Защита персональных данных в информационных системах операторов связи Тесцов Алексей, руководитель отдела управления проектами ЗАО «ДиалогНаука» - презентация

1 Защита персональных данных в информационных системах операторов связи Тесцов Алексей, руководитель отдела управления проектами ЗАО «ДиалогНаука»

2 Результаты работы компании в области защиты ПДн Выполнено более 100 проектов, связанных с обеспечением безопасности ПДн и выполнения требований законодательства Накоплен большой опыт проведения оценки соответствия ИСПДн Разработан и поддерживается в актуальном состоянии комплект типовых организационно-распорядительных документов для Операторов Накоплен большой опыт в применении СЗИ, прошедших оценку соответствия, применяется весь спектр сертифицированных СЗИ, представленных на российском рынке Основные заказчики – компании телекоммуникационного сектора: Скайлинк, ОАО «РТКомм.РУ», МТС

3 Основные результаты и статистика

4 Основные результаты и статистика 2011 года

5 Основные результаты и статистика СтатистикаПричины 12 % процентов Заказчиков отказались от услуг по разработке организационно- распорядительной документации Прекращение финансирования проекта Решение о приведении в соответствие собственными ресурсами Внутренние организационные проблемы с распределением ролей и ответственности за обработку и защиту ПДн 54 % Заказчиков отказались или приостановили процесс приведения ИСПДн в соответствие (внедрение средств защиты) Сложности с изменением информационной инфраструктуры Неоднозначность нормативных правовых актов по обеспечению безопасности Невозможность применения сертифицированных средств защиты 69 % Заказчиков не проводили оценку соответствия ИСПДн Экономия бюджета проекта Отсутствие внутренних ресурсов по поддержанию ИСПДн Неоднозначность правового обеспечения оценки соответствия

6 Уровень информационной безопасности Операторов до начала проекта

7 Особенности компаний телекоммуникационного сектора Объемы ПДн – у крупных компаний порядок 100 млн. субъектов (сравнить можно только с государственными учреждениями, страховые компании – десятки млн., НПФ – до миллиона или чуть больше). Вовлеченность работников в обработку – практически все работники допущены к ПДн, так как это основной бизнес процесс. Необходима комплексная защита ИС операторов. Необходимо применять высокопроизводительные средства защиты, обеспечивающие ИБ на всех уровнях прикладных систем и систем безопасности.

8 Особенности организации процессов обработки и обеспечения безопасности ПДн Неоднородная организационная структура – в связи с большими размерами компаний возможны самостоятельные филиалы, различные офисы продаж, проблемы с ознакомлением сотрудников и сложности в создании однотипных требований Ротация персонала – большой объем работ по обучению и ознакомлению сотрудников, сложности с контролем ИБ Большие объемы и частые изменения ПДн – сложности с обеспечением требований уничтожения ПДн по достижению целей обработки, контроля согласия субъектов и других требований

9 Отраслевые требования Анализ разработанных отраслевых стандартов (Минздравом, Инфокоммуникационным союзом, НАПФ и другими) показал, что такие материалы должны носить рекомендательный характер и периодически обновляться Положительный опыт такой стандартизации – СТО БР Особенности отрасли говорят о том, что такие отраслевые методические рекомендации необходимы Разрабатываемые стандарты должны в большей степени раскрывать специфику отрасли и требования к подсистемам, не раскрытым полностью в нормативных правовых актах

10 Что нужно Операторам Необходимы документы – «лучшие практики» по структуре ОРД, регламентации процессов обработки и защиты. Такие документы в условиях отрасли и приведенных выше особенностей необходимо поддерживать всем заинтересованным организациям Не стоит пытаться уменьшить или ослабить требования нормативно-правовых актов Успешными такие документы будут только в случае их регулярного обновления и улучшения

11 Заключение Спасибо за внимание Тесцов Алексей, Руководитель отдела управления проектами ЗАО «ДиалогНаука» Тел.: +7(495) доб. 165, Факс: +7(495) URL: