Ранее мной опубликован расчет расходов на получении лицензии на ТЗКИ в заведомо неудобных условиях. Были некоторые споры по поводу полученной суммы и учета различных факторов. Дополнить картину я решил информацией с другого угла, а именно расчетом расходов на получение лицензии на ТЗКИ без приобретения аппаратуры для формального исполнения требований в части наличия лицензии на ТЗКИ для "собственных нужд".
Расчет базируется на моем предыдущем посте.
Изначальные моделируемые условия:
1. Аппаратуру контроля ТКУИ не приобретается.
2. Отсутствуют специалисты по ИБ в штате.
3. Лицензия необходима формально.
4. Условия и территориальное местоположение организации могут быть различны.
5. Компьютер присутствует.
6. Общую ОРД делаем своими силами и не привлекаем сторонние организации.
Расходы:
1. Аппаратура контроля ТКУИ
Самый дорогой и сложный момент в получении лицензии на ТЗКИ. Чтобы снизить издержки остается только один выход - получить аппаратуру в аренду на "бумаге", а именно оформить соответствующий акт и договор с организацией, имеющей такую аппаратуру в собственности. Сделать это очень не просто, но реально. Для этого:
1.1. Необходимо определить перечень лицензиатов по ТЗКИ, ТЗИ и/или ПД ИТР региона. Часть полезной информации можно скачать на сайте ФСТЭК.
1.2. Из полученного перечня необходимо определить организации, которым было бы выгодно сдать вам в "бумажную" аренду аппаратуру за деньги. Такими организациями могут быть не являющиеся государственными организации, которые получали лицензию на ТЗКИ, ТЗИ и/или ПД ИТР для себя, и интеграторы. Чем ниже статус интегратора и чем ниже его известность, тем больше шансов получить заветную аппаратуру, а точнее договор и акт на ее приемку.
1.3. Далее необходимо договориться на получение "бумажной" аренды. Если звонить в интегратор, то необходимо выйти либо на директора, либо на главного экономиста (или соответствующего зама директора). Практически нереально договориться с крупным интегратором - им либо это делать невыгодно, либо цена будет слишком высока.
В случае с менее известным интегратором можно давить на следующие вещи:
- Возможность получения интегратором дохода от "бумажной" сдачи аппаратуры в аренду без каких-либо затрат.
- Устная договоренность об аттестации объектов информатизации по конфе именно у этого интегратора. Конечно, они должны иметь лицензию на ТЗКИ.
Если мы пробуем получить аппаратуру у организации, которая не оказывает услуги по защите информации, то вероятно мы наткнемся на организацию с лицензиями ПД ИТР или ТЗИ. В этом случае надо выходить на руководителя службы безопасности и мотивированно изложить выгоду от сдачи аппаратуры в аренду.
Стоимость "бумажной" аренды никем и нигде не афишируется. Адекватность этой суммы я бы оценил от 30 до 300 тысяч рублей. Разброс в моем понимании очень большой, так как есть ряд факторов, влияющих на указанную сумму:
- количество лицензиатов в регионе;
- количество организаций, получивших "бумажную" аренду от конкретной организации-арендодателя;
- общий спрос на "бумажную" аренду;
- взаимоотношения с организацией-арендодателем и/или ее персоналом;
- возможность взаимовыгодного сотрудничества;
- позиция регулятора в округе в части аренды аппаратуры;
- и др.
Если ваша организация входит в объединение или корпорацию, где уже есть лицензиаты, можно попробовать получить "бумажную" аренду безвозмездно.
По данному пункту мы получаем расходы от 0 до 300000 рублей.
2. Средства контроля защищенности информации
По данному пункту можно пойти двумя путями:
2.1. В случае аренды аппаратуры у лицензиата ТЗКИ возможно в рамках этой аренды и той же суммы получить и данные программные средства.
2.2. В противном случае необходимо будет их приобретать. Тут тоже можно попытаться сэкономить, выкинув TERRIER из комплекта приобретаемого софта. Не факт, что ФСТЭК это пропустит, но у нас цель – минимизация расходов. Итого получим: 16670 рублей.
