ICL Services

Аудит организации обработки персональных данных для крупного производителя мебельной фурнитуры

Заказчиком проекта выступило крупное производственное предприятие, в структуру которого входит ряд самостоятельных юридических лиц, расположенных в России и за рубежом.

Структура ведения бизнеса заказчика предполагала взаимодействие с большим числом самостоятельных юридических лиц, входящих в группу компаний заказчика.

Несмотря на использование общих информационных ресурсов, юридически эти организации были независимы. Каждая из них обрабатывала персональные данные и эксплуатировала информационные системы в соответствии со своим пониманием целей и задач. Такая ситуация имела потенциальные риски нарушения требований законодательства.

Погрузившись в требования законодательства, руководство приняло решение заблаговременно улучшить все связанные процессы и организовать системный подход к обработке ПДн. Компании требовался партнер, способный разобраться в особенностях взаимодействия корпоративных структур между собой и предоставить практические и эффективные меры и средства обеспечения защиты.

Задачи

  • Провести аудит организации обработки персональных данных во всех контурах заказчика и подготовить отчет об обследовании.
  • Разработать модель угроз безопасности информации и модель нарушителя.
  • Классифицировать все выявленные информационные системы персональных данных.
  • Создать полный комплект организационно-распорядительной документации (включая документы для сайтов компании).
Реализованное нами решение

  1. Проект начался с анализа текущих процессов обработки персональных данных. Команда ICL Services провела серию интервью с сотрудниками, изучила бизнес-процессы обработки данных, должностные инструкции, формы договоров и существующие информационные системы заказчика, в которых обрабатываются персональные данные.

    Результатом этого этапа стал отчет по результатам аудита организации обработки персональных данных на соответствие требованиям законодательства о персональных данных. Заказчик получил отчет с описанием оценки текущего состояния соответствия требованиям законодательства и рекомендациями на приведение в соответствие.

    Аудит показал, что фактические цели обработки данных отличались от декларированных в исходном Уведомлении РКН, и идентифицированные области для улучшения серьезно помогут с полным соответствием требованиям регуляторов.

    Далее эксперты провели классификацию информационных систем, в которых обрабатываются данные, после чего составили акты определения уровней защищённости информационных систем персональных данных.

    После этого команда разработала:

    • уведомление для Роскомнадзора об обработке персональных данных;
    • уведомление о намерении осуществлять трансграничную передачу персональных данных;/
    • полный комплект организационно–распорядительной документации, регламентирующий обработку персональных данных как для внутреннего пользования, так и для сайтов заказчика.

    Последним этапом стало моделирование угроз безопасности информации, в соответствии с Методическим документом, утвержденным ФСТЭК России 05.02.2021 и БДУ ФСТЭК.

Результаты

  • Разработали детальный отчёт о текущем состоянии процессов обработки персональных данных со всех контуров бизнеса. Выделили зоны риска и определили пути устранения несоответствий.
  • Заказчик получил основу для минимизации штрафных и репутационных рисков, а также понятный план дальнейшего повышения зрелости функции информационной безопасности.
  • Все информационные системы персональных данных идентифицированы и классифицированы, назначены уровни защищённости.
  • Разработан полный комплект обязательных уведомлений для Роскомнадзора, включая трансграничную передачу, что закрывает риски регуляторных претензий.
  • Создана модель угроз и нарушителя безопасности информации. С ее помощью компания может уже сейчас определить требования к системе и решениям для защиты данных.

Напишите нам

Связаться с нами

Узнайте больше о наших проектах

Заказать звонок
Ф.И.О*
Контактный телефон*
E-mail*
Компания*

Я даю согласие на обработку своих персональных данных в соответствии
со статьей 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ«О персональных данных»

Задать вопрос эксперту
Ф.И.О*
E-mail*
Наименование организации*
Должность*
Телефон*
Вопрос*

Я даю согласие на обработку своих персональных данных в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ«О персональных данных»

Заказать звонок
Ф.И.О*
Контактный телефон*
E-mail
Компания*

Я даю согласие на обработку своих персональных данных в соответствии
со статьей 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ«О персональных данных»

На сайтах icl-services.com используются cookie-файлы. Оставаясь на сайте, вы даете свое согласие на использование нами cookie-файлов. Если, прочитав данное сообщение, вы не согласны, просим вас покинуть сайт.
Наверх