15.07.2011

Сколько стоит новый закон о персданных?!

На заседании Совета Федерации одной из ключевых тем в рамках обсуждения законопроекта по персданным была цена выполнения положений 19-й статьи. Одни говорили, что это очень дорого. Другие заявляли, что ни копейки из бюджета не потребуется брать. Третьи требовали сначала представить расчеты стоимости реализации закона, а потом уже принимать решение о его принятии. В итоге законопроект приняли, а Правительству поручили посчитать, во что выльется реализация положений 19-й статьи. Т..к. надежды на Правительство никакой, депутаты и сенаторы не в теме, а Минкомсвязь устранился от решения вопроса, то возьму на себя смелость подготовить такую калькуляцию. Что характерно, она не сильно изменилась по сравнению с арифметикой трехлетней давности.

Итак, берем ст.19 нового законопроекта. В п.2 у нас предусмотрено 9 мероприятий по защите. В целом они понятны и дальше я буду их оценивать, но хочу прокомментировать только один пункт - "Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию". Что это как не аттестация ИСПДн?

Список организационных и технических мер из 19-й статьи у нас детализирован в ПП-781 (да и 58-й приказ ФСТЭК и методички ФСБ его повторяют). Это всяческие проверки готовности, ввод в эксплуатацию, обучение персонала, учет носителей, учет лиц, контроль за соблюдением и т.д. Т.к. Правительство делегировало состав и содержание 9-ти пунктов ст.2 ФСТЭК и ФСБ, то мы имеем полное право предположить, что указанные в нормативных документых регуляторов меры останутся теми же. Рекомендуемые типы защитных средств тоже - СЗИ от НСД, МСЭ, сканеры безопасности, системы обнаружения атак, системы управления СЗИ, токены, антивирусы, СКЗИ. Из оргмер - охрана, защита помещений, оценка соответствия, ограничение доступа в помещения и т.д.

Теперь попробуем посчитать во что это все обойдется?
  1. Стоимость СЗИ для одно ПК - от 3463 рублей (на сертификат для ОС Windows 7; считаем что сама лицензионная ОС уже приобретена) до 8750 рублей (на "Блокхост-Сеть"). Цены на Secret Disk, DALLAS LOCK, Панцирь и Secret Net варьируются в тех же диапазонах - 5-7 тысяч рублей. Нужно также добавить от 15% до 25% на годовую техподдержку. Разумеется при больших внедрениях цена может быть снижена, но я сейчас рассчитываю сценарий для микропредприятий (до 15-ти человек) и индивидуальных предпринимателей, коих по данным Росстата у нас около 4-х миллионов (на конец 2009 года - данных актуальнее я не нашел. Они ни о каких скидках и мечтать не смогут.
  2. Стоимость СЗИ для одного файлового сервера - от 8900 рублей (на сертификат для ОС Windows Server 2008 R2 Standard Edition) до 35200 рублей (на сервер класса С для Secret Net). Цены на Аккорд, Secret Disk NG и др. вариьируются от 14 до 32 тысяч рублей.
  3. Стоимость самого дешевого сертифицированного сканера безопасности ("Ревизор Сети") - 9275 рублей на 10 IP-адресов.
  4. Антивирус (что Касперского, что Dr.Web) обходится примерно в 900-1000 рублей на один ПК. Если брать не Kaspersky Workspace Security, а Total Space Security, то цена вырастет до 4100 рублей на один компьютер.
  5. Стоимость самого дешевого сертифицированного МСЭ - около 10 тысяч рублей. Это что на UserGate Proxy & Firewall, что на MS ISA Server Standard 2006. При росте числа пользователей цена МСЭ может возрасти и до 1-10 миллионов рублей.
  6. Стоимость системы обнаружения вторжений я оцениваю примерно тысяч в 15, хотя тут могут быть и гораздо более высокие цифры.
Итого на компанию из 10-ти компьютеров и одного сервера придется потратить только на приобретение сертифицированных средств защиты (а сейчас их в малом и микробизнесе нет ни у кого) не менее 120 тысяч рублей и заложить 20 тысяч на ежегодную поддержку. Для компании из 100 ПК и трех серверов потребуется уже 1 миллион 175 тысяч рублей и около 200 тысяч на поддержку.

Если компании не повезло и у нее два и более офисов, то она будет вынуждена применять VPN-решения. Стоимость такого решения на два офиса (точка-точка) составит не менее 125 тысяч рублей (для Континента-Мини). На базе ViPNet или ФПСУ-IP цена будет составлять 130-140 тысяч рублей. При защите 10 офисов цена сертифицированного VPN-решения (про функциональность даже пока не заикаюсь) составит минимум 900-1200 тысяч рублей.

Все эти цифры одинаковы, что для ИСПДн 3-го, что для ИСПДн 1-го класса. Единственная разница - для ИСПДн 1-го класса СЗИ должны пройти сертификацию на отсутствие НДВ, а она стоит 750-1200 тысяч рублей (но есть примеры и в 7-8 миллионов рублей). Напомню, что учитывая отсутствие у абсолютного большинства операторов ПДн сертифицированных средств защиты, им придется делать все эти траты с нуля. К слову сказать, на днях был на одном КВО, который еще и гостайну в полный рост обрабатывает. Так вот у них тоже нет сертифицированных СЗИ ;-) Что уж говорить о микро-, малом и среднем бизнесе.

