На заседании Совета Федерации одной из ключевых тем в рамках обсуждения законопроекта по персданным была цена выполнения положений 19-й статьи. Одни говорили, что это очень дорого. Другие заявляли, что ни копейки из бюджета не потребуется брать. Третьи требовали сначала представить расчеты стоимости реализации закона, а потом уже принимать решение о его принятии. В итоге законопроект приняли, а Правительству поручили посчитать, во что выльется реализация положений 19-й статьи. Т..к. надежды на Правительство никакой, депутаты и сенаторы не в теме, а Минкомсвязь устранился от решения вопроса, то возьму на себя смелость подготовить такую калькуляцию. Что характерно, она не сильно изменилась по сравнению с арифметикой трехлетней давности.
Итак, берем ст.19 нового законопроекта. В п.2 у нас предусмотрено 9 мероприятий по защите. В целом они понятны и дальше я буду их оценивать, но хочу прокомментировать только один пункт - "Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию". Что это как не аттестация ИСПДн?
Список организационных и технических мер из 19-й статьи у нас детализирован в ПП-781 (да и 58-й приказ ФСТЭК и методички ФСБ его повторяют). Это всяческие проверки готовности, ввод в эксплуатацию, обучение персонала, учет носителей, учет лиц, контроль за соблюдением и т.д. Т.к. Правительство делегировало состав и содержание 9-ти пунктов ст.2 ФСТЭК и ФСБ, то мы имеем полное право предположить, что указанные в нормативных документых регуляторов меры останутся теми же. Рекомендуемые типы защитных средств тоже - СЗИ от НСД, МСЭ, сканеры безопасности, системы обнаружения атак, системы управления СЗИ, токены, антивирусы, СКЗИ. Из оргмер - охрана, защита помещений, оценка соответствия, ограничение доступа в помещения и т.д.
Теперь попробуем посчитать во что это все обойдется?
Стоимость СЗИ для одно ПК - от 3463 рублей (на сертификат для ОС Windows 7; считаем что сама лицензионная ОС уже приобретена) до 8750 рублей (на "Блокхост-Сеть"). Цены на Secret Disk, DALLAS LOCK, Панцирь и Secret Net варьируются в тех же диапазонах - 5-7 тысяч рублей. Нужно также добавить от 15% до 25% на годовую техподдержку. Разумеется при больших внедрениях цена может быть снижена, но я сейчас рассчитываю сценарий для микропредприятий (до 15-ти человек) и индивидуальных предпринимателей, коих по данным Росстата у нас около 4-х миллионов (на конец 2009 года - данных актуальнее я не нашел. Они ни о каких скидках и мечтать не смогут.Стоимость СЗИ для одного файлового сервера - от 8900 рублей (на сертификат для ОС Windows Server 2008 R2 Standard Edition) до 35200 рублей (на сервер класса С для Secret Net). Цены на Аккорд, Secret Disk NG и др. вариьируются от 14 до 32 тысяч рублей.Стоимость самого дешевого сертифицированного сканера безопасности ("Ревизор Сети") - 9275 рублей на 10 IP-адресов.Антивирус (что Касперского, что Dr.Web) обходится примерно в 900-1000 рублей на один ПК. Если брать не Kaspersky Workspace Security, а Total Space Security, то цена вырастет до 4100 рублей на один компьютер.Стоимость самого дешевого сертифицированного МСЭ - около 10 тысяч рублей. Это что на UserGate Proxy & Firewall, что на MS ISA Server Standard 2006. При росте числа пользователей цена МСЭ может возрасти и до 1-10 миллионов рублей.Стоимость системы обнаружения вторжений я оцениваю примерно тысяч в 15, хотя тут могут быть и гораздо более высокие цифры.Итого на компанию из 10-ти компьютеров и одного сервера придется потратить только на приобретение сертифицированных средств защиты (а сейчас их в малом и микробизнесе нет ни у кого) не менее 120 тысяч рублей и заложить 20 тысяч на ежегодную поддержку. Для компании из 100 ПК и трех серверов потребуется уже 1 миллион 175 тысяч рублей и около 200 тысяч на поддержку.
