Необходимость выполнения требований в области персональных данных (ПДн) в компании, где имеет счастье трудиться автор настоящей статьи, привела к задействованию в решении данной задачи всех участвующих в процессах обработки ПДн структурных подразделений, в том числе и ИТ-службы. С высокой вероятностью можно предсказать, что именно на плечи этой службы ляжет основная тяжесть эксплуатации систем защиты ПДн и выполнения требований к процессам обработки ПДн. Данное предположение подтверждается тем, что все наиболее трудоемкие и постоянные задачи в области ПДн, как правило, находятся в сфере ответственности ИТ. К таковым, в частности, можно отнести следующие:
- инсталляцию технических и программных средств информационных систем (ИС), к которым относятся и средства защиты;
- ведение учета технических средств ИС;
- поддержку установленных средств защиты (анализ журналов регистрации, настройка правил и политик безопасности, участие в расследовании инцидентов и т. п.);
- документационное обеспечение процедур поддержки (подготовка актов отработки инцидентов, заключений о готовности средств к эксплуатации и т. п.);
- уничтожение ПДн, цели обработки которых достигнуты и т. п.
Осознание объема и сложности стоящих перед ИТ-службой задач привело к двум выводам: с одной стороны, прежде чем начать что-либо делать, надо более точно оценить требуемые для их выполнения ресурсы, с другой — желательно задействованные ресурсы минимизировать.
Для оценки требуемых ресурсов была использована методика оценки трудоемкости стоящих задач, результатом которой стал расчет требуемого количества персонала по формуле Р = Q x C : T x R, где:
Q — объем выполняемых операций в год с учетом периодичности их выполнения;
С — трудоемкость выполнения одной операции;
Т — годичный объем, выполняемый одним человеком;
R — коэффициент невыхода на работу по болезни, отпускам и т. п.
Итоговый систематизированный перечень основных стоящих в данной области задач и прогнозируемая оценка их трудоемкости применительно к нашей компании представлены в таблице.
< ... >