Вы думаете это все? Нет. Дальше у вас пойдут затраты на оргмеры.
  1. Составление модели угроз. Т.к. ни один здравомыслящий человек не будет использовать "Базовую модель угроз" от ФСТЭК, а ассоциаций и союзов, готовых разработать модель для малого бизнеса нет, то разрабатывать малым предприятиям такие модели придется самим. Сами они не в состоянии; следовательно обязаны будут обратиться к интеграторам. Ценник на такие работы - от 15 до 690 тысяч рублей (из реальных коммерческих предложений).
  2. Составлению модели угроз всегда предшествует этап обследования информационных систем, включающий сбор информации об используемых ПДн (от 45 до 330 тысяч рублей), категорирование ПДн (от 15 до 150 тысяч рублей), сбор информации об используемой системе защиты (от 60 до 180 тысяч рублей), классификация информационных систем (от 15 до 270 тысяч рублей).
  3. Обучение трех специалистов - 25-35 тысяч рублей на одного человека. Откуда 3, а не 2? По словам представителей ФСТЭК должно быть три. Два нужно для лицензии. А для составления модели угроз по методике ФСТЭК - три. Экспертов с подтвержденной квалификацией в группе должно быть нечетное количество (т.е. минимум три).
  4. Аттестация - от 10 до 80 тысяч рублей на один ПК (в зависимости от модели угроз).
  5. Построению системы защиты должны предшествовать этапы разработки ТЗ и технического проекта по ГОСТ 34 698-90, а также набора инструкций, приказов, положений и т.д. – от 300 до 1200 тысяч рублей.
  6. Стоимость лицензирования не привожу, т.к. можно обойти либо путем заключения договора с лицензиатом, либо юридической проработкой этого вопроса. Но если вдруг кто-то захочет, то готовьте минимум 2 миллиона рублей.
Итого стоимость организационных мер по приведению организации в соответствие с требованиями принятых поправок составляет 540 тысяч рублей (без аттестации), невзирая на количество компьютеров, обрабатывающих ПДн. Аттестация 10 компьютеров обойдется в дополнительных примерно 200 тысяч рублей.

Резюмируя:
  • Стоимость приведения компании с 10-тью компьютерами, одним серверов и подключением к Интернет в соответствие с требованиями принятых поправок составит не менее 900 тысяч рублей в год (без стоимости лицензирования).
  • Стоимость приведения компании с 100 компьютерами, тремя серверами и подключением к Интернет в соответствие с требованиями принятых поправок составит не менее 3 миллионов 915 тысяч рублей в год (без стоимости лицензирования).
  • Стоимость приведения компании с 100 компьютерами, тремя серверами и десятью офисами, подключенными через Интернет, в соответствие с требованиями принятых поправок составит не менее 5 миллионов рублей в год (без стоимости лицензирования).

Можно ли сократить эти цифры? Законными методами практически нет. Компании малого и микробизнеса не интересны интеграторам и поставщикам. Интересен сам сегмент этого рынка, но не отдельные его представители. Можно дать скидку Газпрому или Центральному банку. Но давать скидку на защиту для 3-4 компьютеров?..

    67 коммент.:

    Alexey комментирует...

    По VpNEt'у странный расчет вот недавно взяли БизнесМейл + Монитор + 1ВПН связь с головным = 1 тыр на одну связь дополнительную. Сам пакет на 1 машину (БМ + Монитор) = около 3-4 тыр, ну если защищать больше там немного иное решение можно использовать. + От ESET купил инод сертифицированный ФСТЭК обеспечив и FW и Антивирусную защиту...на входе стоит правда не сертифицированный как устройство DLink FW 210

    Алексей Лукацкий комментирует...

    По ViPNet взята стоимость Coordinator + железо для нее + система управления.

    Like комментирует...

    Вполне возможен переход малых предприятий на решения OpenSource, тогда затраты сократятся...

    rustam комментирует...

    Позволю себе пару-тройку комментариев:

    1. Можно вместо ViPNet'a вот этим попробовать обойтись (сертифицированный OpenVPN):

    http://www.cryptocom.ru/buy/prices.html
    дешевле будет.

    2. ViPNet Coordinator иметь общий на несколько компаний.

    Еще чуть сэкономить можно.

    3. Страшно представить сеть из 100 компьютеров со 100 SecretNet+Соболь комплектами. Из моего скромного опыта - это очень нестабильные программы и железки, которые будут мешать бизнесу. Появятся косвенные потери.
    Еще в том году SecretNet не дружил с WinServer 2008. Внедреж тоже может потянуть за собой расходы.

    Вадим комментирует...

    Алексею Лукацкому: Помните, года полтора назад на очередной выставке по ИБ в Экспоцентре прямо в начале подняли подобный вопрос? Из президиума выступило два товарища: один предложил бесплатный метод решения вопроса о защите ПДн с помощью кусачек, а второй - платный с помощью тех вещей, затраты на которые Вы сейчас примерно подсчитали. И затем вышел регулятор! И сказал примерно следующее - вот вам два способа решения проблемы! Нет денег - кусачки в руки! Третий вариант - симбиоз первых двух!
    Для регуляторов нет ничего нерешаемого...

    Алексей Лукацкий комментирует...

    Like: Да не будет малый бизнес переходить на СПО. Переход требует квалификации и постоянной поддержки. Малому бизнесу проще с виндой работать.

    Да и стоимость средств защиты не зависят от типа ПО. Вы можете сэкономить только на ОС - ALT Linux вместо Винды. Хотя обе ОС сертифицированы.

    Алексей Лукацкий комментирует...

    rustam'у: Мы же говорим про site-to-site VPN. OpenVPN-ГОСТ нелегитимен с точки зрения ФСб ;-)

    Кто будет делить Coordinator между несколькими компаниями? Стремно.

    Ну а про SN вопрос отдельный. Мы же не говорим о работоспособности решений, а только о цене обязательных требований.

    Алексей Лукацкий комментирует...

    Вадим: Так у регуляторов всегда такой подход. На одном из круглых столов ФСБ вообще заявила, что не хотите выполнять требования, переходите на активную обработку бумаг вместо компьютеров.

    tiger-66 комментирует...

    Дык это.. пора уже меры противодействия этому беспределу начинать продумывать)
    Какие выходы то?
    Бюджетный вариант..
    Доки пишем сами или берем написанные другими..
    Т.е. показываем проверяющим, что работа ведется. Если пришел проверять только РКН, то техсторона вообще не смотрится.
    Если со фстэком - пишут предписание.. выполняем, что можем, докладываем..
    Ежели они снова недовольны - впишут вам штраф.. Сумма то его все равно не сравнимая с приведенными здесь затратами, ибо наказания ведь никак не изменили!
    Про приостановление деятельности - прецедентов ведь нет и говорить об этом как об риске имхо пока смысла нет. Вот как то так )

    Алексей Лукацкий комментирует...

    Учитывая, сколько лет гнобили ФСТЭК, они могут попробовать воспользоваться приостановлением деятельности, как наказанием. Суды скорее всего их пошлют, но право у ФСТЭК такое есть.

    И проблема не с ФСТЭК, а с ФСБ. А те не очень бояться отстаивать свою правоту. Да и спорить с ними мало кто хочет

    rustam комментирует...

    Алексей,
    т.е. сточки:

    "...
    Сертификат ФСБ
    ПК "МагПро КриптоТуннель" является надстройкой над сертифицированным СКЗИ "МагПро КриптоПакет" и не требует отдельной сертификации.

    СКЗИ "МагПро КриптоПакет" сертифицирован ФСБ России по классу КС1 (Cертификат ФСБ N СФ/114-1298 от 14 мая 2009г.) и по классу КС2 (Cертификат ФСБ N СФ/124-1299 от 14 мая 2009г. ).


    ..."

    ничего не значат для VPN решения?

    Евгений Буковский комментирует...

    Алексею Лукацкому
    "6.Стоимость системы обнаружения вторжений я оцениваю примерно тысяч в 15, хотя тут могут быть и гораздо более высокие цифры."
    Прошу пояснить откуда оптимистичные 15 тр? Имхо, цены по сертифицированным решениям на порядок выше.

    "Кто будет делить Coordinator между несколькими компаниями? Стремно."
    Как только появится экономическая целесообразность это может сделать любой лицензиат.
    В регионах для ОВ это уже создается.

    Алексей Лукацкий комментирует...

    rustam: В разъяснениях ФСБ прописано, что при встраивании сертифицированных криптоядер в VPN-решения, необходимо сертифицировать все изделие целиком.

    vsv комментирует...

    Как-то на одной из конференций я приводил такие данные (с учетом покупки компьютера)на основе одного реального проекта:

    1. Цена АРМ на базе клиент-серверной схемы от Microsoft:

    Компьютер 8 000 руб.
    ОС (Windows или Linux) 5 600 руб.
    Лицензия на доступ к серверу 900 руб.
    Лицензия на терминальный доступ Не требуется

    AVP (ПО «Антивирус Касперского®») 1 200 руб.
    VPN-агент (ПО «ЗАСТАВА®-Клиент») 2 808 руб.
    СКЗИ (ПО «КриптоПРО CSP») 1 800 руб.
    Идентификатор (Смарт-карта + считыватель) 1 000 руб.
    СЗИ от НСД (ПО «Аккорд-АМДЗ» ver.5.5) 11 400 руб.
    ПО «Data Protection Manager 2007» 900 руб.
    ПО «Operation Manager 2007» 950 руб.
    ИТОГО за 1 АРМ 34 558 руб.

