Проектирование организационных компонентов системы защиты персональных данных «под ключ»

Срок выполнения: 2 месяца

Заказчик: организация, пережившая одномоментный исход команды по ИБ и набравшая новую команду.

Запрос: необходимо выстроить процессы ИБ как «на бумаге», так и в «реальной жизни», так как предыдущая команда работала «спустя рукава».

Специалисты РАД КОП:

1. Провели аудит соответствия текущего состояния в части обработки и защиты персональных данных (по итогам анализа рисков было принято решение использовать в качестве основы системы управления ИБ 152-ФЗ и подзаконные НПА).
2. Составили подробный отчёт о текущем состоянии организации с указанием всех несоответствий требованиям законодательства по персональным данным.
3. Выделили и обследовали информационную систему персональных данных.
4. Разработали модель угроз безопасности информации для выделенной ИСПДн в соответствии с Методикой ОУБИ ФСТЭК России от 05.02.2021.
5. Планы внедрения разработанных «под ключ» ВНД для гармонизации с системой защиты информации Заказчика, задействующие все, участвующие в обработке и защите ПДн подразделения Заказчика.
6. Разработали «под ключ» в соответствии с проведённым обследованием, Моделью угроз и организационной культурой Заказчика: 

• Комплект ВНД для обеспечения соответствия требованиями 152-ФЗ, Постановления Правительства РФ 687 для неавтоматизированной обработки ПДн.
• Комплект ВНД для обеспечения соответствия требованиям, Постановления Правительства РФ 1119, 21 Приказа ФСТЭК России для автоматизированной обработки ПДн.
• ВНД, касающиеся планирования работ команды по ИБ, в части обеспечения защиты ПДн.
• ВНД, касающиеся внутреннего контроля в части соответствия требованиям по обработке и защите ПДн для команды по ИБ и службы внутреннего аудита (планы внутреннего контроля, типовую программу проверки подразделений, проекты приказов).
• Иные ВНД (ВНД по оценке вреда, который может быть нанесён субъектам ПДн; ВНД, касающиеся трансграничной передачи ПДн; ВНД по определению границ контролируемой зоны; ВНД, определяющие перечень целей, сроков, способов обработки персональных данных, категорий субъектов и обрабатываемых персональных данных; шаблоны согласий на обработку ПДн, в том числе шаблоны согласий на обработку ПДн, предназначенных для распространения).

Результат:

Несмотря на дефицит ресурсов (в первую очередь человеческих), новой команде Заказчика при помощи специалистов РАД КОП удалось выстроить реальные процессы ИБ и соответствовать законодательству РФ. Таким образом, благодаря команде РАД КОП Заказчик сделал «первоначальный рывок», чтобы далее поддерживать созданную систему уже собственными силами.