Соответствие законодательству

о ПДн (152-ФЗ)

Все компании, входящие в группу,  подпадают под требования № 152-ФЗ «О персональных данных». Дополнительным стимулом для ускорения реализации проекта стали новости о готовящемся законопроекте об оборотных штрафов за утечки ПДн. После анализа возможных последствий принятия такого закона топ-менеджеры управляющей компании осознали для себя колоссальные финансовые и репутационные риски, которые могут грозить в случае утечки персональных данных  

Приведение всех процессов в соответствие с законодательством в большом числе юридических лиц требует не только колоссальных трудозатрат, но и высокой компетентности внутренней команды. По этой причине компания решила обратиться к услугам внешних экспертов в области защиты персональных данных.

Для выбора партнера управляющая компания группы решила провести открытый конкурс среди ведущих компаний, предоставляющих услуги по приведению процессов в соответствии с 152-ФЗ. 

Почему К2 Кибербезопасность

При выборе подрядчика клиенту были важны опыт в проведении подобных проектов в ритейле и готовность реализовать аудит в сжатые сроки — не более 140 рабочих дней. Также эксперты должны обладать необходимыми лицензиями ФСТЭК России и сертификатами в области ИБ: CISA, CISM, CISSP, ГОСТ Р ИСО/МЭК 27001−2021 и др. 

На момент участия в конкурсе команда К2 Кибербезопасность провела более 10 успешных проектов по защите ПДн в отрасли, а также обладала необходимым количеством аналитиков и инженеров для реализации работ сразу в нескольких юридических лицах. Эти факторы стали для клиента ключевыми при выборе нашей команды.

Организационный этап работ начался с планирования проведения масштабного обследования в бизнес-подразделениях более 380 внутренних процессов, связанных с обработкой персональных данных. Вместе с представителями управляющей компании специалисты К2 Кибербезопасность сформировали индивидуальный план по проведению интервью, а после — организовали более 100 интервью с сотрудниками. 

Так как группа компаний состоит из множества юридических лиц, представители управляющей организации могут выполнять некоторые бизнес-процессы централизованно, например, в части управления кадрами. 

После понимания структуры взаимодействия и особенностей обработки ПДн, мы перешли к этапу анализа организационно-распорядительной документации и локальных нормативных актов на соответствие требованиям 152-ФЗ. Всего было рассмотрено более 40 внутренних документов, регламентирующих порядок обработки и защиты ПДн. По результатам оценки для каждого юридического лица был подготовлен отчет с подробным описанием выявленных несоответствий и рекомендациями по актуализации документов, в частности — по модернизации форм согласий субъектов на обработку ПДн. 

Технический этап работ подразумевал два вектора — проведение анализа защищенности и аудита процесса разработки информационных систем ПДн, а также анализ имеющихся средств защиты на предмет эффективности их работы и соответствия законодательству. 

Анализ защищенности ИСПДн включал в себя работы по тестированию на проникновение и поиску технических уязвимостей, которые могут позволить получить несанкционированный доступ к персональным данным. 

Так как в компании активно развивается внутренняя разработка ПО, наша команда проанализировала используемые DevOps-инструменты, системы хранения исходных кодов и документации касательно системных недостатков, способных привести к возникновению уязвимостей, а впоследствии — к утечке информации из ИСПДн.

В завершении команда К2 Кибербезопасность провела аудит процессов реагирования на события информационной безопасности и проанализировала корректность работы средств защиты.

Группа компаний снизила риски, связанные с утечками ПДн и применением штрафных санкций со стороны регуляторов. Всё благодаря сформированному набору экспертных рекомендаций, позволяющих подготовить бизнес-процессы и внутренние нормативные документы организаций к проверке Роскомнадзора. 

Благодаря комплексному аудиту защищенности клиент увидел реальный уровень безопасности своих информационных систем. На основании этого ритейлер сможет провести мероприятия по их модернизации: установить необходимые обновления, поменять настройки конфигураций, внедрить недостающие средства защиты и процессы в работе команд разработки и реагирования на инциденты ИБ.

Сотрудники и клиенты группы компаний могут быть спокойны за передаваемые персональные данные — теперь у управляющей компании есть все инструменты, необходимые для обеспечения соответствия бизнес-процессов требованиям 152-ФЗ, а также верно настроенные технические средства защиты ИСПДн.

Клиент — крупная российская страховая компания в сфере страхования жизни граждан и их здоровья с разветвленной сетью подразделений практически в каждом регионе страны и распределенной ИТ-инфраструктурой, располагающейся в нескольких центрах обработки данных (ЦОД).