    2.Цена АРМ на базе терминала на базе Microsoft:

    Компьютер 8 000 руб.
    ОС (Windows или Linux) 2 500 руб.
    Лицензия на доступ к серверу 900 руб.
    Лицензия на терминальный доступ 2 700 руб.
    AVP (ПО «Антивирус Касперского®») 1 200 руб.
    VPN-агент (ПО «ЗАСТАВА®-Клиент») 2 808 руб.
    СКЗИ (ПО «КриптоПРО CSP») 1 800 руб.
    Идентификатор (Смарт-карта + считыватель) 1 000
    СЗИ от НСД (ПО «Аккорд-АМДЗ» ver.5.5) Не требуется
    ПО «Data Protection Manager 2007» Не требуется
    ПО «Operation Manager 2007» 950 руб.
    ИТОГО за 1 АРМ 21 858 руб.

    3.Цена АРМ на базе тонкого клиента
    (терминал на базе СПО Linux):

    Компьютер 8 000 руб.
    ОС (Windows или Linux) 300 руб.
    Лицензия на доступ к серверу Не требуется
    Лицензия на терминальный доступ Не требуется
    AVP (ПО «Антивирус Касперского®») Не требуется
    VPN-агент (ПО «ЗАСТАВА®-Клиент») 2 808 руб.
    СКЗИ (ПО «КриптоПРО CSP») 1 800 руб.
    Идентификатор (Смарт-карта + считыватель) 1 000 руб.
    СЗИ от НСД (ПО «Аккорд-АМДЗ» ver.5.5) Не требуется
    ПО «Data Protection Manager 2007» Не требуется
    ПО «Operation Manager 2007» Не требуется
    ИТОГО за 1 АРМ 13 908 руб.

    Сергей Б комментирует...

    С терминальными решениями на базе Linux это только с виду всё красиво.

    А на самом деле, взять типовую организацию у которой уже все технологические процессы выстроены на базе клиент-серверных систем Windows, то миграция её на терминальное решение на базе Linux будет стоить гораздо дороже 900 000 руб.

    Panima комментирует...

    Серверы безопасности у Secret Net используются для сбора данных с агентов в домене.

    Николай Сеничев комментирует...

    В регионах то, что касается услуг, гораздо дешевле.
    Для усредненной малой организации с 10 компьютерами и ИСПДн класса К3
    можно уложиться в 250000 (ОРД + средства защиты+установка и настройка) без аттестации.

    Сергей Б комментирует...

    А ещё надо сертифицированное серверное терминальное решение - которое будет разграничивать права и т.п.

    А среди Unix систем - я знаю только сертифицированный SunRay и стоит он очень недешево.

    Алексей Волков комментирует...

    > В регионах то, что касается услуг, гораздо дешевле.

    В регионах, что касается оборотов и зарплат, гораздо ниже. Так что для усредненной компании в 10 компьютеров 250 тыщ нужно еще постараться заработать - затраты-то идут из чистой прибыли.

    Evgeny Radko комментирует...

    Некоторые озвученные выше в комметариях СЗИ не сертифицированы, а для некоторых при такой схеме использования не будет соблюдаться ТУ по эксплуатации.
    Терминальное решение на базе Linux не является дорогим удовольствием. Но вопрос сертификации и выполнения всех требований по защите будет стоять остро.
    Да и вообще дела с защитой Linux в соответствии со ВСЕМИ требованиями регуляторов обстоят печально...

    Ригель комментирует...

    > Теперь попробуем посчитать во что это все обойдется

    А водку производить еще тяжелей: 50 рублей с каждой поллитры стране отдай, а она тебе за них ничего ))

    Алеся комментирует...

    Ну вы даете, Алексей. Зачем всегда делать из мухи слона!!!
    И преувеличивать все что можно в десятки раз!!!
    Кто вам такие цены на орг. меры предложил. Посмотрите в интеренете. Позвоните конторам. Документы для защиты разработают максимум за 20-ку. А вы пишите модель угроз за 15-ку -бред полный!

    Алексей Волков комментирует...

    Ригелю: при том, что себестоимость производства 1Л спирта составляет 18 руб - я думаю это нормально :)

    Baevsky комментирует...

    Тысячей больше, тысячей меньше. Как игнорировались все требования, так и будут игнорироваться. Дешевле откупиться и ничего неделать под лозунгом: "Всех не проверят!"
    В госбюджеде деньги не заложены - будут продолжать создавать видимость.
    В итоге, базы как утекали, так и будут утекать.
    Проблемы как в законе, так и в существующей системе сертификации.

    Александр Шелипов комментирует...

    Пусть и не от Гаранта, но на открытое письмо ответ всё-таки появился
    http://www.ispdn.ru/publications/vihorev.pdf

    vsv комментирует...

    А. Влокову:
    "...затраты-то идут из чистой прибыли..."

    Это неверное утверждение. Затраты на защиту ПДн списываются по статье "Общехозяйственные расходы" и относятся на себестоимость продкуции...

    Евгений Ерин комментирует...

