Заседание SPB CIO Club «без галстуков»: управление репутацией и законодательство в сфере защиты персональных данных

Вступительным словом заседание открыл член правления СоДИТ Юрий Шойдин, рассказав некоторые новости клуба. В частности, на заседании 12 марта будут представлены новые партнеры SPB CIO Club (среди которых компания Orange Business Services). Также модератор собрания напомнил об открытии регистрации на Санкт-Петербургский форум Open Telecom, который состоится 26 марта, и предстоящем дне открытых дверей в клубе. Главное же, на что обратил внимание г-н Шойдин, – представление проекта группы компаний B3, объединившего в конце прошлого года усилия и компетенции компаний «1С-Эффективность» и «Бюро экспертных решений» по продвижению на рынке услуг по автоматизации и информационной безопасности.

 

Аудитория первого в 2013 году заседания «без галстуков» SPB CIO Club

 

Бренд родился в результате накопленного опыта в сфере информационной безопасности двух партнеров – Евгения Питолина и Юрия Шойдина. В основе линейки решений группы компаний B3 – понимание того, что риски информационной безопасности – это не всегда технические риски, зачастую они управленческие и имиджевые, и только комплексный подход, идущий не от продуктов, но от задач клиента, помогает выделиться. Когда речь идет о репутации, распространение ненужной или неточной информации, равно как и несвоевременная реакция на нее, может привести к значительному вреду для компании. Особенно это касается органов власти. Работа группы компаний B3 отвечает духу цитаты, приведенной в ходе презентации Евгением: «Сложное мы делаем сразу, невозможное – чуть позже».

 

Представитель группы компаний B3 Евгений Питолин:
«Сложное мы делаем сразу, невозможное – чуть позже»

 

Евгений Питолин, выступающий в новом качестве – управляющего партнера группы компаний B3, не изменил привычек и показал красочную презентацию о проекте мониторинга информации в социальных сетях. Он очень четко описал роли игроков, стратегию поведения в той или иной ситуации при работе в этой нише, а также (особенно ярко) портреты пользователей таких  социальных сетей, как «ВКонтакте», «Одноклассники», Live Journal, Facebook и Twitter. Не остались в стороне и другие реалии общения в социальных сетях, а именно роли сторон, участвующих в жизни «сетей», – «светлые силы»: отцы-основатели, модераторы и лидеры мнений; «темная сторона»: провокаторы, комментаторы и «тролли», и «нейтральную сторону» – статистов и иже с ними. Угрозы социальных сетей идут рука об руку с рисками информационной безопасности, а не только репутационными – в зоне риска утечки паролей в результате «фишинга» и многое, многое другое.

 

Открыл заседание член правления СоДИТ Юрий Шойдин

 

Г-н Питолин дал несколько советов руководителям предприятий при работе с социальными сетями. В первую очередь, не стоит несерьезно воспринимать социальные сети, «тормозить» и долго реагировать на ситуацию (лучше вообще не давать комментариев, чем в тот момент, когда они потеряли актуальность), следует исключить из арсенала ложь и непризнание фактов. Необходим анализ рисков, готовность к изменениям и быстрая реакция на ситуацию, предусмотрительность и умение искренне извиняться.

 

Презентация системы информационной безопасности группы компаний B3

 

Группа компаний B3 развернула такую систему на базе продукта Infowatch Kribrum – это профессиональный ИТ-инструмент, – система, которая может  найти информацию, проанализировать, классифицировать, ликвидировать «шум», дает возможность разыскать автора, отследить его активность, выстроить график сообщений, обозначить уникальные объекты и критику, разграничить права доступа и даже распределить оценки деятельности. Представленный инструмент  можно донастраивать и использовать в различных направлениях деятельности компании. «Задача пресс-службы  – комментировать, задача ИТ-отдела – ограничить доступ пресс-службы к вредоносным программам, через которые может быть нанесен урон репутации компании или ее информационной безопасности. Если нельзя закрыть путь угрозам, то необходимо реагировать, а наша система позволяет это делать из единого места, создавая «автоматизированное рабочее место сотрудника пресс-службы», – отметил Евгений Питолин.

 

Управляющий партнер группы компаний B3 Евгений Питолин:
«Если нельзя закрыть путь угрозам, то необходимо реагировать,
а данная система позволяет это делать из единого места»

 

Руководитель  IT-подразделения компании «Авто Премиум» Юрий Резвов: «Моя компания развивается в том случае, если сумеет привлечь новых клиентов – больше продаж, больше прибыли, но конкуренция очень высока, и мы не можем позволить себе терять клиентов. Против компании могут идти атаки социального плана, а на том рынке (автомобильный), где мы работаем, образуются небольшие «кружки мнений», и подобные атаки особенно губительны для них – репутационный урон несет огромный ущерб.  «Подмочить» репутацию компании очень просто с помощью ботов. Но если представленная система работает так, как ее осветили на презентации, то она сможет серьезно помочь в отслеживании «враждебной деятельности» и будет крайне полезна».

 

Руководитель IT-подразделения компании «Авто Премиум» Юрий Резвов (в центре):
«Система сможет серьезно помочь в отслеживании «враждебной деятельности»

 

Во второй части заседания SPB CIO Club ведущий специалист по информационной безопасности группы компаний В3 Ирина Иващук описала текущее состояние законодательной базы по защите персональных данных, отметила ряд  изменений, произошедших в нормативной базе, и дала рекомендации по защите ПДн в организации. В докладе было отмечено отсутствие по Санкт-Петербургу документарных проверок, наличие лишь выездных, а также активная инициация и проведение проверок ФСБ. Г-жа Иващук привела статистику по итогам проверок – так, среди основных нарушений требований (РКН) значатся: частичное отсутствие согласия субъектов ПДн, нерегламентированный порядок обработки ПДн не работников, отсутствие подачи уведомления/изменений в уведомлении/указание неверных данных в уведомлении (45 %) или ситуации, когда ПДн не уничтожены/ обезличены по достижению целей обработки.

 

Ведущий специалист по информационной безопасности группы компаний В3
Ирина Иващук поведала о новых нормах в законодательстве

 

Основные нарушения требований (ФСБ): неправильное хранение сертифицированного ПО и документации к нему, отсутствие контролируемого доступа в помещения ИСПДн и размещения СКЗИ, отсутствие документарного подтверждения установки СКЗИ/не выполнены требования по монтированию и настройке СКЗИ, отсутствует описание системы защиты ИСПДн, не разработаны модели угроз и модели нарушителя, отсутствует документация по защиты ИСПДн и перечень мер по восстановлению ИСПДн после взлома, отсутствует система учета СКЗИ, отсутствует эксплуатационная документация на СКЗИ, не проведено обучение пользователей работе с СКЗИ (отсутствует документарное подтверждение проведения обучения), не регламентирован порядок проведения внутреннего аудита на выполнение требований по защите ПДн.

На  вопрос «какие документы разрабатывать?» ведущий специалист по информационной безопасности группы компаний В3 посоветовала уделить внимание положению о персональных данных и их защите, инструкции о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные, приказам о возложении персональной ответственности за защиту ПД, регламенту допуска сотрудников к обработке персональных данных, перечню допущенных сотрудников к обработке персональных данных, перечню информационных систем, обрабатывающих персональные данные и должностным инструкциям сотрудников, имеющих отношение к обработке ПД.

Автор: Кирилл Бурмаков.

Тематики: Регулирование, Безопасность, CIO/Управление ИТ

Ключевые слова: SPb CIO Club, защита персональных данных