В целом по пункту выходит от 0 до 16670 рублей.
3. Обучение двух специалистов
3.1. Есть вариант взять на полставки формально в штат обученных специалистов, которые фактически ничего делать не будут. Если у вас в регионе есть профильный ВУЗ, то можно предложить молодым выпускникам получить пустой стаж для трудовой. Тем более они могут работать по основному месту, а в части трудовой деятельности официально трудиться в двух местах – на полную ставку и на полставки соответственно. За полставки нам будет необходимо учесть НДФЛ и социальные платежи. Минимальный размер оплаты труда по России 4611 рубль и по Москве 11100 рублей. Выплаты за год с зарплаты на полставки указанных сумм составят с учетом 30% социальных платежей и учетом налогового вычета в 400 рублей:
- по Москве от 56076 до 57276 рублей;
- по России от 20593 до 23793 рублей.
3.2. Если брать в расчет, что специалистов с соответствующим образованием на предприятии нет, либо формальное оформление на полставки оказывается невыгодным, то обучать специалистов придется в обычном порядке. Обучение в регионах за 2х человек выйдет от 60000 рублей до 190000 рублей в зависимости от наличия курсов в регионе, удаленности от мест проведения курсов, а также длительности командировки и выбора типа и класса транспорта. Подразумевается, что обучаться на курсах специалисты будут с целью получения корочки для удовлетворения требований ФСТЭК. В случае полного отсутствия специалистов по ИБ и в зависимости удаленности от учебных центров, можно направить на обучение директора, зама(ов) директора или других сотрудников.
Итого по специалистам выходит от 20593 до 190000 рублей.
4. Оборудование помещения
В данном экономичном варианте мы считаем, что помещение полностью соответствует физической безопасности. Расходы – 0 рублей.
5. Оборудование АРМ
Считаем, что ПК с лицензионной Windows 7 у нас уже есть. Расходы – 0 рублей.
6. Средства защиты ЗП
7. Средства защиты АС
Можно обойти необходимость использования САЗ от ПЭМИН аналогично п.6. В противном случае – покупать ЛГШ-503. От сертифицированной версии Windows никуда не уйти, а вот от антивирусной программы можно отказаться, если заявлять об отказе в использовании сменных носителей информации и подключения к открытым сетям. Так как нам нужна аттестованная АС в данном случае формально, то это не составит проблему.
Итого от 1620 до 22410 рублей.
8. Аттестационные испытания ЗП
Их реальная стоимость может быть от 30000 до 60000 рублей.
9. Аттестационные испытания АС
Также разброс может быть большим. От 30000 до 75000 рублей.
10. Доставка
В соответствии с моим прошлым постом, доставка составит от 0 до 3800 рублей.
11. Подготовка документов
Подготовительные расходы составят от 2300 до 4300 рублей. Максимальная сумма приведена в соответствии с моим предыдущим постом, минимальная подразумевает более экономичный подход.
12. Документы ДСП
Их также можно попытаться взять в аренду у организации, предоставляющей нам оборудование в "бумажную" аренду. В противном случае или в случае претензий ФСТЭК документы придется приобретать.
В целом по пункту уйдет от 0 до 5000 рублей.
Общий итог: в зависимости от различных условий и умения вести переговоры и договариваться, расходы на лицензию по ТЗКИ без приобретения аппаратуры составят от 84513 до 798700 рублей. Как видно из расчета, даже если вообще убрать пункт 1, то все равно для многих операторов это будет нереальная сумма в случае самого неблагоприятного варианта. Считаю, что скоро можно ожидать массовый формальный аутсорс, если он уже где-то не реализовывается.
Расчет базируется на моем предыдущем посте.
Изначальные моделируемые условия:
1. Аппаратуру контроля ТКУИ не приобретается.
2. Отсутствуют специалисты по ИБ в штате.
3. Лицензия необходима формально.
4. Условия и территориальное местоположение организации могут быть различны.
5. Компьютер присутствует.
6. Общую ОРД делаем своими силами и не привлекаем сторонние организации.
