понедельник, 24 октября 2011 г.

Расчет расходов на получение лицензии на ТЗКИ в "хардкорных" условиях


В блоге Алексея Волкова опубликован пост по поводу стоимости получения лицензии на ТЗКИ с учетом покупки аппаратуры. Озвучено было 3,5 миллиона рублей. Сумма выглядит явно завышенной, поэтому стало интересно рассчитать реальные расходы на получение лицензии на ТЗКИ в "хардкорных" условиях.

Приведу изначальные моделируемые условия:
1. Мы не можем взять аппаратуру в аренду.
2. У нас в аренде только одно помещение с ненадежными окнами и дверью на первом этаже здания с подвалом . В помещении три окна, три батареи отопления, вентиляция, один вход на открытую и неохраняемую территорию.
3. Компьютер отсутствует.
4. Общую ОРД делаем своими силами и не привлекаем сторонние организации (как указано в посте Алексея Волкова).

Расходы:

 1. Аппаратура контроля ТКУИ
     По АВАК:        
        ПАК «Гриф-мини» 890000
        Защищенная акустическая колонка АКМ-01 105800
     По ПЭМИН:
        ПАК «Легенда-05М»
1100000

 2. Средства контроля защищенности информации  
     ФИКС 2520
     Ревизор-1 ХР 1100
     Ревизор-2 ХР 7350
     TERRIER 1700
     Ревизор сети 5700

 3. Обучение двух специалистов
     Курсы повышения квалификации по программе "Комплексная защита конфиденциальной информации в организации" (2 специалиста) 101600
     Расходы на дорогу 2х специалистов туда-обратно (Вологда-Москва) 4800
     Командировочные расходы на 2х сециалистов на 12 дней 22000
     Проживание в гостинице 11 дней (бюджетный номер на 2 человека) 33000

 4. Оборудование помещения
     Пластиковые окна 3 шт (1400*1450) 33000
     Жалюзи на 3 окна 4500
     Решетки на 3 окна (сварные) 7000
     Металлическая дверь с установкой 20000

 5. Оборудование АРМ
     Системный блок + Монитор + Клавиатура/Мышь/СФ + Принтер 25000
     Лицензия Windwos 7 Professional 5500

 6. Средства защиты ЗП
     ЛГШ-404 23580
     Вибропреобразователь (стены, потокол, пол) 22шт 48400
     Вибропреобразователь (трубы) 6шт 13200
     Вибропреобразователь (оконные стекла) 6шт 13200
     ЛГШ-301 (2 шт) 13140
     Монтаж 10000

  7. Средства защиты АС
     ЛГШ-503 18900
     Сертифицированный дистрибутив Windows 7 Professional 1620
     Антивирус Dr.Web лицензия + сертифицированный дистрибутив 1890

 8. Аттестационные испытания ЗП 60000

 9. Аттестационные испытания АС 75000

10. Доставка
     Аппаратура из Гаммы 15000
     Аппаратура и ПО из ППШ 3000
     ПО из Алтекс софт 800

11. Подготовка документов
     Печать открытых нормативных актов, внутренних документов и ксерокопирование 2000
     Нотариальное заверение 2000
     Почтовые расходы 300

12. Документы ДСП 5000

Итого максимум 2677600 рублей, что порядком меньше 3,5 указанных. На ряд расходов сумма условная, но считаю, что адекватная и местами завышенная. 

При этом полученная сумма при расчете может быть значительно уменьшена в случае, если:
 - при оборудовании АРМ не приобретать ПК, а использовать ноутбук от комплекта ПАК «Гриф-мини»;
 - часть аппаратуры привезут сотрудники, которые будут проходить обучение в Москве;
 - формально или реально сдать аппаратуру контроля ТКУИ сторонней организации;
 - договориться с арендодателем о компенсации за установку окон, решеток и новой двери;
 - исключить использование съемных носителей информации в АС и не приобретать антивирус;
 - арендуемое помещение будет меньше по площади или в лучшем состоянии в плане обеспечения физической безопасности.

P.S.: 
 Расчет проводился на основании требований действующего законодательства.
 Указанные в посте организации приведены не с целью рекламы, а с целью конкретизации расчетов.

17 коммент.:

Алексей Волков комментирует...

Есть 2 нюанса, из тех, что мне известны. Первый - курсы повышения квалификации, указанные в расчете, не соответствуют требуемым. ФСТЭК затребовали гораздо больший перечень. Второй - один из документов, генерируемых в ходе испытаний, является СЕКРЕТНЫМ, и потому требует наличия у будущего лицензиата ФСТЭК действующей лицензии ФСБ, что, собственно, тоже стоит денег. Ну и наконец, вот здесь есть видео - там в середине как раз лицензиат, затративший эту сумму, рассказывает о том, на что он ее потратил.http://anvolkov.blogspot.com/2011/03/blog-post_30.html

Медюшко Сергей комментирует...

