Аудит 152-ФЗ для нефтехимии: как синхронизировать стандарты с процессами

Заказчик получил практическую основу для минимизации регуляторных рисков: подготовку к потенциальным проверкам Роскомнадзора, снижение вероятности утечек ПДн и уменьшение риска репутационных потерь и денежных штрафов.

О заказчике и предпосылках проекта

Заказчиком проекта выступило дочернее предприятие одной из крупнейших российских вертикально-интегрированных нефтяных компаний. Предприятие самостоятельно ведет операционную деятельность в области поиска, разведки и разработки месторождений.

В головной компании заказчика функционирует Центр информационной безопасности (ЦИБ), который разрабатывает для всех дочерних обществ корпоративные шаблоны документации по защите персональных данных.

При этом функции по обеспечению ИБ исторически были сосредоточены в смежном подразделении, которые занимались практической реализацией технических средств защиты. Вопросы приведения процессов в соответствие с требованиями законодательства о персональных данных требовали внимания и приоритета.

Так было принято решение обратиться с запросом к интегратору в целях дальнейшего приведения процессов обработки персональных данных в соответствие требованиям законодательства.

Задачи

• Провести предпроектное обследование и аудит организации обработки персональных данных на соответствие требованиям законодательства РФ (152-ФЗ и подзаконные акты).
• Провести классификацию информационных систем персональных данных.
• Разработать и предоставить заказчику отчет об обследовании с выявленными несоответствиями и рекомендациями по их устранению.
• Разработать комплект документации (ОРД), регламентирующей обработку ПДн, в соответствии с корпоративными шаблонами и стандартами заказчика.
• Разработать модель угроз и нарушителя безопасности информации (БДУ ФСТЭК).

Ход проекта

Проект выполнялся в три ключевых этапа.

Предпроектное обследование

Работы стартовали с очного выезда эксперта ICL Services в головной офис заказчика, в рамках которого было проведено интервьюирование сотрудников 15–20 структурных подразделений, допущенных к обработке ПДн. Результатом этапа стал детальный отчет об обследовании, в котором были идентифицированы и описаны: эксплуатируемые ИСПДн, их расположение и принадлежность; фактические цели обработки ПДн; области для улучшения.

Классификация информационных систем и разработка документации

На основе собранных данных была проведена классификация всех выявленных ИСПДн с определением требуемых уровней защищенности. После этого, опираясь на утвержденные корпоративные шаблоны ЦИБ, команда ICL Services разработала полный пакет организационно-распорядительной документации, регламентирующей обработку персональных данных.

Моделирование угроз

Финальным этапом стало моделирование угроз безопасности информации. Эксперты выявили актуальные угрозы и их характеристики, учитывающие специфику бизнеса и отрасли заказчика, а также разработали модель нарушителя.

Результаты

• Заказчик получил полный комплект документации, регламентирующей обработку персональных данных в соответствии с требованиями законодательства РФ и внутренними стандартами материнской компании.
• Команда подготовила развернутый отчет с оценкой текущего уровня зрелости процессов, описанием потенциала дальнейшего улучшения ИБ по различным мерам и средствам защиты.
• Классифицированы все информационные системы компании, обрабатывающие персональные данные.
• Разработана модель угроз и нарушителя, послужившая обоснованием для определения требований к системе защиты ПДн и дальнейшего внедрения технических и организационных мер защиты.
• Заказчик получил практическую основу для минимизации регуляторных рисков: подготовку к потенциальным проверкам Роскомнадзора, снижение вероятности утечек ПДн и, как следствие, уменьшение риска репутационных потерь и денежных штрафов.