Расходы:
1. Аппаратура контроля ТКУИ
Самый дорогой и сложный момент в получении лицензии на ТЗКИ. Чтобы снизить издержки остается только один выход - получить аппаратуру в аренду на "бумаге", а именно оформить соответствующий акт и договор с организацией, имеющей такую аппаратуру в собственности. Сделать это очень не просто, но реально. Для этого:
1.1. Необходимо определить перечень лицензиатов по ТЗКИ, ТЗИ и/или ПД ИТР региона. Часть полезной информации можно скачать на сайте ФСТЭК.
1.2. Из полученного перечня необходимо определить организации, которым было бы выгодно сдать вам в "бумажную" аренду аппаратуру за деньги. Такими организациями могут быть не являющиеся государственными организации, которые получали лицензию на ТЗКИ, ТЗИ и/или ПД ИТР для себя, и интеграторы. Чем ниже статус интегратора и чем ниже его известность, тем больше шансов получить заветную аппаратуру, а точнее договор и акт на ее приемку.
1.3. Далее необходимо договориться на получение "бумажной" аренды. Если звонить в интегратор, то необходимо выйти либо на директора, либо на главного экономиста (или соответствующего зама директора). Практически нереально договориться с крупным интегратором - им либо это делать невыгодно, либо цена будет слишком высока.
В случае с менее известным интегратором можно давить на следующие вещи:
- Возможность получения интегратором дохода от "бумажной" сдачи аппаратуры в аренду без каких-либо затрат.
- Устная договоренность об аттестации объектов информатизации по конфе именно у этого интегратора. Конечно, они должны иметь лицензию на ТЗКИ.
Если мы пробуем получить аппаратуру у организации, которая не оказывает услуги по защите информации, то вероятно мы наткнемся на организацию с лицензиями ПД ИТР или ТЗИ. В этом случае надо выходить на руководителя службы безопасности и мотивированно изложить выгоду от сдачи аппаратуры в аренду.
Стоимость "бумажной" аренды никем и нигде не афишируется. Адекватность этой суммы я бы оценил от 30 до 300 тысяч рублей. Разброс в моем понимании очень большой, так как есть ряд факторов, влияющих на указанную сумму:
- количество лицензиатов в регионе;
- количество организаций, получивших "бумажную" аренду от конкретной организации-арендодателя;
- общий спрос на "бумажную" аренду;
- взаимоотношения с организацией-арендодателем и/или ее персоналом;
- возможность взаимовыгодного сотрудничества;
- позиция регулятора в округе в части аренды аппаратуры;
- и др.
Если ваша организация входит в объединение или корпорацию, где уже есть лицензиаты, можно попробовать получить "бумажную" аренду безвозмездно.
По данному пункту мы получаем расходы от 0 до 300000 рублей.
2. Средства контроля защищенности информации
По данному пункту можно пойти двумя путями:
2.1. В случае аренды аппаратуры у лицензиата ТЗКИ возможно в рамках этой аренды и той же суммы получить и данные программные средства.
2.2. В противном случае необходимо будет их приобретать. Тут тоже можно попытаться сэкономить, выкинув TERRIER из комплекта приобретаемого софта. Не факт, что ФСТЭК это пропустит, но у нас цель – минимизация расходов. Итого получим: 16670 рублей.
В целом по пункту выходит от 0 до 16670 рублей.
3. Обучение двух специалистов
3.1. Есть вариант взять на полставки формально в штат обученных специалистов, которые фактически ничего делать не будут. Если у вас в регионе есть профильный ВУЗ, то можно предложить молодым выпускникам получить пустой стаж для трудовой. Тем более они могут работать по основному месту, а в части трудовой деятельности официально трудиться в двух местах – на полную ставку и на полставки соответственно. За полставки нам будет необходимо учесть НДФЛ и социальные платежи. Минимальный размер оплаты труда по России 4611 рубль и по Москве 11100 рублей. Выплаты за год с зарплаты на полставки указанных сумм составят с учетом 30% социальных платежей и учетом налогового вычета в 400 рублей:
- по Москве от 56076 до 57276 рублей;
- по России от 20593 до 23793 рублей.