По первому нюансу:
Нужны не курсы, а диплом о краткосрочном повышении квалификации, именно его копию претендент на лицензию и будет прикладывать к комплекту документов. Уверен по направлению "Комплексная защита конфиденциальной информации в организации" в объеме 80 часов будет более чем достаточно.
По второму:
Укажите, пожалуйста, наименование этого секретного документа и испытания, в ходе которых он генерируется. Если подразумеваете аттестационные испытания ОИ по конфе, то это невозможно. Тогда все, кто имею аттестованный ОИ по конфе должны иметь лицензию ФСБ на гос тайну?
По видео отпишу позже, т.к. сейчас нет возможности его просмотреть.

Медюшко Сергей комментирует...

Прочитал комментарии к http://anvolkov.blogspot.com/2011/03/blog-post_30.html
В общем стало понятно откуда секретный документ и такая учеба.
1. Они аттестовали ВП, а не ЗП.
2. Обучили толпу в количестве 8 человек.

Сергей комментирует...

Пусть не 3.5, а 2.5 млн. Кто может себе это позволить, при условии, что лицензия нужна ВСЕМ?
Аутсорс ИМХО не дешевле, только затраты будут разнесены во времени.

Медюшко Сергей комментирует...

Сергей, расходы на аппаратуру можно значительно уменьшить, если найти возможность взять ее в аренду на бумаге. Я понимаю, что это очень проблематично, но при должном уровне удачи и коммуникабельности это сделать реально: по реестру лицензиатов ТЗКИ, ТЗИ и ПД ИТР ищем организации и пробуем договориться. Я бы пробовал сначала договориться в гос секторе, т.к. аппаратуру они могли получить безвозмездно.
Целью расчета я ставил выявление реальной суммы в тяжелых условиях.

Медюшко Сергей комментирует...

А требования на счет необходимости лицензии и появление строго контроля выполнения таких требований могут привести к появлению "формального" аутсорса, когда организация будет все делать своими силами, а привлекать неквалифицированного\нераскрученного лицензиата с целью подписать его лицензии к выполненной работе.

Сергей комментирует...

За расчет спасибо, но... Я иду к шефу и говорю, что по закону нам нужна лицензия, есессно возникает вопрос, а что нам будет без нее. Открываю КоАП: 13.3 штраф до 20 тыров, и то 4.5 Постановление по делу об административном правонарушении не может быть вынесено по истечении двух месяцев (по делу об административном правонарушении, рассматриваемому судьей, - по истечении трех месяцев) со дня совершения административного правонарушения. И что скажет шеф?

Медюшко Сергей комментирует...

Естественно организации для собственных нужд получение лицензии нерентабельно, об этом весь интернет гудит. Меньше 200 т.р. все равно лицензия не выйдет. Самый минимум около 100 т.р. если уже есть лицензия на ТЗИ и/или ПД ИТР.
Если вы как специалист хотите получить лицензию на ТЗКИ для собственных нужд и при этом готовы приобретать аппаратуру, то тут к шефу надо идти с бизнес-планом. Для меня загадка, как организация выделила 3,5 миллиона на лицензию по ТЗКИ для собственных нужд?

Сергей комментирует...

Ну, знаете, кому супчик жидковат, кому жемчуг мелковат. Как в том старом анекдоте про новых русских: я галстук в бутике за 300 баксов купил - ну ты и лоханулся, я за углом точно такой-же за 500 купил. Чисто пальцы загнуть (имидж/репутация) - у меня лицензия есть, 300 000 баксов отдал. Ну максимум процентов 10 могут себе это позволить, плюс госы - за наши деньги.

Алексей Волков комментирует...

В том-то и дело, что не для собственных нужд, а для ведения этой деятельности. А для собственных нужд все это НАФИГ не нужно.

Алексей Волков комментирует...

Вот мне что ответили коллеги:

1. Специалисты, обсуждающие затраты вычеркнули такую немалую статью, как подтверждение лицензионности ПО, используемого фирмой (т.е. если иначе говорить, то все используемое ПО на фирме должно быть лицензионным - есть там в заявке такое приложение). Если у фирмы с этим все хорошо, то больше затрат нет, но у всех ли это так?
2. Для реальной работы еще неплохо и стенд для испытаний и моделирования иметь, ноутбуки (1-2), настроенные несколько специфично для обследования сетей клиентов на выезде и т.д.(список можно привести немаленький).
3. По поводу организаций "жаждущих" сдать аппаратуру в аренду - всем гос. организациям это запретили делать, а именно у них большая часть аппаратуры и находится.

Резюме:

1. если просто получить бумажку с лицензией ТЗКИ, то и ниже 2,5 миллионов можно упасть, только вот реальной работы по данному направлению в этом случае не получится.
2. Порядок цифр в любом случае получается сравнимым
3. Получение лицензии ТЗКИ для собственных нужд будет сильно затратное по сравнению с налагаемыми штрафами.
4. Хотя может к пункту 3 и стремятся лоббирующие данный закон?

Медюшко Сергей комментирует...

1. По поводу подтверждения лицензионности ПО - только на АРМы, относящиеся к лицензируемому виду деятельности или являющиеся объектами защиты. Вот тут ФСТЭК может придраться, а по остальному ПО их не должно волновать.
2. Если делать бумажки и проводить неглобальные работы, то можно обойтись и без стенда. По ноутбукам - расходы по сравнению с аппаратурой на них копеечные, часто ноутбуки входят в комплект измерительной аппаратуры(например "Гриф").
3. Под гос сектором я имел в виду в том числе ОАО, акции которых принадлежат государству. У них запретов нет, а желание "поднять" денег присутствует. Тем более ИБшников в таких организациях можно заинтересовать возможностью пустить средства от "бумажной" аренды на нужны по ЗИ предприятия.

По резюме:
Можно, не имея фактической аппаратуры, свободно заниматься работами и обслуживанием по защите ПДн в ИСПДн без ТКУИ. Аттестаты выдавать не получится, но по ПДн они нам и не нужны.
По остальному в общем согласен. И конечно, если строить фирму с "нуля", то 2,5 миллионов не хватит. Также расходы будут пропорциональны серьезности предполагаемых работ.

Алексей комментирует...

1. "Итого максимум 2677600 рублей, что порядком меньше 3,5 указанных."
Да что же такое, "порядком меньше" - это если бы было сравнение между 2,7*10^5 руб. и 3,5*10^6 руб, здесь же разница не на порядок, и даже не в разы, а лишь примерно в 1,3 раза.

2. Совершенно упущены из виду затраты на специалистов, а ведь они должны быть, и по крайней мере один из них должен иметь нормальный стаж. А такой ТЕХНИЧЕСКИ простой темой как защита ПДн (установка и обслуживание СЗИ) могли бы заниматься и специалисты с маленьким стажем, или даже вообще ИТшники с курсами по ИБ.
А если после обучения вы сэкономите на специалистах - то они могут уволиться, и вам придётся снова тратить немаленькие деньги на обучение новых.

3. Учитывайте что самый дорогой п.1 - по факту в большинстве случаев не нужен вообще для защиты информации как таковой. Возьмите среднемирового защитника информации - сколько ресурсов он тратит на защиту от ПЭМИН и ВАКУИ? Для него п.1 - деньги на ветер.

4. Расчёт в целом хороший, детали дополнить и можно использовать как документированный довод против лицензирования по ТЗКИ для собственных нужд.

Медюшко Сергей комментирует...

1. По слову "порядок" в данном посте - мое субъективное мнение. Я считаю, что 30% от расходов - значительный "порядок". Во всяком случае, в некоторых ситуациях 30% от расходов может сделать из убыточного проекта прибыльный.

2. Затраты на специалистов не упущены. Описанный в посте метод получения лицензии преследует одну основную цель - получение лицензии на ТЗКИ в изначально тяжелых условиях, а не открытие полноценной компании.
Послать на учебу можно директора, зама или даже секретаршу в составе 2х человек, чтобы они получили соответствующие корочки. Это страхует и от увольнения обученных сотрудников.
Также с целью минимизации издержек на текучку обученных специалистов с ними на практике заключают договор на отработку в компании N количество лет. На счет легитимности таких договоров я сомневаюсь, но где-то такое срабатывает.

3. Согласен полностью, в части конфиденциальной информации эта аппаратура себя не оправдает.

Алексей комментирует...

2. Нелогично. Такая "экономия" боком выйдет.
2.1. Потратив 2,7млн, в бумажках надо на директора и секретаршу всю волокиту вешать, "городить огород" из "как бы ответственных" и "как бы допущенных".
2.2. Директора (!!!) и секретарш надо освобождать от работы на длительный срок.
2.3. Секретарши вообще вряд ли техническое образование имеют и за спецов по ЗИ не сойдут, да и курсы не осилят.
2.4. Курсы на фоне современного среднеуниверситетского образования - это не только формальность, но и действительно обучение.

Медюшко Сергей комментирует...

Алексей, этот вариант с директором и секретаршей предложен как самый крайний не для рабочей по ТЗКИ компании, а если нужна лицензия, или в организации всего два человека.
Секретарш сейчас уже можно найти с любым образованием, а наименование должности формально поменять, чтобы ублажить регулятора.
Тут надо разделять цели получения лицензии:
1. Для работы компании по направлению ТЗКИ.
2. Формальное получение лицензии с примерно минимальными расходами в допустимых значениях, но при условии заданных ограничений (невозможность арендовать аппаратуру, неудобное помещение для ЗИ и т.д.).
Собственно в посте я и ставлю акцент на п.2. По п.1 будет совершенно другой расчет и его принцип проведения.

А формальное получение "бумажки" необходимо:
1. Для "собственных нужд" по ПДн.
2. Для удовлетворения контрактных требований. - в этой части действительно сталкивался, когда организации из двух человек необходимо было получить лицензию на ТЗКИ (аппаратуру там правда не приобретали).

Медюшко Сергей комментирует...

Освобождать от исполнения обязанностей действительно придется на 11 дней.
Реальную пользу от курсов я под сомнение никогда не ставил.

Отправить комментарий