Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

СЗПДн. Анализ. Сколько сотрудников необходимо для организации обработки и обеспечения безопасности ПДн (UPD)

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()

Ни  для кого не секрет, что федеральный закон 152-ФЗ “О персональных данных” и подзаконные акты требуют от Оператора ПДн выполнения определенных мероприятий и соответственно накладывают на него дополнительные затраты: приобретение оборудования, оплата услуг консультантов, зарплата дополнительным сотрудникам.


В данной заметке хочу опустить разовые затраты Оператора на разработку первоначального комплекта документов и первоначального внедрения системы защиты персональных данных.


Пусть эти работы уже проведены, внедрена СЗПДн, комплект документов по ПДн в наличие. На этом затраты Оператора связанные с 152-ФЗ закончились?


Нет. В ИСПДн постоянно происходят изменения: появляются новые формы отчетности, появляется необходимость информационного взаимодействия, меняется системное и прикладное ПО, увольняются сотрудники, устраиваются на работу новые, выходит из эксплуатации техника и закупается новая. В связи со всеми изменениями ИСПДн законодательство требует принятия определенных мер.


Уже внедренные средства защиты требуют ещё определенных действий в рамках их эксплуатации и изменениях в ИСПДн.


Если вы планируете начать обрабатывать ПДн или если вы уже обрабатываете ПДн, но до выполнения требований руки дошли только сейчас - удобно иметь под рукой оценку будущих затрат.


Для определенности был взят оператор ПДн имеющий 100 пользователей ПДн и обрабатывающий данные 50000 субъектов ПДн. В расчете сделано предположение, что в рамках эксплуатации ИСПДн оператор не использует аутсорсинг, не поручает обработку, не использует специализированные систему управления ПДн, централизованные системы управления ИБ.

Получаем следующий расчет трудозатрат в год в часах.



Всего получается трудозатрат в год = 5670 часов или 5670/1920 = 2.95 ~= 3 сотрудника. То есть в нашем примере получается, что надо нанять дополнительно 3 сотрудников. В деньгах это 60000 (стоимость владения сотрудником в регионах) * 12 * 3 = 2 160 000 руб. в год. И 120000 (стоимость владения сотрудником в Москве) * 12 * 3 = 4 320 000 руб. в год.


Если отметить что трудозатраты на мероприятия 1-24 пропорциональны количеству пользователей ИСПДн, а трудозатраты на мероприятия 25-38 пропорциональны количеству субъектов ПДн получаем примерную формулу для других организаций:


Трудозатраты на выполнение 152-ФЗ при эксплуатации в год = 2260*X + 3410*Y часов (где X = количество пользователей ИСПДн/100,  Y = количество обрабатываемых субъектов ПДн/50000).


Готов рассмотреть предложения и замечания. Если интересует большая детализация расчета для использования в конкретной задаче, пишите в личку с указанием организации и задачи - поделюсь.


UPD. Для реализации "метода Дельфи" необходимо ещё 2 эксперта, которые готовы будут поучаствовать в оценке типовых трудозатрат.

Оцените материал:
Total votes: 27
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.