Консалтинг в области информационной безопасности

За 132 рабочих дней провели комплексный аудит по 152-ФЗ в крупном ритейлере

Выполнение требований законодательства РФ по защите ПДн в группе компаний

Цель проекта

Клиент — группа компаний, в состав которой входит крупная сеть розничных магазинов в нескольких федеральных округах России.

Многие бизнес-процессы, реализуемые группой компаний, напрямую связаны со сбором, хранением и обработкой большого объема персональных данных работников, клиентов, подрядчиков и т.д. За годы реализации бизнес-процессов в группе накопились большие объемы ПДн, которые нужно результативно и своевременно защищать. 

К примеру, для мотивации и удержания клиентов действует программа лояльности. На этапе регистрации в ней покупатель передает свое имя, фамилию, электронную почту и номер телефона. Для цифровизации HR-процессов развернута специальная платформа, содержащая данные о персонале и кандидатах на трудоустройство.

ситуация

Все компании, входящие в группу,  подпадают под требования № 152-ФЗ «О персональных данных». Дополнительным стимулом для ускорения реализации проекта стали новости о готовящемся законопроекте об оборотных штрафов за утечки ПДн. После анализа возможных последствий принятия такого закона топ-менеджеры управляющей компании осознали для себя колоссальные финансовые и репутационные риски, которые могут грозить в случае утечки персональных данных  

Приведение всех процессов в соответствие с законодательством в большом числе юридических лиц требует не только колоссальных трудозатрат, но и высокой компетентности внутренней команды. По этой причине компания решила обратиться к услугам внешних экспертов в области защиты персональных данных.

Для выбора партнера управляющая компания группы решила провести открытый конкурс среди ведущих компаний, предоставляющих услуги по приведению процессов в соответствии с 152-ФЗ. 

Почему К2 Кибербезопасность

При выборе подрядчика клиенту были важны опыт в проведении подобных проектов в ритейле и готовность реализовать аудит в сжатые сроки — не более 140 рабочих дней. Также эксперты должны обладать необходимыми лицензиями ФСТЭК России и сертификатами в области ИБ: CISA, CISM, CISSP, ГОСТ Р ИСО/МЭК 27001−2021 и др. 

На момент участия в конкурсе команда К2 Кибербезопасность провела более 10 успешных проектов по защите ПДн в отрасли, а также обладала необходимым количеством аналитиков и инженеров для реализации работ сразу в нескольких юридических лицах. Эти факторы стали для клиента ключевыми при выборе нашей команды.

решение

Организационный этап работ начался с планирования проведения масштабного обследования в бизнес-подразделениях более 380 внутренних процессов, связанных с обработкой персональных данных. Вместе с представителями управляющей компании специалисты К2 Кибербезопасность сформировали индивидуальный план по проведению интервью, а после — организовали более 100 интервью с сотрудниками. 

Так как группа компаний состоит из множества юридических лиц, представители управляющей организации могут выполнять некоторые бизнес-процессы централизованно, например, в части управления кадрами. 

После понимания структуры взаимодействия и особенностей обработки ПДн, мы перешли к этапу анализа организационно-распорядительной документации и локальных нормативных актов на соответствие требованиям 152-ФЗ. Всего было рассмотрено более 40 внутренних документов, регламентирующих порядок обработки и защиты ПДн. По результатам оценки для каждого юридического лица был подготовлен отчет с подробным описанием выявленных несоответствий и рекомендациями по актуализации документов, в частности — по модернизации форм согласий субъектов на обработку ПДн. 

Технический этап работ подразумевал два вектора — проведение анализа защищенности и аудита процесса разработки информационных систем ПДн, а также анализ имеющихся средств защиты на предмет эффективности их работы и соответствия законодательству. 

Анализ защищенности ИСПДн включал в себя работы по тестированию на проникновение и поиску технических уязвимостей, которые могут позволить получить несанкционированный доступ к персональным данным. 

Так как в компании активно развивается внутренняя разработка ПО, наша команда проанализировала используемые DevOps-инструменты, системы хранения исходных кодов и документации касательно системных недостатков, способных привести к возникновению уязвимостей, а впоследствии — к утечке информации из ИСПДн.

В завершении команда К2 Кибербезопасность провела аудит процессов реагирования на события информационной безопасности и проанализировала корректность работы средств защиты.

результат

Группа компаний снизила риски, связанные с утечками ПДн и применением штрафных санкций со стороны регуляторов. Всё благодаря сформированному набору экспертных рекомендаций, позволяющих подготовить бизнес-процессы и внутренние нормативные документы организаций к проверке Роскомнадзора. 

Благодаря комплексному аудиту защищенности клиент увидел реальный уровень безопасности своих информационных систем. На основании этого ритейлер сможет провести мероприятия по их модернизации: установить необходимые обновления, поменять настройки конфигураций, внедрить недостающие средства защиты и процессы в работе команд разработки и реагирования на инциденты ИБ.

Сотрудники и клиенты группы компаний могут быть спокойны за передаваемые персональные данные — теперь у управляющей компании есть все инструменты, необходимые для обеспечения соответствия бизнес-процессов требованиям 152-ФЗ, а также верно настроенные технические средства защиты ИСПДн.

Решить
похожую задачу