    Пара комментариев:
    1. СЗИ для одного файлового сервера, сервер класса С для Secret Net - это средство для централизованного управления сетевой версией Secret Net, в качестве сзи для файл сервера используется Secret Net "Клиент", ценник как для АРМ.
    2. С системами обнаружения вторжений действительно не все так просто либо персональное решение в пределах 3.000 либо корпоративное на пару порядков дороже.
    3. для К3/К2 и К1 разница в стоимости решений присутствует и существенная - так сертифицированные ОС MS для К1 не подойдут(цена отличается минимум в 2 раза от СЗИ в меньшую сторону).
    4. Ну в пунктике где итоги подводятся, указываются затраты в год, наверное они все-таки единовременные.

    Но в целом довольно информативно.

    Юрий комментирует...

    Странные рассуждения. Зачем защищать 10 ПЭВМ. Выделите 1-3, поставьте антивирусник, СЗИ от НСД или сертиф. Windows. Примеры необходимых бумаг накачайте из Интернета и доработайте. Потом задекларируйте своей бумагой, что у Вас все ОК!

    Алеся комментирует...

    Не надо делать из мухи слона!!!
    Цены увеличены в разы!
    Позвоните в фирмы. Документы по защите вам составят за 20-ку. А вы пишите что только на модель угроз 15-ку надо потратить.
    полный бред!!! извините Алексей
    Остальное даже коментировать не надо!

    Евгений Родыгин комментирует...

    Алексей
    Взял конечно "жирно" основной перегиб по сертификации НДВ 4 от 150 т.р. Но она не всем нужна!
    И второй перегиб - ты указываешь цены и решения ВЛОБ и они все таки оптимизируются для большинства!
    При таких прогнозах хорошо работают граничные варианты: минимум 1 защищенный арм на одного обработчика с навесным СрЗИ. Ну и так далее.
    С учетом того, что защитить технически все ПДн на сто процентов невозможно никаких денег не хватит было бы интересно сравнить стоимость реализации технических мер и стоимость затрат на защиту ПРАВ СУБЪЕКТОВ! Думаю получиться отношение миллион к одному ?..
    И еще мне подумалось - защита прав субъектов = выполнение мер по защите и только? Почему коллегии адвокатов не пишут открытые письма ?..

    Ak-Kedul комментирует...

    а что делать муниципалам? там помимо всего прочего нужно "проломить" руководство, которое считает что все это плата за воздух.

    BDV комментирует...

    неужели нет сертифицированных UTM? (железка где все-в-одном: и firewall и IPS и антивирус)

    BDV комментирует...

    а. нашел. Altell NEO - 400 тыщ рублей всего то. http://shop.linuxrsp.ru/shop/sertified_fstek/firewall_fstek/altell_firewall/altell_neo_300_utm/

    Ригель комментирует...

    А давайте теперь кто-нибудь скажет, что это входной билет, отталкивающий от автоматизированной обработки лишних операторов.

    Evgeny Radko комментирует...

    BDV в той железке сертифицированы только МЭ

    tiger-66 комментирует...

    >>И проблема не с ФСТЭК, а с ФСБ. А те не очень бояться отстаивать свою правоту. Да и спорить с ними мало кто хочет

    Дык для этого надо чтоб фсб участвовало в проверке или попасть под отдельную проверку Пдн от фсб.
    А сколько фсб проверок запланировано на это год? А регламент проверок фсб есть?
    НИКТО (нормальный руководитель)не будет тратить такие деньги (у нас например 10 филиалов 10 северов, 350 пк, так что 5 млн.не обойдешься)при мнимой угрозе проверки от фсб с непонятными последствиями.

    Михаил Емельянников комментирует...

    2Tiger_66. Желаю Вам оставаться таким оптимистом и далее. А я заглядываю в сводный план проверок предпринимательской деятельности (!) на сайте Генпрокуратуры. Оптимизм отшибает, как не было. С 3августа 2011 г. плановая проверка ФСБ по Камчатскому краю совместно с местным пожарным надзором МЧС. 10 дней. Тема проверки "Соблюдение в процессе осуществления деятельности обязательных требований по обеспечению безопасности персональных данных при их обработке". Прокуратура дала добро. Оптимизма не поубавилось? В том же плане проверок ПДн ФСБ - пара техникумов (сельхоз и молочный) ну т.д.

    Алексей Лукацкий комментирует...

    Цены на услуги брались из 4-х коммерческих предложений, которые я видел. По поводу цены "ВЛОБ", т.к. они таковыми и будут. На стоимости СЗИ не сэкономишь. На стоимости услуг может быть и можно сэкономить (в части разработки бумажек), но не уверен, что очень сильно. Если закон примут и регуляторы почувствуют вкус крови, то и лицензиатам нет смысла сильно снижать ценники. Бизнес есть бизнес.

    Любовь комментирует...

    Алексей, немного странные у вас конечно цены... их, как правило, у производителя запрашивают...
    Например, тот-же Блокхост-сеть стоит от 4000 за автономную РС, если сеть из нескольких ПК и сервера, то стоимость рабочей станции 4900, сервера 10800.

