Анализ процессов защиты персональных данных в крупной российской сети премиум-супермаркетов
ITGLOBAL.COM Security выполнила проект по проверке и приведению в соответствие с требованиями ФЗ-152 процессов обработки персональных данных в сети российских супермаркетов.О клиенте
Клиент – российская сеть премиум-супермаркетов. Входит в 200 крупнейших частных компаний России по версии Forbres.
Задача
На момент обращения в ITGLOBAL.COM Security, в компании уже были реализованы процессы защиты персональных данных. Перед нами стояла задача – дать экспертную оценку эффективности принятых мер и реализованных процессов, а также актуализировать их в связи с новыми требованиями регулятора (о трансграничной передаче, о новом порядке уничтожения ПДн).
Для заказчика это было особенно актуальным в связи с принятием закона об оборотных штрафах за утечки персональных данных, вступление которого в силу ожидается в 2025-ом году.
Состав команды
Проектная команда состояла из четырех человек:
- Менеджер проекта: управление реализацией проекта на всех стадиях
- Руководитель направления аудита: контроль качества выполнения задачи
- Аудитор ИБ: реализация плана работ
- Методолог 152-ФЗ: составление проектной документации и отчетности
Особенности проекта
В процессе выполнения работ команда столкнулась с некоторыми тонкостями внутренних процессов заказчика и иными факторами, которые повлияли на процесс выполнения задачи.
Среди основных:
- Ранее неизвестные процессы. Было выявлено больше количество процессов, связанных с обработкой персональных данных, ранее неизвестных ни нам, ни заказчику.Не все из них были формализованы, некоторые из них даже не были известны ответственному лицу со стороны заказчика. Как следствие – значительно увеличилось число ИСПДн, а также собираемых категорий ПДн.
- Трансграничная передача ПДН. Был установлен факт осуществления трансграничной передачи персональных данных.
- Онлайн-формат интервью. Все интервью с сотрудниками проводились исключительно онлайн, а их количество значительно увеличилось в процессе выполнения.
- Сжатые сроки. В связи с новыми данными, полученными в процессе аудита , утвержденный ранее срок оказался значительно меньше требуемого. Тем не менее, было принято решение не сдвигать дедлайн и уложиться в заранее утвержденные даты.
Хронология проекта
Весь проект занял 4 месяца, в течение которых были выполнены следующие задачи:
- Аудит мер и средств защиты ПДн
Выполнение проекта команда начала с проведения интервью с более, чем 30-ю сотрудниками, задействованными в критичных бизнес-процессах.
5 недель
- Актуализация модели угроз и модели нарушителя
В ходе анализа результатов, учитывая новые, ранее неизвестные вводные, было принято решение параллельно разработать новые модели угроз и нарушителя для полноценного выполнения требований регулятора.
3 недели
- Разработка дорожной карты: план действий по устранению нарушений и рекомендации по мерам и средствам защиты
На базе результатов предыдущих шагов был составлен детальный план действий с учетом специфики и ресурсов заказчика, целью которого стало не только выполнение нормативных требований, но и обеспечение реальной безопасности персональных данных.
1 месяц
- Внедрение обновленных процессов, средств и мер защиты информации
Были актуализированы и внедрены изменения в процессы обработки персональных данных, выбраны и интегрированы средства защиты информации, реализованы меры для минимизации площади поверхности атаки и ограничению рисков утечки персональных данных.
2,5 месяца
- Актуализация организационно-распорядительной документация по ПДн, с учетом требований нормативных документов
1 месяц
Результат
В результате совместной работы, мы добились следующих результатов:
- Формирование команды и процессов ИБ на стороне клиента
Совместно с заказчиком была сформирована полноценная команда ИБ-специалистов, а также были выстроены процессы ИБ, которые регламентирует ФЗ-152 и другие регуляторы. Среди них:
- Обеспечение защиты вычислительных сетей;
- Контроль целостности и защищенности информационной инфраструктуры;
- Защита от вредоносного кода;
- Предотвращение утечек информации;
- Управление инцидентами защиты информации;
- Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений;
В результате компания смогла автономно и безопасно продолжить работу по обработке персональных данных. Были устранены каналы утечек в тех процессах, о которых заказчик не знал до реализации этого проекта. Некоторые процессы были переработаны, чтобы сократить объем собираемых данных, и, как следствие, минимизировать риски.
- Разработана частная модель угроз для всех ИСПДн клиента
В соответствии с требованиями «Методики оценки угроз безопасности информации» ФСТЭК.
- Обеспечено полное соответствие всех систем и процессов клиента требованиям регуляторов, включая ФЗ-152
По завершении проекта клиент успешно прошел оценку эффективности мер по обеспечению безопасности персональных данных и смог направить подтверждение в регулирующие органы.
- Оптимизирован бюджет на ИБ
Набор рекомендаций помог не только обеспечить реальную защищенность, но сделать это с минимальными затратами времени и финансов. В результате бюджет клиента на ИБ удалось сократить, значительно повысив эффективность расходов.
Фактическая и нормативная безопасность были достигнуты вовремя: до вступления в силу оборотных штрафов за утечки. На данный момент заказчик успешно поддерживает все системы в надлежащем состоянии самостоятельно.