
- Просите показать интегратора лицензию ФСТЭК на работы по технический защите конфиденциальной информации и смотрите, до какой даты он действителен.
- Если деньги есть, то можно нанять компанию, которая будет проверять работу системного интегратора.
- Подписывайте NDA, обязательно подписывайте.
Надеюсь, статья оказалась вам полезной, т.к. в следующий раз мы поговорим о том, как выполнить проект собственными силами, без привлечения интеграторов и найма безопасников.
Автор: piepl
