Промышленность и производство
Аудит процессов обработки ПДн на соответствие требованиям 152-ФЗ
Задачи
Провести предпроектное обследование и аудит организации обработки персональных данных на соответствие требованиям законодательства РФ (152-ФЗ и подзаконные акты).
Провести классификацию информационных систем персональных данных. Разработать и предоставить заказчику отчет об обследовании с выявленными несоответствиями и рекомендациями по их устранению.
Разработать комплект документации (ОРД), регламентирующей обработку ПДн, в соответствии с корпоративными шаблонами и стандартами заказчика.
Разработать модель угроз и нарушителя безопасности информации (БДУ ФСТЭК).
В головной компании заказчика функционирует Центр информационной безопасности (ЦИБ), который разрабатывает для всех дочерних обществ корпоративные шаблоны документации по защите персональных данных.
При этом функции по обеспечению ИБ исторически были сосредоточены в смежном подразделении, которые занимались практической реализацией технических средств защиты.
Вопросы приведения процессов в соответствие с требованиями законодательства о персональных данных требовали внимания и приоритета.
Так было принято решение обратиться с запросом к интегратору в целях дальнейшего приведения процессов обработки персональных данных в соответствие требованиям законодательства.
Проект выполнялся в три ключевых этапа:
Предпроектное обследование
Работы стартовали с очного выезда эксперта ICL Services в головной офис заказчика, в рамках которого было проведено интервьюирование сотрудников 15–20 структурных подразделений, допущенных к обработке ПДн. Результатом этапа стал детальный отчет об обследовании, в котором были идентифицированы и описаны: эксплуатируемые ИСПДн, их расположение и принадлежность; фактические цели обработки ПДн; области для улучшения.
Классификация информационных систем и разработка документации
На основе собранных данных была проведена классификация всех выявленных ИСПДн с определением требуемых уровней защищенности. После этого, опираясь на утвержденные корпоративные шаблоны ЦИБ, команда ICL Services разработала полный пакет организационно-распорядительной документации, регламентирующей обработку персональных данных.
Моделирование угроз
Финальным этапом стало моделирование угроз безопасности информации. Эксперты выявили актуальные угрозы и их характеристики, учитывающие специфику бизнеса и отрасли заказчика, а также разработали модель нарушителя.
Результаты
Заказчик получил полный комплект документации, регламентирующей обработку персональных данных в соответствии с требованиями законодательства РФ и внутренними стандартами материнской компании.
Команда подготовила развернутый отчет с оценкой текущего уровня зрелости процессов, описанием потенциала дальнейшего улучшения ИБ по различным мерам и средствам защиты.
Классифицированы все информационные системы компании, обрабатывающие персональные данные.
Разработана модель угроз и нарушителя, послужившая обоснованием для определения требований к системе защиты ПДн и дальнейшего внедрения технических и организационных мер защиты.
Заказчик получил практическую основу для минимизации регуляторных рисков: подготовку к потенциальным проверкам Роскомнадзора, снижение вероятности утечек ПДн и, как следствие, уменьшение риска репутационных потерь и денежных штрафов.