Чтобы в сложной ситуации клиенты имели возможность оперативно оформить страховые услуги, компания сосредоточилась на развитии мобильного и веб-портала. На этапе регистрации клиентов для оформления договора страхования и обеспечения необходимой коммуникации у застрахованных лиц запрашивается ряд ПДн, включая ФИО, дату рождения, паспортные данные и контактный номер телефона. При обращении клиентов для получения выплат в организацию могут передаваться дополнительные сведения, в том числе результаты лабораторных исследований, медицинские заключения, сведения о диагнозе, назначениях и особенностях проведения лечения. Тем самым компания становится еще и оператором специальных ПДн.

Кроме информации о клиентах компания обрабатывает и персональные данные иных категорий граждан, в том числе контрагентов, соискателей и сотрудников. Например, при трудоустройстве или организации обучения. Обмен информацией происходит и со страховыми агентами на этапе оформления новых договоров страхования.

Как возник запрос на проведение работ

Вопросом соответствия требованиям регуляторов в области защиты ПДн компания задавалась с самого начала: проводила аудиты и реализовывала организационно-технические работы. Однако подход к защиты был несистемным — с момента проведения предыдущего аудита прошло более трех лет.

Дополнительным стимулом для реализации обследования стало принятие изменений в законе 152-ФЗ «О персональных данных» в части трансграничной передачи данных: при оформлении международных страховок для путешествий компания обменивается информацией с министерствами внутренних дел других государств.

Чтобы снизить риски штрафных санкций при проверке Роскомнадзора, организация решила провести открытый конкурс среди ведущих провайдеров по услуге приведения процессов в соответствии законодательству по 152-ФЗ.

Почему К2 Кибербезопасность

Главное требование при выборе подрядчика — наличие успешного опыта проведения подобных аудитов в финансовых и страховых компаний.
На момент участия в конкурсе К2 Кибербезопасность провела более 10 успешных проектов по защите ПДн в отрасли, а также предложила оптимальный план по приведению деятельности заказчиков в соответствие с требованиями 152-ФЗ. Эти факторы стали для клиента ключевыми при выборе нашей команды.

На подготовительном этапе обследования при подготовке к интервью с сотрудниками компании наша команда выяснила, что ранее для упрощения деятельности по обеспечению соответствия компания объединяла несколько ИСПДн в одну систему. Фактически вместо двух заявленных ИСПДн предстояло обследовать и реструктуризировать семь таких систем.

Для определения оценки текущего уровня соответствия законодательству команда К2 Кибербезопасность провела более 40 интервью и выяснила, как в организации выстроен процесс обработки ПДн, какие сторонние сервисы используют персональные данные и какие организационно-технические меры реализованы. По итогам первого этапа выявили, что из-за устаревшего подхода к моделированию угроз имеющаяся система защиты ИСПДн не соответствует новым требованиям 152-ФЗ.

Далее наша команда приступила к подготовке комплекта организационно-распорядительной документации. На деле у компании уже были регламенты о порядке обработки и обеспечения защиты ПДн. Однако из-за реструктуризации ИСПДн и изменений в законодательстве их требовалось обновить. Отмена старых, принятие и утверждение новых локальных нормативных актов — процесс бюрократический и долгий. Поэтому предложили клиенту внести корректировки в действующие регламенты. Для этого наша команда детально проанализировала контекст и объем вносимых изменений. Например, решили не вводить в компании новые процедуры управления доступом к ИТ-активам, а оставить существующие у заказчика практики и подходы.

После реализации организационных мер команда провела проектирование системы защиты ИСПДн. По запросу клиента при проектировании системы защиты акцент был сделан не на обеспечении «бумажной» безопасности, а на формировании комплексного подхода к повышению уровня реальной защищенности от актуальных угроз ИБ. Поэтому наша команда предложила подготовить расширенный технический комплекс работ, который включает в себя техническое задание, план работ, полное руководство с проектной и рабочей документацией, а также оценку эффективности реализованных мер.

Несмотря на относительную зрелость ИБ в компании, для перехода к результативному подходу в защите персональных данных клиенту требовалось пересмотреть безопасность на конечных точках. Поэтому в завершении наша команда рекомендовала заменить решения для антивирусной и криптографической защиты, межсетевого экранирования, а также внедрить средства защиты виртуальных сред.

В результате работ команды К2 Кибербезопасность компания перешла к системному подходу в защите персональных данных. Организация не только получила объективную оценку соответствия требованиям обновленного законодательства и комплект документации, но и спроектированное техническое решение, учитывающие актуальные угрозы ИБ и стратегию повышения уровня защищенности информационных активов.

Благодаря выполнению требований законодательства РФ клиент минимизировал риски применения штрафных санкций со стороны контрольно-надзорных органов. Вероятность утечки данных и инцидентов ИБ также была снижена благодаря предложенной модернизации средств защиты информации.

Выстроенный процесс работы с обращениями субъектов ПДн гарантирует застрахованным клиентам своевременное получение ответов об обрабатываемых данных. Теперь клиенты страховой компании уверены в конфиденциальности своей информации, в том числе — чувствительных данных о состоянии здоровья.