3.2. Если брать в расчет, что специалистов с соответствующим образованием на предприятии нет, либо формальное оформление на полставки оказывается невыгодным, то обучать специалистов придется в обычном порядке. Обучение в регионах за 2х человек выйдет от 60000 рублей до 190000 рублей в зависимости от наличия курсов в регионе, удаленности от мест проведения курсов, а также длительности командировки и выбора типа и класса транспорта. Подразумевается, что обучаться на курсах специалисты будут с целью получения корочки для удовлетворения требований ФСТЭК. В случае полного отсутствия специалистов по ИБ и в зависимости удаленности от учебных центров, можно направить на обучение директора, зама(ов) директора или других сотрудников.
Итого по специалистам выходит от 20593 до 190000 рублей.
4. Оборудование помещения
В данном экономичном варианте мы считаем, что помещение полностью соответствует физической безопасности. Расходы – 0 рублей.
5. Оборудование АРМ
Считаем, что ПК с лицензионной Windows 7 у нас уже есть. Расходы – 0 рублей.
6. Средства защиты ЗП
Выполнение ряда условий при выборе кабинета для ЗП даст возможность отказаться от САЗ или снизить расходы на их приобретение и установку:
- дверной проем в ЗП оборудован тамбуром и/или дверью(ми), обеспечивающими затухание речевого сигнала;
- окна в ЗП либо отсутствуют, либо не выходят на границу КЗ и своим положением исключают возможность снятия информации по вибрационному каналу с территории, расположенной вне КЗ;
- материал и технология изготовления и установки окон обеспечивает затухание речевого сигнала;
- размер КЗ достаточен, чтобы исключить возможность снятия информации по вибрационному каналу со стен, либо плотность, толщина и материал стен исключает утечку по вибрационному каналу;
- плотность, толщина и материал стен обеспечивают затухание речевого сигнала;
- вентиляция в помещении либо отсутствует, либо обеспечивается затухание речевого сигнала;
- система отопления помещения находится в пределах контролируемой зоны или исключается утечка по вибрационному каналу на границе КЗ.
Идеальным вариантом будет расположение ЗП на большой охраняемой территории вашего предприятия. Это дает возможность выполнения вышеуказанных условий.
В противном случае придется оборудовать ЗП по полной программе или частично вкладываться в САЗ. По пункту выйдет от 0 до 121520 рублей.
7. Средства защиты АС
Можно обойти необходимость использования САЗ от ПЭМИН аналогично п.6. В противном случае – покупать ЛГШ-503. От сертифицированной версии Windows никуда не уйти, а вот от антивирусной программы можно отказаться, если заявлять об отказе в использовании сменных носителей информации и подключения к открытым сетям. Так как нам нужна аттестованная АС в данном случае формально, то это не составит проблему.
Итого от 1620 до 22410 рублей.
8. Аттестационные испытания ЗП
Их реальная стоимость может быть от 30000 до 60000 рублей.
9. Аттестационные испытания АС
Также разброс может быть большим. От 30000 до 75000 рублей.
10. Доставка
В соответствии с моим прошлым постом, доставка составит от 0 до 3800 рублей.
11. Подготовка документов
Подготовительные расходы составят от 2300 до 4300 рублей. Максимальная сумма приведена в соответствии с моим предыдущим постом, минимальная подразумевает более экономичный подход.
12. Документы ДСП
Их также можно попытаться взять в аренду у организации, предоставляющей нам оборудование в "бумажную" аренду. В противном случае или в случае претензий ФСТЭК документы придется приобретать.
В целом по пункту уйдет от 0 до 5000 рублей.
Общий итог: в зависимости от различных условий и умения вести переговоры и договариваться, расходы на лицензию по ТЗКИ без приобретения аппаратуры составят от 84513 до 798700 рублей. Как видно из расчета, даже если вообще убрать пункт 1, то все равно для многих операторов это будет нереальная сумма в случае самого неблагоприятного варианта. Считаю, что скоро можно ожидать массовый формальный аутсорс, если он уже где-то не реализовывается.
По п.6 не хватает обоснования.
Да, действительно. По п.6 дополнил информацию.
Отправить комментарий