Вчера мы рассмотрели "рекомендации" Leta-IT по линии персданных. Сегодня пришел черед для рекомендаций Инфокоммуникационного союза, который некоторое время назад инициировал проект " Тритон ", целью которого было разработать Концепцию защиты персональных данных в информационных системах персональных данных операторов связи. Я год назад писал про этот проект и вот сейчас появилась определенная ясность в результатах его работы.
Пока эта работа не финализирована и идет согласование с регуляторами (ими были высказаны некоторые замечания к подготовленным документам), могу расписать только набор документов, которые разрабатываются в рамках проекта:
Терминологический аппарат систем защиты персональных данныхАнализ международного и российского законодательства в области защиты ПДн в коммерческих системах и сетях связиОбобщенная информационная модель операторов связиОтраслевой классификатор. Информационные системы персональных данных операторов связиВысокоуровневый анализ рисков нарушения безопасности персональных данных в информационных системах персональных данных операторов связи с оценкой потенциального ущерба для субъектов персональных данных и операторов связиНизкоуровневый анализ рисков нарушения безопасности персональных данных в информационных системах персональных данных операторов связи с определением каналов реализации угроз безопасности персональных данныхАнализ возможностей по минимизации требований к обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных операторов связиАнализ необходимости обеспечения безопасности персональных данных в информационных системах персональных данных операторов связи с использованием криптосредствОтраслевая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных операторов связиОтраслевая модель угроз и нарушителя безопасности персональных данных при их обработке в информационных системах персональных данных операторов связи и использовании криптосредствТехнико-экономическое обоснование системы защиты персональных данных операторов связиИнформационная система персональных данных "АРМ пользователяk. Профиль защиты"Специальная информационная система персональных данных оператора связи второго класса. Профиль защитыСпециальная информационная система персональных данных оператора связи третьего класса. Профиль защитыКонцепция защиты персональных данных в информационных системах персональных данных операторов связиСравнительный анализ международных и российских нормативных документов, содержащих требования по защите персональных данных
Очень правильный и достойный подход; систематизированный (хотя есть и нарекания к этим документам). Идея проста - есть различные ИСПДн, есть различные угрозы, есть различные профили защиты для этих ИСПДн.
С концепцией "Тритона" можно ознакомиться в видео-выступлении Дмитрия Устюжанина, руководителя департамента информационной безопасности Вымпелкома, на конференции "152 ФЗ основные ловушки и способы разминирования":
Сама его презентация доступна тут .