Багато хто не знає, що є кілька способів виконати вимоги закону №152-ФЗ «Про персональних даних». Всі вони розрізняються часом кардинальним чином: вартістю, складністю і часом реалізації.
Один з фахівців нашої команди Б-152 вирішив розповісти вам про перший спосіб: зверненні до системного інтегратора і роботі з ним.
Основні способи виконання закону
Основних способів виконання закону чотири:
- Використання послуг системних інтеграторів
- Наймання власного фахівця з інформаційної безпеки
- Делегування на співробітників
- Використання спеціалізованими програмами і сервісами
Кожен із способів по своєму гарний - якийсь дешевше, якийсь простіше, а інші швидше в плані реалізації.
Спершу визначте, навіщо ви виконуєте вимоги закону «Про персональні дані»: бути чистими перед законом, не попасти на штрафи при перевірці, для підняття середнього чека, для підняття лояльності, турбота про клієнтів, вимоги контрагента або головної компанії.
Визначте те, що для вас важливо при виборі одного із способів: наявність портфоліо, невисока вартість, комплексна послуга, простота роботи і взаємодії, швидкість реалізації проекту по захисту ПДН, постійні консультації, підтримка при зміні законів, власне участь в проекті, страхування ризиків, наявність ліцензії на роботи по захисту інформації, допомога в проходженні перевірки регуляторів.
Намацайте свою верхню цінову планку, вище якої ви не підніметеся - це один з ключових чинників.
Які вимоги потрібно виконувати?
Це узагальнені вимоги, але саме по ним можна визначити, чим саме допоможе вам той чи інший спосіб. Узагальнені вимоги є у багатьох інтеграторів етапами реалізації проекту по захисту персональних даних.
Хто такий системний інтегратор?
Системний інтегратор це, по суті, компанія-підрядник. Його послуги в плані захисту персональних даних є комплексними. Рідше можна зустріти системних інтеграторів, в портфелі яких левова частка це некомплектні проекти.
Велика частина системних інтеграторів сконцентровані в центральному федеральному окрузі. У регіонах присутні великі системні інтегратори, але їх на порядок менше, ніж в Москві.
Інтегратори діляться на малих, середніх і великих.
Великі системні інтегратори беруться тільки за великі проекти: великого бізнесу, державних підприємств. Вартість їх послуг починається з декількох мільйонів рублів. Невеликі проекти вони можуть розглядати, але їх виконанням займатимуться субпідрядники. Як правило, більшість системних інтеграторів просто відмовляються від таких проектів. Мають свою високоякісну документацію.
Середні системні інтегратори беруться за проекти вартістю 500 тисяч рублів і вище. Таких системних інтеграторів більшість, проекти щодо захисту персональних даних вони стали виконувати в якості супутнього їх основного бізнесу (розробка програмного забезпечення, аутсорсинг, впровадження) напрямки. Беруться за все проекти, рідше віддають на субпідряд. Мають свою високоякісну документацію.
Мінімальні системні інтегратори беруть проекти вартістю від 100 тисяч рублів. Здебільшого, організованими двома-трьома вихідцями з великих і середніх системних інтеграторів. Користуються ліцензією середніх системних інтеграторів для виконання проектів, за рахунок чого 1/3 або ¼ від вартості проекту йде на оплату ліцензії. Їх можна продавити на проекти вартістю нижче 100 тисяч рублів. Використовують документацію, взяту з інтернету або у системного інтегратори.
Переваги системного інтегратора
Якщо ви хочете спокою, то переваги їх незаперечні.
Системні інтегратори, крім малих, можуть:
- надати комплексну послугу високої якості
- взяти на себе ризики
- допомогти пройти перевірки регуляторів
- взяти всю реалізацію проекту на себе
У договорах на надання послуг з системним інтегратором, враховані абсолютно всі нюанси, які тільки можуть бути враховані. Вони мають внутрішні регламенти, в зв'язку з чим взаємодія з ними завжди знаходиться на вищому рівні.
Недоліки системного інтегратора
У системного інтегратора є ряд недоліків:
- висока вартість реалізації проектів - для малих інтеграторів від 300 т.р. для великих від 1 млн. рублів
- авансова система розрахунків - інтегратори працюють по 100% передоплаті за весь проект або за реалізуються етапи в рамках даного проекту
- довгий час реалізації проекту - стандартний термін реалізації проекту по захисту персональних даних складає 9 місяців, терміни часто переносяться, за рахунок чого вартість проекту зростає
відсутні в багатьох регіонах - не в кожному регіоні можна знайти системного інтегратора, але вони з полюванням виїжджають до вас з інших регіонів, додаючи суму проїзду, проживання та відрядних до вартості проекту
можуть відмовитися від проекту - як згадано вище, якщо ціна проекту низька
З іншого боку, великі компанії можуть закрити очі на всі недоліки. Але для малого і середнього бізнесу вони істотні і критичні.
Вибираємо кращого для себе інтегратора
1. Складаємо список системних інтеграторів
Тут допоможе Google і Яндекс. Для полегшення, нижче наведені деякі системні інтегратори із зазначенням їхніх сайтів:
Так само буде корисно використовувати для пошуку рейтинг системних інтеграторів.
2. Визначаємо досвід системного інтегратора
Для цього дивимося їх портфоліо, сторінки прес-релізів. Так само важливо визначати їх клієнтів за розміром, щоб знайти схожих на ваш бізнес. Зі схожими проектами можна списатися і дізнатися у них, як інтегратор виконував їх проект.
3. Починаємо спілкування з обраними системними інтеграторами
4. Тісне спілкування з системним інтегратором
З вами зв'язуються менеджери з продажу системних інтеграторів, задають деякі питання і висилають анкету передпроектного обстеження.
У всіх системних інтеграторів різні анкети передпроектного обстеження, можна заздалегідь заповнити одну і розсилати всім. Анкетe передпроектного обстеження качати тут.
Після відправлення анкети в системні інтегратори, їх менеджери з продажу, якщо ви перебуваєте з ними в одному місті, запропонують приїхати до вас для pre-sale, щоб докладніше дізнатися ваші потреби. Інтегратори з інших регіонів рідко виїжджають на pre-sale.
Після цього вам відправляють комерційні пропозиції, з яких ми вибираємо найбільш підходяще для вас.
Варто знати, що інтегратори діляться на тих, хто заробляє з установки своїх засобів захисту, і хто отримує прибуток зі свого консалтінга.Первие підходять тим, у кого більша ІТ-інфраструктура. Таких системних інтеграторів можна визначити по сайту, на ньому представлені розроблені ними засоби захисту інформації. Другі підходять тим, у кого багато бізнес-процесів, в яких циркулюють персональні дані, а ІТ-інфраструктура невелика. Вони визначаються по продаваним на сайті засобам захисту інформації інших виробників.
Правильно взаємодіємо з інтегратором
При роботі з системним інтегратором є нюанси, які потрібно знати: