• Звонок по России бесплатный 8 800 200-59-60
  • Москва +7 (495) 232-92-30
  • Санкт-Петербург +7 (812) 327-59-60
  • Екатеринбург +7 (343) 378-41-50
О компании Клиенты Тринити защищает персональные данные ОАО РКС

Тринити защищает персональные данные ОАО РКС

С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли риски злоупотреблений, связанных с использованием информации о человеке. В современной организации обрабатываются данные о физических лицах. Актуальным стал вопрос: как защитить эту информацию от неправомерных действий.

В настоящее время к разумным требованиям бизнеса добавились жёсткие требования законодательства. Согласно этим требованиям, любая организация, обрабатывающая персональные данные своих сотрудников, клиентов, поставщиков или партнеров, является оператором персональных данных и обязана принимать необходимые организационные и технические меры для обеспечения безопасности персональных данных.

Построение системы защиты персональных данных - это сложный многоуровневый процесс, затрагивающий оптимизацию бизнес-процессов компании, внедрение технических средств защиты информации, а также эффективное организационное управление информационной безопасностью.

Заказчик

ОАО "Российские коммунальные системы" (РКС) - крупнейшая российская частная федеральная компания, созданная в мае 2003 для управления проектами в сфере жилищно-коммунального хозяйства и развития коммунальной инфраструктуры российских городов. Дочерние и управляемые компании РКС работают в 11 регионах РФ: в Алтайском и Пермском краях, Амурской, Брянской, Владимирской, Кировской, Самарской, Тамбовской, Тверской областях, в Республике Бурятия и Республике Карелия.

Задача

Существующая на объекте защита персональных данных была организована в соответствии с международными стандартами ИСО-27001\17799. Компания стремится развиваться в направлении повышения качества защиты персональных данных в соответствии с законодательством и рекомендациями регуляторов - уполномоченных проверяющих органов (Роскомнадзор, ФСТЭК, ФСБ).

Заказчику требовалось создать организационно-техническую систему защиты персональных данных центрального офиса.  "Тринити", являясь доверенным партнером ОАО "РКС", была приглашена для выполнения этой задачи. Поставленная задача выполнена за два этапа в течение 6 месяцев - типовой срок таких проектов. Хотя для "Тринити" это была уже не первая разработка, для такого серьезного заказчика пришлось в своей методологии многое пересмотреть, переделать или выполнить заново.

В процессе реализации конкретных требований Федерального закона от 27 июля 2006 г №152-ФЗ специалисты компании встретились с трудностями: с неопределенностью создания и использования форм множества документов, при работе с персоналом, при планировании мероприятий защиты, включая выбор и применение технических средств защиты, прошедших установленным порядком процедуру соответствия требованиям законодательства. Поставленные задачи осложнялись разветвленной ИТ-инфраструктурой, неоднозначностью закона №152-ФЗ и его противоречивостью другим федеральным законам.  Срок проекта обусловлен также необходимостью учесть холдинговую структуру организации Заказчика: потребовались дополнительные работы по приведению форм документов к единым по стилю, разработке портфеля проектов и плана защиты всех дочерних и управляемых компаний.

Решение

После проведения предпроектного обследования объекта выбрана оригинальная стратегия обеспечения безопасности персональных данных. Учтены конкретные условия. Использован единый подход к созданию и поставкам во все дочерние и управляемые компании шаблонов организационно-распорядительных документов. При техническом проектировании системы защиты персональных данных учтены возможности защиты имеющихся технических средств. Разработан план защиты персональных данных. Запланировано непрерывное повышение качества защиты персональных данных в соответствии с ИСО 9004.

В настоящее время завершены два основных этапа проекта. Внедрение технических средств предусмотрено на третьем этапе, а проверка соответствия степени защищенности объекта - по желанию заказчика. Наличие разработанного плана защиты ПДн позволяет заказчику заранее равномерно распределить бюджет.

В ходе проекта пришлось решать множество уникальных задач, связанных с необходимостью учитывать специфику компании и применением разнообразных информационных подсистем. Специалисты "Тринити" постоянно работали в условиях неопределенности, как внешней (закон 152-ФЗ во время проекта, начиная от согласования условий проекта, изменялся), так и внутренних - многие решения приходилось принимать на ходу. По сути дела, пришлось переработать всю методологию проекта. Поскольку ранние наработки в данной области не были такими ответственными: закон выполнялся как-то "виртуально". Строгость российского закона с 2006г. по 2010г. "компенсировалась необязательностью его выполнения".

