В блоге Алексея Волкова опубликован пост по поводу стоимости получения лицензии на ТЗКИ с учетом покупки аппаратуры. Озвучено было 3,5 миллиона рублей. Сумма выглядит явно завышенной, поэтому стало интересно рассчитать реальные расходы на получение лицензии на ТЗКИ в "хардкорных" условиях.
Приведу изначальные моделируемые условия:
1. Мы не можем взять аппаратуру в аренду.
2. У нас в аренде только одно помещение с ненадежными окнами и дверью на первом этаже здания с подвалом . В помещении три окна, три батареи отопления, вентиляция, один вход на открытую и неохраняемую территорию.
3. Компьютер отсутствует.
4. Общую ОРД делаем своими силами и не привлекаем сторонние организации (как указано в посте Алексея Волкова).
Расходы:
1. Аппаратура контроля ТКУИ
По АВАК:
| ПАК «Гриф-мини» | 890000 |
| Защищенная акустическая колонка АКМ-01 | 105800 |
По ПЭМИН:
| ПАК «Легенда-05М» |
|
2. Средства контроля защищенности информации
| ФИКС | 2520 |
| Ревизор-1 ХР | 1100 |
| Ревизор-2 ХР | 7350 |
| TERRIER | 1700 |
| Ревизор сети | 5700 |
3. Обучение двух специалистов
| Курсы повышения квалификации по программе "Комплексная защита конфиденциальной информации в организации" (2 специалиста) | 101600 |
| Расходы на дорогу 2х специалистов туда-обратно (Вологда-Москва) | 4800 |
| Командировочные расходы на 2х сециалистов на 12 дней | 22000 |
| Проживание в гостинице 11 дней (бюджетный номер на 2 человека) | 33000 |
4. Оборудование помещения
| Пластиковые окна 3 шт (1400*1450) | 33000 |
| Жалюзи на 3 окна | 4500 |
| Решетки на 3 окна (сварные) | 7000 |
| Металлическая дверь с установкой | 20000 |
5. Оборудование АРМ
| Системный блок + Монитор + Клавиатура/Мышь/СФ + Принтер | 25000 |
| Лицензия Windwos 7 Professional | 5500 |
6. Средства защиты ЗП
| ЛГШ-404 | 23580 |
| Вибропреобразователь (стены, потокол, пол) 22шт | 48400 |
| Вибропреобразователь (трубы) 6шт | 13200 |
| Вибропреобразователь (оконные стекла) 6шт | 13200 |
| ЛГШ-301 (2 шт) | 13140 |
| Монтаж | 10000 |
7. Средства защиты АС
| ЛГШ-503 | 18900 |
| Сертифицированный дистрибутив Windows 7 Professional | 1620 |
| Антивирус Dr.Web лицензия + сертифицированный дистрибутив | 1890 |
| 8. Аттестационные испытания ЗП | 60000 |
| 9. Аттестационные испытания АС | 75000 |
10. Доставка
| Аппаратура из Гаммы | 15000 |
| Аппаратура и ПО из ППШ | 3000 |
| ПО из Алтекс софт | 800 |
11. Подготовка документов
| Печать открытых нормативных актов, внутренних документов и ксерокопирование | 2000 |
| Нотариальное заверение | 2000 |
| Почтовые расходы | 300 |
| 12. Документы ДСП | 5000 |
Итого максимум 2677600 рублей, что порядком меньше 3,5 указанных. На ряд расходов сумма условная, но считаю, что адекватная и местами завышенная.
При этом полученная сумма при расчете может быть значительно уменьшена в случае, если:
- при оборудовании АРМ не приобретать ПК, а использовать ноутбук от комплекта ПАК «Гриф-мини»;
- часть аппаратуры привезут сотрудники, которые будут проходить обучение в Москве;
- формально или реально сдать аппаратуру контроля ТКУИ сторонней организации;
- договориться с арендодателем о компенсации за установку окон, решеток и новой двери;
- исключить использование съемных носителей информации в АС и не приобретать антивирус;
- арендуемое помещение будет меньше по площади или в лучшем состоянии в плане обеспечения физической безопасности.
P.S.:
Расчет проводился на основании требований действующего законодательства.
Указанные в посте организации приведены не с целью рекламы, а с целью конкретизации расчетов.
Есть 2 нюанса, из тех, что мне известны. Первый - курсы повышения квалификации, указанные в расчете, не соответствуют требуемым. ФСТЭК затребовали гораздо больший перечень. Второй - один из документов, генерируемых в ходе испытаний, является СЕКРЕТНЫМ, и потому требует наличия у будущего лицензиата ФСТЭК действующей лицензии ФСБ, что, собственно, тоже стоит денег. Ну и наконец, вот здесь есть видео - там в середине как раз лицензиат, затративший эту сумму, рассказывает о том, на что он ее потратил.http://anvolkov.blogspot.com/2011/03/blog-post_30.html
По первому нюансу:
Нужны не курсы, а диплом о краткосрочном повышении квалификации, именно его копию претендент на лицензию и будет прикладывать к комплекту документов. Уверен по направлению "Комплексная защита конфиденциальной информации в организации" в объеме 80 часов будет более чем достаточно.
