В компаниях часто возникает вопрос о том как провести аттестацию системы: стоит ли заниматься этим самостоятельно или лучше привлечь внешних экспертов?
Хотя внутренние ресурсы могут казаться наиболее логичным и экономически выгодным решением, ряд аспектов требует более глубокого анализа и возможного внешнего взгляда.
Обратимся к закону
Аттестация информационных систем персональных данных (ИСПДн) часто воспринимается как сложное и дорогостоящее мероприятие, особенно для небольших организаций.
Согласно пункту 6 Приказа № 21 ФСТЭК от 18.02.2012, операторы персональных данных могут самостоятельно оценивать эффективность мер по защите данных или привлекать к этому процессу лицензированных специалистов. Таким образом, закон предоставляет операторам выбор, не делая аттестацию строго обязательной. Но это не означает, что можно игнорировать требования безопасности.
Что может пойти не так? Риски самостоятельной аттестации
При аттестации информационной системы персональных данных (ИСПДн), даже одна ошибка или неверное толкование информации может привести к тому, что результаты не будут отражать реальное положение вещей и соответствовать законодательным требованиям.
Часто такие ошибки происходят, когда операторы используют общедоступные шаблоны документов, меняя в них только адрес и название своей организации. Это ведет к целой цепочке проблем.
- Неправильная оценка угроз ведет к созданию некорректного технического задания.
- Ошибки в техническом проекте могут привести к лишним затратам или пропуску важных мер защиты.
- Средства защиты информации (СЗИ) часто закупаются неправильно: либо их слишком много, либо они вовсе не нужны. Затем эти средства могут так и не быть установлены.
- Персонал не обучают должным образом, что усугубляет проблему неправильной защиты данных
Последствия для бизнеса тоже есть. Неверно выполненная аттестация может негативно на него повлиять.
- Ошибки быстро обнаружатся при первом же внешнем запросе или проверке.
- Контрагенты могут отказаться от сотрудничества или подать в суд за несоответствие условий контракта.
- Регуляторы могут провести проверку, что может привести к штрафам и другим наказаниям для руководства компании.