    У каждого же свои потребности...
    Причем стоит помнить и о том, что продавцы предоставляют скидки в зависимости от количества.

    Многие производители предлагают специальные комплексные решения для предприятий среднего и малого бизнеса.

    Так что, на мой взгляд, вы рубите с плеча, не разобравшись до конца в сути проблемы защиты перс данных для СМБ.

    Алексей Лукацкий комментирует...

    Любовь, меня часто обвиняют в том, что цифры взяты с потолка. Но я оперирую вполне конкретными цифрами, получеными от разных компаний. Т.е. цифры перепроверены по 3-м прайс-листам.

    По скидкам я уже ответил выше, что на 3-5 компьютеров (и даже на 10) скидки мало кто дает. Это же не 1000 и даже не 100 компов. При таких количествах маржа и так маленькая; какая уж тут скидка.

    Любовь комментирует...

    честно говоря не знаю где вы берете тогда эти прайс листы, раз уж вас многие обвиняют в неверности информации о ценах.

    при таких малых количествах АРМ разумнее всего использовать типовые решения по защите перс данных. именно они как раз и включают в себя необходимый набор программно-технических средств и имеют преимущество в цене.

    к тому же, насколько мне известно, многие организации, понимая что бюджет у компании-Заказчика ограничен, готовы идти на встречу предлагая или альтернативные решения или делая существенные скидки.

    К тому же важно понимать: что, кто и как обрабатывает. никто не отменял сегментирование ИС, которое позволяет значительно сократить расходы на защиту информации. и ведь для многих это действительно решение насущной проблемы.

    Алексей Лукацкий комментирует...

    Любовь, к сожалению, большинство малых и микропредприятий не в состоянии самостоятельно эффективно снизить свои затраты. Чтобы получить рекомендации о сегментации и т.д. надо заплатить интегратору. И вся возможная скидка на СЗИ будет съедена этими затратами.

    И насчет неправильных цен, я пока не увидел "много" обвинений. Если честно, только одно ;-)

    По поводу сегментирования и других сценариев оптимизации... я вообще могу привести сценарий, когда мне не понадобится тратить НИ ОДНОГО РУБЛЯ на выполнение требований закона, т.к. могу доказать, что я НЕ ОПЕРАТОР и никогда им не являлся. А раз так, то делать мне ничего не надо, т.к. все обязанности по защите лежат на операторе. Но это я ;-) А многие ли знают такой сценарий и могут по нему пойти. И готовы ли по нему пойти?

    Евгений Родыгин комментирует...

    2 Алексей
    Если компания имеет 100 компьютеров, очевидно, что они сформируют сегмент из 2-3х для обработки а не будут использовать все!
    Тем не менее копая глубже мы придем к фразе "бывает по разному" и на этом закончится.
    К тому же нужно учитывать, что многие даже специалисты не понимают что зачем и почему, а для руководства достаточно выполнить шаги приводящие к состоянию при котором проверка закончится формулировкой "ООО $$$ не выполняет все требования ФЗ однако, основные базовые мероприятия выполняются. С учетом принятых мер и проведении текущих работ по доработке, можно ограничиться замечанием...
    А когда возможно решать "на усмотрение" так оно и будет...
    Просматривается какаято аналогия с пожаркой, только риска для совести меньше потому что "лошадь не захромает"...

    Любовь комментирует...

    ну на счет много взято с ваших же слов.


    "Чтобы получить рекомендации о сегментации и т.д. надо..." просто заинтересоваться данной темой и даже не специалист разберется...


    многие такие сценарии знают, но далеко не все на них могут пойти... в силу разных обстоятельств: классов ИСПДН, совести и отвественности.

    Алексей Лукацкий комментирует...

    Любовь, тут мне в пору вас обвинять в том, что вы не разобрались в специфике защиты в малом бизнесе. Я сегодня около часа объяснял техническому директору одного оператора связи, что такое классификация ИСПДн и как ее правильно организовать. ТЕХНИЧЕСКОМУ ДИРЕКТОРУ - человеку, который должен понимать технику. Общение же с журналистами в последние пару недель показали, что очень мало кто понимает всю проблематику и сложность решения простой на первый взгляд задачи. А вы хотите, чтобы владелец пекарни, парикмахерской или даже Интернет-магазина стал вникать САМ в эту проблему?

    Алексей Лукацкий комментирует...

    Женя, вот именно ;-) Все делается не по уму, и не по закону, а так, чтобы устроило проверяющих и проверяемых - хорошие меню, баня, девки ;-( О чем тогда вообще говорить...

    tiger-66 комментирует...

    >>ТЕХНИЧЕСКОМУ ДИРЕКТОРУ - человеку, который должен понимать технику.

    Бугага) Бывает такой человек очень далек от техники.
    Это я могу сказать , например про своего технического директора.. одного из операторов связи)
    ..
    Евгений очень даже прав в своем последнем посте, именно к этому будет стремиться руководство в существующих условиях

    doom комментирует...

    2 Алексей

    Мда... Все же с Блокхостом промашка вышла - все цены так-то на сайте производителя есть...