По второму:
Укажите, пожалуйста, наименование этого секретного документа и испытания, в ходе которых он генерируется. Если подразумеваете аттестационные испытания ОИ по конфе, то это невозможно. Тогда все, кто имею аттестованный ОИ по конфе должны иметь лицензию ФСБ на гос тайну?
По видео отпишу позже, т.к. сейчас нет возможности его просмотреть.
Прочитал комментарии к http://anvolkov.blogspot.com/2011/03/blog-post_30.html
В общем стало понятно откуда секретный документ и такая учеба.
1. Они аттестовали ВП, а не ЗП.
2. Обучили толпу в количестве 8 человек.
Пусть не 3.5, а 2.5 млн. Кто может себе это позволить, при условии, что лицензия нужна ВСЕМ?
Аутсорс ИМХО не дешевле, только затраты будут разнесены во времени.
Сергей, расходы на аппаратуру можно значительно уменьшить, если найти возможность взять ее в аренду на бумаге. Я понимаю, что это очень проблематично, но при должном уровне удачи и коммуникабельности это сделать реально: по реестру лицензиатов ТЗКИ, ТЗИ и ПД ИТР ищем организации и пробуем договориться. Я бы пробовал сначала договориться в гос секторе, т.к. аппаратуру они могли получить безвозмездно.
Целью расчета я ставил выявление реальной суммы в тяжелых условиях.
А требования на счет необходимости лицензии и появление строго контроля выполнения таких требований могут привести к появлению "формального" аутсорса, когда организация будет все делать своими силами, а привлекать неквалифицированного\нераскрученного лицензиата с целью подписать его лицензии к выполненной работе.
За расчет спасибо, но... Я иду к шефу и говорю, что по закону нам нужна лицензия, есессно возникает вопрос, а что нам будет без нее. Открываю КоАП: 13.3 штраф до 20 тыров, и то 4.5 Постановление по делу об административном правонарушении не может быть вынесено по истечении двух месяцев (по делу об административном правонарушении, рассматриваемому судьей, - по истечении трех месяцев) со дня совершения административного правонарушения. И что скажет шеф?
Естественно организации для собственных нужд получение лицензии нерентабельно, об этом весь интернет гудит. Меньше 200 т.р. все равно лицензия не выйдет. Самый минимум около 100 т.р. если уже есть лицензия на ТЗИ и/или ПД ИТР.
Если вы как специалист хотите получить лицензию на ТЗКИ для собственных нужд и при этом готовы приобретать аппаратуру, то тут к шефу надо идти с бизнес-планом. Для меня загадка, как организация выделила 3,5 миллиона на лицензию по ТЗКИ для собственных нужд?
Ну, знаете, кому супчик жидковат, кому жемчуг мелковат. Как в том старом анекдоте про новых русских: я галстук в бутике за 300 баксов купил - ну ты и лоханулся, я за углом точно такой-же за 500 купил. Чисто пальцы загнуть (имидж/репутация) - у меня лицензия есть, 300 000 баксов отдал. Ну максимум процентов 10 могут себе это позволить, плюс госы - за наши деньги.
В том-то и дело, что не для собственных нужд, а для ведения этой деятельности. А для собственных нужд все это НАФИГ не нужно.
Вот мне что ответили коллеги:
1. Специалисты, обсуждающие затраты вычеркнули такую немалую статью, как подтверждение лицензионности ПО, используемого фирмой (т.е. если иначе говорить, то все используемое ПО на фирме должно быть лицензионным - есть там в заявке такое приложение). Если у фирмы с этим все хорошо, то больше затрат нет, но у всех ли это так?
2. Для реальной работы еще неплохо и стенд для испытаний и моделирования иметь, ноутбуки (1-2), настроенные несколько специфично для обследования сетей клиентов на выезде и т.д.(список можно привести немаленький).
3. По поводу организаций "жаждущих" сдать аппаратуру в аренду - всем гос. организациям это запретили делать, а именно у них большая часть аппаратуры и находится.
Резюме:
1. если просто получить бумажку с лицензией ТЗКИ, то и ниже 2,5 миллионов можно упасть, только вот реальной работы по данному направлению в этом случае не получится.
2. Порядок цифр в любом случае получается сравнимым
3. Получение лицензии ТЗКИ для собственных нужд будет сильно затратное по сравнению с налагаемыми штрафами.
4. Хотя может к пункту 3 и стремятся лоббирующие данный закон?
1. По поводу подтверждения лицензионности ПО - только на АРМы, относящиеся к лицензируемому виду деятельности или являющиеся объектами защиты. Вот тут ФСТЭК может придраться, а по остальному ПО их не должно волновать.
