Консалтинг в области информационной безопасности

Выстроили комплексную защиту 7 ИСПДн в крупной страховой компании

Цель проекта

Модернизация процессов обработки персональных данных в соответствии с 152-ФЗ

ситуация

Клиент — крупная российская страховая компания в сфере страхования жизни граждан и их здоровья с разветвленной сетью подразделений практически в каждом регионе страны и распределенной ИТ-инфраструктурой, располагающейся в нескольких центрах обработки данных (ЦОД).

Чтобы в сложной ситуации клиенты имели возможность оперативно оформить страховые услуги, компания сосредоточилась на развитии мобильного и веб-портала. На этапе регистрации клиентов для оформления договора страхования и обеспечения необходимой коммуникации у застрахованных лиц запрашивается ряд ПДн, включая ФИО, дату рождения, паспортные данные и контактный номер телефона. При обращении клиентов для получения выплат в организацию могут передаваться дополнительные сведения, в том числе результаты лабораторных исследований, медицинские заключения, сведения о диагнозе, назначениях и особенностях проведения лечения. Тем самым компания становится еще и оператором специальных ПДн.

Кроме информации о клиентах компания обрабатывает и персональные данные иных категорий граждан, в том числе контрагентов, соискателей и сотрудников. Например, при трудоустройстве или организации обучения. Обмен информацией происходит и со страховыми агентами на этапе оформления новых договоров страхования.


Как возник запрос на проведение работ


Вопросом соответствия требованиям регуляторов в области защиты ПДн компания задавалась с самого начала: проводила аудиты и реализовывала организационно-технические работы. Однако подход к защиты был несистемным — с момента проведения предыдущего аудита прошло более трех лет.

Дополнительным стимулом для реализации обследования стало принятие изменений в законе 152-ФЗ «О персональных данных» в части трансграничной передачи данных: при оформлении международных страховок для путешествий компания обменивается информацией с министерствами внутренних дел других государств.

Чтобы снизить риски штрафных санкций при проверке Роскомнадзора, организация решила провести открытый конкурс среди ведущих провайдеров по услуге приведения процессов в соответствии законодательству по 152-ФЗ.


Почему К2 Кибербезопасность


Главное требование при выборе подрядчика — наличие успешного опыта проведения подобных аудитов в финансовых и страховых компаний.
На момент участия в конкурсе К2 Кибербезопасность провела более 10 успешных проектов по защите ПДн в отрасли, а также предложила оптимальный план по приведению деятельности заказчиков в соответствие с требованиями 152-ФЗ. Эти факторы стали для клиента ключевыми при выборе нашей команды.

решение

На подготовительном этапе обследования при подготовке к интервью с сотрудниками компании наша команда выяснила, что ранее для упрощения деятельности по обеспечению соответствия компания объединяла несколько ИСПДн в одну систему. Фактически вместо двух заявленных ИСПДн предстояло обследовать и реструктуризировать семь таких систем.

Для определения оценки текущего уровня соответствия законодательству команда К2 Кибербезопасность провела более 40 интервью и выяснила, как в организации выстроен процесс обработки ПДн, какие сторонние сервисы используют персональные данные и какие организационно-технические меры реализованы. По итогам первого этапа выявили, что из-за устаревшего подхода к моделированию угроз имеющаяся система защиты ИСПДн не соответствует новым требованиям 152-ФЗ.

Далее наша команда приступила к подготовке комплекта организационно-распорядительной документации. На деле у компании уже были регламенты о порядке обработки и обеспечения защиты ПДн. Однако из-за реструктуризации ИСПДн и изменений в законодательстве их требовалось обновить. Отмена старых, принятие и утверждение новых локальных нормативных актов — процесс бюрократический и долгий. Поэтому предложили клиенту внести корректировки в действующие регламенты. Для этого наша команда детально проанализировала контекст и объем вносимых изменений. Например, решили не вводить в компании новые процедуры управления доступом к ИТ-активам, а оставить существующие у заказчика практики и подходы.

После реализации организационных мер команда провела проектирование системы защиты ИСПДн. По запросу клиента при проектировании системы защиты акцент был сделан не на обеспечении «бумажной» безопасности, а на формировании комплексного подхода к повышению уровня реальной защищенности от актуальных угроз ИБ. Поэтому наша команда предложила подготовить расширенный технический комплекс работ, который включает в себя техническое задание, план работ, полное руководство с проектной и рабочей документацией, а также оценку эффективности реализованных мер.

Несмотря на относительную зрелость ИБ в компании, для перехода к результативному подходу в защите персональных данных клиенту требовалось пересмотреть безопасность на конечных точках. Поэтому в завершении наша команда рекомендовала заменить решения для антивирусной и криптографической защиты, межсетевого экранирования, а также внедрить средства защиты виртуальных сред.

результат

В результате работ команды К2 Кибербезопасность компания перешла к системному подходу в защите персональных данных. Организация не только получила объективную оценку соответствия требованиям обновленного законодательства и комплект документации, но и спроектированное техническое решение, учитывающие актуальные угрозы ИБ и стратегию повышения уровня защищенности информационных активов.

Благодаря выполнению требований законодательства РФ клиент минимизировал риски применения штрафных санкций со стороны контрольно-надзорных органов. Вероятность утечки данных и инцидентов ИБ также была снижена благодаря предложенной модернизации средств защиты информации.

Выстроенный процесс работы с обращениями субъектов ПДн гарантирует застрахованным клиентам своевременное получение ответов об обрабатываемых данных. Теперь клиенты страховой компании уверены в конфиденциальности своей информации, в том числе — чувствительных данных о состоянии здоровья.

Решить
похожую задачу