Все компании, входящие в группу,  подпадают под требования № 152-ФЗ «О персональных данных». Дополнительным стимулом для ускорения реализации проекта стали новости о готовящемся законопроекте об оборотных штрафов за утечки ПДн. После анализа возможных последствий принятия такого закона топ-менеджеры управляющей компании осознали для себя колоссальные финансовые и репутационные риски, которые могут грозить в случае утечки персональных данных  

Приведение всех процессов в соответствие с законодательством в большом числе юридических лиц требует не только колоссальных трудозатрат, но и высокой компетентности внутренней команды. По этой причине компания решила обратиться к услугам внешних экспертов в области защиты персональных данных.

Для выбора партнера управляющая компания группы решила провести открытый конкурс среди ведущих компаний, предоставляющих услуги по приведению процессов в соответствии с 152-ФЗ. 

Почему К2 Кибербезопасность

При выборе подрядчика клиенту были важны опыт в проведении подобных проектов в ритейле и готовность реализовать аудит в сжатые сроки — не более 140 рабочих дней. Также эксперты должны обладать необходимыми лицензиями ФСТЭК России и сертификатами в области ИБ: CISA, CISM, CISSP, ГОСТ Р ИСО/МЭК 27001−2021 и др. 

На момент участия в конкурсе команда К2 Кибербезопасность провела более 10 успешных проектов по защите ПДн в отрасли, а также обладала необходимым количеством аналитиков и инженеров для реализации работ сразу в нескольких юридических лицах. Эти факторы стали для клиента ключевыми при выборе нашей команды.

Организационный этап работ начался с планирования проведения масштабного обследования в бизнес-подразделениях более 380 внутренних процессов, связанных с обработкой персональных данных. Вместе с представителями управляющей компании специалисты К2 Кибербезопасность сформировали индивидуальный план по проведению интервью, а после — организовали более 100 интервью с сотрудниками. 

Так как группа компаний состоит из множества юридических лиц, представители управляющей организации могут выполнять некоторые бизнес-процессы централизованно, например, в части управления кадрами. 

После понимания структуры взаимодействия и особенностей обработки ПДн, мы перешли к этапу анализа организационно-распорядительной документации и локальных нормативных актов на соответствие требованиям 152-ФЗ. Всего было рассмотрено более 40 внутренних документов, регламентирующих порядок обработки и защиты ПДн. По результатам оценки для каждого юридического лица был подготовлен отчет с подробным описанием выявленных несоответствий и рекомендациями по актуализации документов, в частности — по модернизации форм согласий субъектов на обработку ПДн. 

Технический этап работ подразумевал два вектора — проведение анализа защищенности и аудита процесса разработки информационных систем ПДн, а также анализ имеющихся средств защиты на предмет эффективности их работы и соответствия законодательству. 

Анализ защищенности ИСПДн включал в себя работы по тестированию на проникновение и поиску технических уязвимостей, которые могут позволить получить несанкционированный доступ к персональным данным. 

Так как в компании активно развивается внутренняя разработка ПО, наша команда проанализировала используемые DevOps-инструменты, системы хранения исходных кодов и документации касательно системных недостатков, способных привести к возникновению уязвимостей, а впоследствии — к утечке информации из ИСПДн.

В завершении команда К2 Кибербезопасность провела аудит процессов реагирования на события информационной безопасности и проанализировала корректность работы средств защиты.