Если компании не повезло и у нее два и более офисов, то она будет вынуждена применять VPN-решения. Стоимость такого решения на два офиса (точка-точка) составит не менее 125 тысяч рублей (для Континента-Мини). На базе ViPNet или ФПСУ-IP цена будет составлять 130-140 тысяч рублей. При защите 10 офисов цена сертифицированного VPN-решения (про функциональность даже пока не заикаюсь) составит минимум 900-1200 тысяч рублей.
Все эти цифры одинаковы, что для ИСПДн 3-го, что для ИСПДн 1-го класса. Единственная разница - для ИСПДн 1-го класса СЗИ должны пройти сертификацию на отсутствие НДВ, а она стоит 750-1200 тысяч рублей (но есть примеры и в 7-8 миллионов рублей). Напомню, что учитывая отсутствие у абсолютного большинства операторов ПДн сертифицированных средств защиты, им придется делать все эти траты с нуля. К слову сказать, на днях был на одном КВО, который еще и гостайну в полный рост обрабатывает. Так вот у них тоже нет сертифицированных СЗИ ;-) Что уж говорить о микро-, малом и среднем бизнесе.
Вы думаете это все? Нет. Дальше у вас пойдут затраты на оргмеры. Составление модели угроз. Т.к. ни один здравомыслящий человек не будет использовать "Базовую модель угроз" от ФСТЭК, а ассоциаций и союзов, готовых разработать модель для малого бизнеса нет, то разрабатывать малым предприятиям такие модели придется самим. Сами они не в состоянии; следовательно обязаны будут обратиться к интеграторам. Ценник на такие работы - от 15 до 690 тысяч рублей (из реальных коммерческих предложений).Составлению модели угроз всегда предшествует этап обследования информационных систем, включающий сбор информации об используемых ПДн (от 45 до 330 тысяч рублей), категорирование ПДн (от 15 до 150 тысяч рублей), сбор информации об используемой системе защиты (от 60 до 180 тысяч рублей), классификация информационных систем (от 15 до 270 тысяч рублей).Обучение трех специалистов - 25-35 тысяч рублей на одного человека. Откуда 3, а не 2? По словам представителей ФСТЭК должно быть три. Два нужно для лицензии. А для составления модели угроз по методике ФСТЭК - три. Экспертов с подтвержденной квалификацией в группе должно быть нечетное количество (т.е. минимум три).Аттестация - от 10 до 80 тысяч рублей на один ПК (в зависимости от модели угроз).Построению системы защиты должны предшествовать этапы разработки ТЗ и технического проекта по ГОСТ 34 698-90, а также набора инструкций, приказов, положений и т.д. от 300 до 1200 тысяч рублей.Стоимость лицензирования не привожу, т.к. можно обойти либо путем заключения договора с лицензиатом, либо юридической проработкой этого вопроса. Но если вдруг кто-то захочет, то готовьте минимум 2 миллиона рублей.Итого стоимость организационных мер по приведению организации в соответствие с требованиями принятых поправок составляет 540 тысяч рублей (без аттестации), невзирая на количество компьютеров, обрабатывающих ПДн. Аттестация 10 компьютеров обойдется в дополнительных примерно 200 тысяч рублей.
Резюмируя:
Стоимость приведения компании с 10-тью компьютерами, одним серверов и подключением к Интернет в соответствие с требованиями принятых поправок составит не менее 900 тысяч рублей в год (без стоимости лицензирования).Стоимость приведения компании с 100 компьютерами, тремя серверами и подключением к Интернет в соответствие с требованиями принятых поправок составит не менее 3 миллионов 915 тысяч рублей в год (без стоимости лицензирования).Стоимость приведения компании с 100 компьютерами, тремя серверами и десятью офисами, подключенными через Интернет, в соответствие с требованиями принятых поправок составит не менее 5 миллионов рублей в год (без стоимости лицензирования). Можно ли сократить эти цифры? Законными методами практически нет. Компании малого и микробизнеса не интересны интеграторам и поставщикам. Интересен сам сегмент этого рынка, но не отдельные его представители. Можно дать скидку Газпрому или Центральному банку. Но давать скидку на защиту для 3-4 компьютеров?..
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.