Заказчиком выступал центральный офис. От него зависело решение относительно проектов защиты дочерних и управляемых компаний.  В кажущейся простоте задачи: сделать оригинальное, но типовое решение для всех - заключалась трудность реализации.

Система защиты персональных данных меняет обязанности пользователей, допущенных к обработке ПДн. Специфика центрального офиса компании заказчика в том, что он обрабатывает ПДн только своих работников. Поэтому общее число таких пользователей невелико. Однако дочерние и зависимые компании имеют дело с обработкой ПДн населения при оказании коммунальных услуг. В каждой такой компании количество пользователей может составлять от нескольких десятков до сотен, защищаемых персональных данных - несколько сотен тысяч.

Результаты

  • Изучен и принят во внимание опыт компании в области защиты информации по ИСО 27001\17799.
  • Разработан и предложен к внедрению полный комплект организационно-распорядительной документации в области персональных данных.
  • Разработаны модели угроз и действий потенциальных нарушителей безопасности для информационных систем персональных данных.
  • Разработаны рекомендации по применению типовых настроек программно-аппаратных средств заказчика для защиты информации.
  • Подготовлен технический проект и составлен план защиты персональных данных на ближайшую перспективу.
  • Подготовлен план обеспечения защиты персональных данных по единой технологии для дочерних и управляемых компаний.

Организационно-техническая система защиты персональных данных достигает две цели:

  1. Прогнозирование и предупреждение инцидентов безопасности ПДн (нарушений двух видов - утечки сведений, несанкционированного доступа - и сбоев самой системы защиты);
  2. Обеспечение возможности оперативного, даже мгновенного расследования каждого такого инцидента.

После внедрения системы, ввиду начального состояния законодательства в данной области (люди еще не в полной мере ощутили потребность в защите персональных данных и поняли, как нужно вести себя), мы рекомендовали заказчику "не рубить с плеча" каждого случайного нарушителя. Наоборот, придумали систему мотивации и разработали методологию инструкций, инструктажей и просто бесед с людьми, ведь защита от инсайдеров - 80% успеха защиты персональных данных.

По завершении проекта заказчик получил следующие преимущества:

  • защищены права граждан в отношении их персональных данных;
  • выигрышная позиция по сравнению с конкурентами в отношении рационального соответствия законодательству;
  • уверенность в защищенности и непрерывности бизнеса;
  • гарантии работников, партнеров и клиентов в ее законопослушности и добросовестности, как результат - в стабильности компании,
  • гарантия лояльности регуляторов при проведении плановых проверок соответствия защиты персональных данных Федеральному закону от 25.07.2006 № 152-ФЗ "О персональных данных". Это - отсутствие штрафных санкций и принудительных мер, обязывающих в спешном порядке принять все необходимые меры по устранению имеющихся недостатков защиты персональных данных. Последнее оказывается значительно более дорогим "удовольствием" по сравнению с тем, чтобы выполнить все то же своевременно, выбрав адекватные решения.

Руководители компании дали положительную оценку проекту и рекомендовали продолжить работы по обеспечению безопасности персональных данных дочерних и управляемых компаний в соответствии с единой технологией управления проектами и оригинальным подходом исполнителя работ -  "Тринити":

"Тринити" является исполнителем работ множества проектов по внедрению серверного оборудования и систем хранения данных ОАО "РКС", начиная с сентября 2008 года, а с мая 2011 года - по проекту системы защиты персональных данных в ОАО "РКС".

За время многолетнего сотрудничества "Тринити" завоевала кредит доверия компетентностью специалистов, ответственностью за результаты работ и продолжает подтверждать профессиональный статус надлежащим качеством при выполнении сложных проектов защиты персональных данных. Специалисты чутко и оперативно реагируют на требования заказчика, дают точные консультации по спорным вопросам, выполняют работы с учётом требований законодательства, рекомендаций ГОСТов.

"Тринити" гарантирует информационную и технологическую поддержку технических средств и программных продуктов в регионах России.

"Мы удовлетворены результатами проектных работ и рекомендуем "Тринити" в качестве исполнителя проектов защиты персональных данных в дочерних и управляемых обществах" - прокомментировал заказчик.


Система Orphus