Практический опыт создания отраслевого стандарта защиты ПДн для операторов связи Дмитрий Устюжанин ВымпелКом 12.11.09. - презентация

1 Практический опыт создания отраслевого стандарта защиты ПДн для операторов связи Дмитрий Устюжанин ВымпелКом

2 19 сентября 2012 г – говорим о позитиве! 2 Анализ рисков Внутренние Users Administrators Внешние Партнеры Коммерческая тайна Перс. Данные Кредитные карты Базы данных Single / Large tables Почта internal /external Документы Распечатки АРМ & Mobile

3 19 сентября 2012 г – говорим о позитиве! 3 Вы готовы к такой модели угроз?

4 19 сентября 2012 г – говорим о позитиве! 4 Оценка стоимости защиты ИСПДн 4 Специальные ИСПДн Типовые ИСПДн

5 19 сентября 2012 г – говорим о позитиве! 5 Адекватность защиты Бизнес риск Определить аппетит к риску Стратегия защиты

6 19 сентября 2012 г – говорим о позитиве! 6 Принципы обеспечения безопасности ПДн в ИСПДн ОС экономическая обоснованность рекомендаций (требований) по защите ПДн: – адекватность рекомендаций (требований) по защите ПДн уровню потенциального ущерба субъектам и операторам ПДн –затраты на обеспечение безопасности ПДн должны быть соизмеримы с ущербом при нарушении безопасности ПДн соответствие уровня рекомендаций (требований) по защите ПДн имеющемуся уровню развития информационных технологий с постепенным его повышением по мере готовности операторов ПДн, информационных и защитных технологий, международного и национального законодательства; отраслевой подход к разработке рекомендаций (требований) по защите ПДн с учетом особенностей обработки ПД операторами связи; применение одних и тех же систем, средств и методов защиты информации для обеспечения безопасности персональных данных, коммерческой тайны и иной конфиденциальной информации; использование для защиты ПДн систем и средств защиты, которые уже эксплуатируются операторами связи в составе ИСПДн или инфраструктуры безопасности Защита персональных данных 6

7 19 сентября 2012 г – говорим о позитиве! 7 Методическое обеспечение Защита персональных данных 7

8 19 сентября 2012 г – говорим о позитиве! 8 ПРИВЕДЕНИЕ ИСПДН В СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПРОФИЛЯ ЗАЩИТЫ Порядок действий операторов связи Защита персональных данных 8 ИНВЕНТАРИЗАЦИЯ ИСПДН И ИХ ПРЕДВАРИТЕЛЬНАЯ КЛАССИФИКАЦИЯ ОПТИМИЗАЦИЯ СОСТАВА И СТРУКТУРЫ ИСПДН ФОРМИРОВАНИЕ КОНЕЧНОГО ПЕРЕЧНЯ И ИТОГОВАЯ КЛАССИФИКАЦИЯ ИСПДН ВЫБОР ЧАСТНОЙ МОДЕЛИ УГРОЗ ИЗ РАЗРАБОТАННОГО КОМПЛЕКТА ВЫБОР ПРОФИЛЯ (ЕЙ) ЗАЩИТЫ ИЗ РАЗРАБОТАННОГО ПЕРЕЧНЯ

9 19 сентября 2012 г – говорим о позитиве! 9

10 19 сентября 2012 г – говорим о позитиве!