    А в общую оценку можно еще смело добавить затраты на физическую безопасность - ФСБшники могут затребовать и отдельную сигнализацию в помещении с СКЗИ, и решетки на окна и еще всякие замечательные вещи в духе 152-го приказа.

    Ну и вся эта прорва журналов учета может потребовать взять дополнительную девочку (либо сильно загрузить секретаря) - тоже затраты.

    А выхлоп - как у операторов связи (например, мне тут знакомый сказал, что пресловутый СОРМ у них больше даже не ФСБшникам нужен, а все тому же РКНу - который придет и стребует, чтобы все документы были в порядке, а там их тоже хватает, но эти СОРМы, скрепя зубами, операторам таки пришлось закупить внедрить и сейчас тратить деньги на их сопровождение :( ).

    Алексей Т. комментирует...

    2 Автор:
    Алексей, я все больше убеждаюсь, что Вы не просто на стороне "плохих" Интеграторов, но даже возглавляете их. Сначала был пост про "страшные правки ФЗ-152", благодаря которым все испугались и бросились к интеграторам, теперь эти странные расчеты.
    1. сертифицированная ОС стоит 1350 для Windows XP. Про сертифицированные серверы промолчим, их целесообразность необходимо выяснять.
    2. МЭ, антивирусы, крипто, обнаружения вторжений - с каких это пор Вы противник использования средств защиты? неужели эти средства не нужны в сети из 3-4 компьютеров и тем более из 100??? А проблема в том, что у большинства Операторов их нет, потому что бюджеты им не дают.
    3. Аттестация - пропустим, я думаю каждый может почитать Ваши посты про декларирование, самооценку и т.д. и каждый сможет для себя решить, что ему нужно. Причем я как раз сторонник "разумной" аттестации.
    4. Ну и модели, акты, ОРД и т.д. - неужели нет необходимости повысить уровень грамотности наших технических специалистов, которым Вы несколько часов про классификацию рассказывали? Да, не самая лучшая методика моделирования угроз, не самая актуальная классификация, не самые лучшие требования, но это лучше, чем было НИЧЕГО до этого...
    А вообще, Алексей, продолжайте в том же духе, Вы несете полезное просвещение и запугивание в ряды Операторов. Чувствую, работать и работать после Ваших постов....

    Алексей Лукацкий комментирует...

    doom: Не буду про Блокхост спорить - я брал цены из прайс-листа одного из региональных небольших интеграторов.

    Алексей Лукацкий комментирует...

    Алексею Т.: Ну зачем подменять понятия ;-)

    Я не против средств защиты - я за. Я против необоснованного требования их сертификации. Даже не так. Я за сертификацию. Но не такую, как в России, когда сертифицируется конкретный экземпляр.

    По поводу сертификации Windows цены взяты из ОФИЦИАЛЬНОГО прайслиста доверенного поставщика сертифицированных ОС компании Microsoft - компании "СИС". MS работает только с ним - поэтому их ценам я верю ;-)

    А почему мы пропускаем аттестацию? Это раньше с ней было все решено. А теперь все не так радужно. Ибо формулировки 19-й статьи у меня не оставляют сомнений в том, что будет подразумеваться под оценкой до ввода в эксплуатацию.

    Уровень грамотности специалистов повышать надо. Только вот в микробизнесе и, зачастую, в малом бизнесе этих специалистов нет.

    Я раскрою тайну - большинство отечественныъ ИТ-директоров даже крупных предприятий ни фига не понимает в российской ИБ. Именно российской. Они знают, как выстроить процессы, какие средства надо применять и для чего. Но они не знают, каким требованиям они должны соответствовать - ФСТЭК или ФСБ. Они не знают ничего о схеме сертификации СЗИ. Они не знают ничего о лицензировании и аттестации. И я их понимаю - это все бред; в том виде, как это реализуется регуляторами для коммерческого рынка.

    Алексей Т. комментирует...

    Еще раз посмотрите в прайсы СИС. Повторяю - пакет сертификации ХР стоит от 1350, 7-ки - в районе 1,5 тысячи ;-)

    По поводу "подразумевается" и так далее - зачем домысливать за ФСТЭК и ФСБ. Хоть одна проверка была? Хотя бы одного Оператора наказали? Хотя бы однажды сказали - выкиньте свои несертифицированные СЗИ и поставьте Панцирь? Так что давайте без пессимизма и нагнетания страстей.

    Алексей Лукацкий комментирует...

    Алексей, ваши полторы тысячи учитывают саму лицензионную ОС? Или мы считаем, что у потребителя она уже есть именно лицензионная?

    Что касается проверок, то ваш вопрос некорректен, т.к. закон еще не принят и проверок по нему не было. И потом это опять лукавство. Нет, не значит не может быть. Почему я должен рассчитывать на то, что регулятор от меня не потребует аттестации, ссылаясь на свои внутренние документы. Проходили это уже неоднократно. Закон не должен допускать двойственных толкований, иначе это прямой путь к коррупции ;-(

    Алексей Т. комментирует...

    2 Алексей.
    Читаем пост "считаем что лицензионная ОС уже приобретена". Кто лукавит, Алексей? Пост вчера написан, а Вы уже забыли. ;-) Если уж говорить про Операторов, у которых даже ОС нелицензионная, то Вы пиратов защищаете? Они так скоро нелицензионные Cisco использовать начнут.
    А по поводу проверок - ну не надо наговаривать на регуляторов, грамотный юрист разобъет их в пух и прах. Но всегда должен быть оптимальный вариант - Оператор реализует защиту насколько может и понимает соответствуя требованиям, а регулятор в случае претензий их высказывает. Коррупция в ИБ в нашей стране не самая страшная коррупция. А основная мысль, которую я пытаюсь донести - пользы в виде стимулирования ИБ в отрасли больше, чем вреда от регуляторов. Но Вы продолжайте, я же говорю, тут даже на рекламу тратитсья не надо после Ваших постов. :-)

    Алексей Лукацкий комментирует...

    Все, я понял нестыковку по ценам. Я смотрю Полный, а не базовый пакет + программа контроля сертифированной версии. Токен не считал ;-)

    Алексей Лукацкий комментирует...

    Что касается "грамотный юрист разобьет в пух и прах" - согласен на все 100. Только вот малый бизнес не в состоянии нанять его; да и нет у нас столько юристов по данной тематике.

    Ну а соглашаться с тем, что в ИБ коррупция лучше других отраслей... Мне и 7 миллионам операторов от этого не легче

    doom комментирует...

    2 Алексей Т.

    1500 р. стоит минимальный пакет, который не содержит лицензию на программу XP_Check - а это творение надо приобретать на каждую рабочую станцию. Вот и выйдет озвученный ценник.

    doom комментирует...

    Кстати, еще замечу нюанс с сертифицированной Windows - невозможно сертифицировать имеющиеся OEM версии Windows - а у всех небольших компаний легальная Windows только OEM (вряд ли кто-то берет коробки, а уж EA таким компаниям и не снился).
    Ну и психологически тяжело отдавать деньги, по сути, ни за что.

    Алексей Т. комментирует...

    Чувствую себя защитником СИС и Альтекса :-))))) 1,5 т.р. включает в себя XP Check! OEM ные версии тоже сертифицируются. ;-)
    Вам и 7 млн Операторов в виде сотрудников служб ИБ ФЗ 152 очень сильно помог проявить свою значимость, важность и выбить деньги на ИБ. Где была сейчас бы отрасль после 2008 года?

    Алексей Лукацкий комментирует...

    Чтобы проявить свою значимость не нужны параноидальные требования ;-)

    doom комментирует...

    Алексей Т.

    Откуда у вас такая интересная информация?!? o_O
    Мы в некоторых проектах вынуждены были закладывать что-то навесное только по причине OEMной винды - неужели что-то изменилось? А ведь тоже мы тогда долго пытались хоть как-то договориться...

    И XP_Check тоже - сколько раз этот вопрос с СИСом обсуждали - они всегда настаивали на том, что его надо включать отдельной позицией (кстати, вопреки тому, что написано на их сайте).

    vladimir1972 комментирует...

    Лукацкий мягко говоря сгущает краски.

    1)Стоимость защиты зависит не только от числа раб. Мест, а прежде всего от категории ИСПдн, которая определяется из кол-ва и типа перс. данных, обрабатываемых в ИС.
    2) ИСПДн малого бизнеса относится к 4 и 3 категории, 4 категорию защищать не надо.
    3) Не нужно защищать перс. данные обрабатываемые в рамках ТК.
    4) К 3 категории требования по защите невысокие
    5) Есть куча способов сократить расходы на защиту, например переход на терминальный доступ
    6) Организации-операторы проверяются Роскомнадзором по плану, который публикуется на сайте. При нынешней скорости проверок все предприятия будут проверены через несколько тысяч лет.
    7) Развести ген. Дира малого предприятия на такие деньги не получится: он налоги не платит, софт ворованный, зарплаты черные, а тут какой-то новый очередной закон, чихать он хотел...

    ZloyAlmaz комментирует...

    на днях был на одном КВО, который еще и гостайну в полный рост обрабатывает. Так вот у них тоже нет сертифицированных СЗИ ;-)

    Ай-Яй! Зря Вы так не разобравшись. В резервациях сегмент по всем правилам.

    Алексей Лукацкий комментирует...

    В смысле, не разобравшись. Вы же не знаете, какой КВО я посещал.

    ZloyAlmaz комментирует...

    В смысле, не разобравшись. Вы же не знаете, какой КВО я посещал

    Просто МОЙ точно посещали. И надеюсь еще посетите. По некоторым моим проектам ФСТЭК готов на персональные решения

    Алексей Лукацкий комментирует...

    Ваш посещал ;-) И надеюсь еще посетить. Но писал не о Вашем ;-)

    Алексей Краснов комментирует...

    to vladimir1972
    3) Не нужно защищать перс. данные обрабатываемые в рамках ТК.

    Защищать надо, не надо уведомлять РКН.