Защита персональных данных в информационных системах операторов связи Тесцов Алексей, руководитель отдела управления проектами ЗАО «ДиалогНаука»
Результаты работы компании в области защиты ПДн Выполнено более 100 проектов, связанных с обеспечением безопасности ПДн и выполнения требований законодательства Накоплен большой опыт проведения оценки соответствия ИСПДн Разработан и поддерживается в актуальном состоянии комплект типовых организационно-распорядительных документов для Операторов Накоплен большой опыт в применении СЗИ, прошедших оценку соответствия, применяется весь спектр сертифицированных СЗИ, представленных на российском рынке Основные заказчики – компании телекоммуникационного сектора: Скайлинк, ОАО «РТКомм.РУ», МТС
Основные результаты и статистика
Основные результаты и статистика 2011 года
Основные результаты и статистика СтатистикаПричины 12 % процентов Заказчиков отказались от услуг по разработке организационно- распорядительной документации Прекращение финансирования проекта Решение о приведении в соответствие собственными ресурсами Внутренние организационные проблемы с распределением ролей и ответственности за обработку и защиту ПДн 54 % Заказчиков отказались или приостановили процесс приведения ИСПДн в соответствие (внедрение средств защиты) Сложности с изменением информационной инфраструктуры Неоднозначность нормативных правовых актов по обеспечению безопасности Невозможность применения сертифицированных средств защиты 69 % Заказчиков не проводили оценку соответствия ИСПДн Экономия бюджета проекта Отсутствие внутренних ресурсов по поддержанию ИСПДн Неоднозначность правового обеспечения оценки соответствия
Уровень информационной безопасности Операторов до начала проекта
Особенности компаний телекоммуникационного сектора Объемы ПДн – у крупных компаний порядок 100 млн. субъектов (сравнить можно только с государственными учреждениями, страховые компании – десятки млн., НПФ – до миллиона или чуть больше). Вовлеченность работников в обработку – практически все работники допущены к ПДн, так как это основной бизнес процесс. Необходима комплексная защита ИС операторов. Необходимо применять высокопроизводительные средства защиты, обеспечивающие ИБ на всех уровнях прикладных систем и систем безопасности.
Особенности организации процессов обработки и обеспечения безопасности ПДн Неоднородная организационная структура – в связи с большими размерами компаний возможны самостоятельные филиалы, различные офисы продаж, проблемы с ознакомлением сотрудников и сложности в создании однотипных требований Ротация персонала – большой объем работ по обучению и ознакомлению сотрудников, сложности с контролем ИБ Большие объемы и частые изменения ПДн – сложности с обеспечением требований уничтожения ПДн по достижению целей обработки, контроля согласия субъектов и других требований
Отраслевые требования Анализ разработанных отраслевых стандартов (Минздравом, Инфокоммуникационным союзом, НАПФ и другими) показал, что такие материалы должны носить рекомендательный характер и периодически обновляться Положительный опыт такой стандартизации – СТО БР Особенности отрасли говорят о том, что такие отраслевые методические рекомендации необходимы Разрабатываемые стандарты должны в большей степени раскрывать специфику отрасли и требования к подсистемам, не раскрытым полностью в нормативных правовых актах
Что нужно Операторам Необходимы документы – «лучшие практики» по структуре ОРД, регламентации процессов обработки и защиты. Такие документы в условиях отрасли и приведенных выше особенностей необходимо поддерживать всем заинтересованным организациям Не стоит пытаться уменьшить или ослабить требования нормативно-правовых актов Успешными такие документы будут только в случае их регулярного обновления и улучшения
Заключение Спасибо за внимание Тесцов Алексей, Руководитель отдела управления проектами ЗАО «ДиалогНаука» Тел.: +7(495) доб. 165, Факс: +7(495) URL: