"Большая тройка" операторов связи: защита персональных данных

Станислав Попов
Руководитель Службы контроля ИБ, Департамент информационной безопасности, Блок корпоративной безопасности ОАО "Вымпелком"

Дмитрий Костров
Дирекция информационной безопасности ОАО "МТС"

Татьяна Зверева
Начальник отдела по связям со СМИ ОАО "МегаФон"

Как решаются вопросы защиты персональных данных? Финансирование каких направлений в области защиты информации будет приоритетным в наступившем году? Что собой представляет отраслевой стандарт в сфере защиты персональных данных? - На эти и другие вопросы отвечают представители "большой тройки" операторов связи: Станислав Попов (руководитель Службы контроля ИБ, Департамент информационной безопасности, Блок корпоративной безопасности ОАО "Вымпелком"), Дмитрий Костров (дирекция информационной безопасности ОАО "МТС"), Татьяна Зверева, (начальник отдела по связям со СМИ ОАО "МегаФон").

- Расскажите, пожалуйста, об отраслевом стандарте в сфере защиты персональных данных, который разрабатывается "большой тройкой" операторов.

Станислав Попов: В прошлом году была развернута работа по разработке концепции защиты персональных данных в информационных системах персональных данных операторов связи. Целью реализации проекта является подготовка нормативно-методической базы для выполнения требований законодательства РФ по защите персональных данных в информационных системах операторов связи. Таким образом, необходимо создать рекомендации, отражающие требования законодательства РФ в сфере защиты персональных данных, учитывающие специфику обработки ПД операторами связи.

В настоящее время участниками проекта проведено обследование операторов "большой тройки" (МТС, "Вымпел-Ком" и "МегаФон"), сделан анализ существующих систем защиты персональных данных в сетях сотовой связи, определены общие принципы технологий обработки персональных данных и подходы к их защите.

С проектами документов были ознакомлены регуляторы (ФСТЭК, ФСБ, Министерство связи и массовых коммуникаций), получен ряд конструктивных замечаний. Идет процесс доработки.

Дмитрий Костров: В связи с тем что операторы "большой тройки" имеют много общего (у нас общие системы OSS/BSS (конечно, общие по принципу), мы обрабатываем похожий массив персональных данных, мы широко работаем на маркетинговом поле, у нас, если подводить итог, похожие бизнес-процессы (вспомним карту eТОM), было принято решение двигаться в направлении единого документа. В рамках объединенных работ операторов "большой тройки" были выработаны единые стандарты (правила) обеспечения безопасности персональных данных для всей отрасли связи.

Татьяна Зверева: Данный стандарт разрабатывается на площадке Инфокоммуникационного союза с учетом специфики операторов связи. Предполагается, что из всего многообразия требований в стандарте останутся только те, которые действительно можно отнести к области связи.

- Как в вашей организации решались вопросы защиты персональных данных?

Станислав Попов: Безусловно, задача обеспечения защиты персональных данных в организации одна из важных решаемых задач. И эта задача - комплексная. Прежде  всего, было проведено обследование компании на предмет выявления процессов обработки персональных данных, уточнения типов этих данных и особенностей их использования. В соответствии с законодательством наша компания в установленном порядке зарегистрирована в Роскомнадзоре как оператор персональных данных. В рамках активностей по вопросам защиты персональных данных в компании был разработан и внедрен ряд нормативных документов, применяются необходимые организационно-технические и технические меры защиты.

Дмитрий Костров: Работа в нашей компании началась даже раньше, чем вышел закон 152-ФЗ. Это достаточно большой и многопрофильный проект. Учитывая риски (в том числе и репутационные), высококонкурентную среду, а также необходимость обеспечения безопасности данных наших абонентов, руководство МТС относилось к проекту очень внимательно. Мы провели работы по созданию модели нарушителя, классификации системы и т.п. (в рамках требований ФСТЭК и ФСБ). Особенно хочется отметить согласование модели нарушителя с регуляторными органами. Проработали и утвердили планы работ по еще большему повышению защиты.

Татьяна Зверева: В "МегаФоне" налажена четкая и надежная система по защите персональных данных. К сожалению, мы не можем открыть все подробности, но в целом используем те же инструменты, что и другие компании, которые стараются максимально обезопасить информацию.

- Планируете ли вы увеличивать бюджет на ИБ в 2010 г.? Финансирование каких направлений в области защиты информации будет для вас приоритетным в наступившем году?

Станислав Попов: Бюджет на ИБ, как и на другие направления деятельности компании, зависит от финансовых результатов работы компании. В области информационной безопасности приоритетными остаются мероприятия, связанные с предотвращением перебоев в оказании услуг абонентам, нарушений функционирования основных бизнес-процессов, искажения управленческой и публичной финансовой отчетности, раскрытия конфиденциальной информации компании, ее клиентов, партнеров и акционеров. Естественно, также важно выполнение требований законодательства РФ, в том числе и по вопросам защиты персональных данных.

Дмитрий Костров: При рассмотрении уже проделанной в МТС работы по защите данных и с учетом поддержки руководства бюджет 2010 г. спланирован для решения задачи не только для поддержания уровня защиты, но и его повышения (МТС - компания, которая постоянно находит новые и оптимальные решения, улучшает системы работы с клиентами и биллинга). Направления работ можно разделить на техническое и организационное. Мы будем работать и с системами аутентификации, контроля периметра, контроля изменений, криптографической защиты и т.п. Полагаем, что крен в какое-то направление защиты может не принести ожидаемых результатов. Поэтому в нашей компании все сбалансировано.

Татьяна Зверева: Мы довольны нынешним уровнем бюджета в данном направлении и не планируем увеличивать его в 2010 г. Направлений и задумок много, но пока говорить о них преждевременно. Безусловно, мы, как и всегда, будем обеспечивать максимальную защиту персональных данных.