информационных систем проанализированы с точки зрения потенциальной атаки и ее последствий
Проблема
Крупные компании с объемными процессами обработки конфиденциальной информации привлекают злоумышленников, и эта тенденция только усиливается. Утечка данных сотрудников и контрагентов может привести к финансовым потерям для обеих сторон, подрыву репутации и штрафным санкциям.
Также в силу изменений законодательства компании чаще сталкиваются с острой потребностью в четкой и ясной системе обработки данных, а также реализуемого плана обеспечению безопасности этих процессов.
В таких случаях аутсорсинг ИБ и комплаенса представляется наиболее рациональным выбором, который позволяет оперативно привлечь квалифицированных сотрудников и в сжатые сроки обеспечить необходимый уровень защищенности.
Особенность
Компания Клиента является разработчиком информационных систем федерального масштаба, а также занимается их сопровождением, поэтому собирает и обрабатывает колоссальный объем ПДн.
У Клиента функционирует множество разрозненных и сложных информационных систем, в т.ч. КИИ, к которым имеют доступ сотни контрагентов, но нет структурированной картины этого процесса.
У Клиента небольшой штат ИБ-специалистов и мало собственной экспертизы в комплаенсе, DevSecOps и безопасной разработке кода.
Запрос
Провести комплексный аудит процессов обработки персональных данных во внедренных ИС
Провести категорирование информационных систем
Разработать модель угроз с нуля
Выявить и устранить несоответствия в процессах обработки ПДн
Подготовить ТЗ на подбор и внедрение системы защиты персональных данных
Что было сделано специалистами Simplity:
Провели комплексный аудит: сопоставили процессы и задействованные в них информационные системы, более корректно и расширенно описали процессы обработки ПДН, выявили и описали новые процессы, разработали недостающие документы
Нашли и устранили недостатки и несоответствия в документах, в т.ч. на веб-ресурсах
Провели категорирование информационных систем, в т.ч. подходящих под определение КИИ
Составили акты по обследованию систем, которые могут попадать под определение объекта КИИ
Разработали модели угроз для 11 информационных систем, в т.ч. КИИ, и отчет об обследовании по персональным данным модели угроз
Разработали техническое задание на развертывание системы защиты ПДн в соответствии с требуемым уровнем безопасности
ИБ-специалисты дали рекомендации по настройке имеющихся СЗИ без доп.затрат
Результат
Клиент получил полное представление о процессах обработки персональных данных в своей компании, затрачиваемых ресурсах, необходимости и стоимости их расширения
Клиент обладает подробным планом создания эффективной защиты систем, обрабатывающих персональные данные, которая учитывает специфику компании и требования к информационной безопасности
Клиент избежал штрафных санкций, успешно устранив ряд несоответствий в процедурах обработки персональных данных
«Под рукой» имеется актуальный пакет документов для подачи уведомления в Роскомнадзор