2. Если делать бумажки и проводить неглобальные работы, то можно обойтись и без стенда. По ноутбукам - расходы по сравнению с аппаратурой на них копеечные, часто ноутбуки входят в комплект измерительной аппаратуры(например "Гриф").
3. Под гос сектором я имел в виду в том числе ОАО, акции которых принадлежат государству. У них запретов нет, а желание "поднять" денег присутствует. Тем более ИБшников в таких организациях можно заинтересовать возможностью пустить средства от "бумажной" аренды на нужны по ЗИ предприятия.
По резюме:
Можно, не имея фактической аппаратуры, свободно заниматься работами и обслуживанием по защите ПДн в ИСПДн без ТКУИ. Аттестаты выдавать не получится, но по ПДн они нам и не нужны.
По остальному в общем согласен. И конечно, если строить фирму с "нуля", то 2,5 миллионов не хватит. Также расходы будут пропорциональны серьезности предполагаемых работ.
1. "Итого максимум 2677600 рублей, что порядком меньше 3,5 указанных."
Да что же такое, "порядком меньше" - это если бы было сравнение между 2,7*10^5 руб. и 3,5*10^6 руб, здесь же разница не на порядок, и даже не в разы, а лишь примерно в 1,3 раза.
2. Совершенно упущены из виду затраты на специалистов, а ведь они должны быть, и по крайней мере один из них должен иметь нормальный стаж. А такой ТЕХНИЧЕСКИ простой темой как защита ПДн (установка и обслуживание СЗИ) могли бы заниматься и специалисты с маленьким стажем, или даже вообще ИТшники с курсами по ИБ.
А если после обучения вы сэкономите на специалистах - то они могут уволиться, и вам придётся снова тратить немаленькие деньги на обучение новых.
3. Учитывайте что самый дорогой п.1 - по факту в большинстве случаев не нужен вообще для защиты информации как таковой. Возьмите среднемирового защитника информации - сколько ресурсов он тратит на защиту от ПЭМИН и ВАКУИ? Для него п.1 - деньги на ветер.
4. Расчёт в целом хороший, детали дополнить и можно использовать как документированный довод против лицензирования по ТЗКИ для собственных нужд.
1. По слову "порядок" в данном посте - мое субъективное мнение. Я считаю, что 30% от расходов - значительный "порядок". Во всяком случае, в некоторых ситуациях 30% от расходов может сделать из убыточного проекта прибыльный.
2. Затраты на специалистов не упущены. Описанный в посте метод получения лицензии преследует одну основную цель - получение лицензии на ТЗКИ в изначально тяжелых условиях, а не открытие полноценной компании.
Послать на учебу можно директора, зама или даже секретаршу в составе 2х человек, чтобы они получили соответствующие корочки. Это страхует и от увольнения обученных сотрудников.
Также с целью минимизации издержек на текучку обученных специалистов с ними на практике заключают договор на отработку в компании N количество лет. На счет легитимности таких договоров я сомневаюсь, но где-то такое срабатывает.
3. Согласен полностью, в части конфиденциальной информации эта аппаратура себя не оправдает.
2. Нелогично. Такая "экономия" боком выйдет.
2.1. Потратив 2,7млн, в бумажках надо на директора и секретаршу всю волокиту вешать, "городить огород" из "как бы ответственных" и "как бы допущенных".
2.2. Директора (!!!) и секретарш надо освобождать от работы на длительный срок.
2.3. Секретарши вообще вряд ли техническое образование имеют и за спецов по ЗИ не сойдут, да и курсы не осилят.
2.4. Курсы на фоне современного среднеуниверситетского образования - это не только формальность, но и действительно обучение.
Алексей, этот вариант с директором и секретаршей предложен как самый крайний не для рабочей по ТЗКИ компании, а если нужна лицензия, или в организации всего два человека.
Секретарш сейчас уже можно найти с любым образованием, а наименование должности формально поменять, чтобы ублажить регулятора.
Тут надо разделять цели получения лицензии:
1. Для работы компании по направлению ТЗКИ.
2. Формальное получение лицензии с примерно минимальными расходами в допустимых значениях, но при условии заданных ограничений (невозможность арендовать аппаратуру, неудобное помещение для ЗИ и т.д.).
Собственно в посте я и ставлю акцент на п.2. По п.1 будет совершенно другой расчет и его принцип проведения.
А формальное получение "бумажки" необходимо:
1. Для "собственных нужд" по ПДн.
2. Для удовлетворения контрактных требований. - в этой части действительно сталкивался, когда организации из двух человек необходимо было получить лицензию на ТЗКИ (аппаратуру там правда не приобретали).
Освобождать от исполнения обязанностей действительно придется на 11 дней.
Реальную пользу от курсов я под сомнение никогда не ставил.
Отправить комментарий