Промышленность и производство
Аудит информационной безопасности для российской фармкомпании
Задачи
→ Актуализировать правила обработки и защиты персональных данных (ПДн).
→ Четко разграничить зоны ответственности за хранение и обработку данных между подразделениями.
→ Обновить и подготовить пакет внутренней организационно-распорядительной документации.
Заказчик проекта — одна из ведущих российских медицинских компаний, поставляющая профессиональное оборудование и расходные материалы.
В связи с ужесточением законодательства перед компанией встала задача — оперативно привести внутренние процессы в соответствие с требованиями ФЗ-152 «О персональных данных».
Проект был реализован за три последовательных этапа:
1. Аудит процессов и документации
Мы провели комплексный аудит текущего состояния ИБ: проинтервьюировали ключевых сотрудников компании и проанализировали действующие локальные нормативные акты, регламентирующие работу с ПДн.
2. Инвентаризация информационных систем (ИСПДн)
Специалисты ХМ выявили и классифицировали все информационные системы, в которых обрабатываются персональные данные.
Для каждой системы мы определили:
- точные цели обработки данных;
- состав и объем собираемых сведений;
- актуальные риски и потенциальные угрозы безопасности.
3. Оценка рисков и разработка рекомендаций
Мы зафиксировали все несоответствия требованиям законодательства РФ, определили их критичность и уровень рисков для бизнеса.
На основе этих данных мы сформировали пошаговый план по устранению уязвимостей, а также дали практические рекомендации, как повысить эффективность существующих мер защиты.
Результаты
→ Провели полный аудит процессов обработки персональных данных и выявили скрытые уязвимости.
→ Оценили регуляторные риски и предоставили детализированный отчет со схемами их минимизации.
→ Сформировали план действий, который помог заказчику приоритизировать задачи, грамотно распределить ИТ-бюджет и защитить компанию от штрафов регуляторов и утечек данных.
