От хаоса в ПДн к порядку: аудит, документы и технический проект «под ключ»

Задача

Перед нами стояла задача помочь крупному холдингу, состоящему из множества юридических лиц, обеспечить соответствие 152-ФЗ и снизить риск штрафов.

Сложность заключалась не только в том, что в компании не было четких регламентов хранения персональных данных, но и в том, что отсутствовала юридически закрепленная схема взаимодействия между юрлицами — непонятно, кто, кому и на каком основании передает персональные данные и кто несет ответственность за их защиту.

Что сделали

Мы начали с проведения комплексного аудита — изучили процессы обработки данных, проведя порядка 40 часов интервью с сотрудниками 27 подразделений компании. Это позволило учесть все нюансы работы с ПДн в разных отделах и информационных системах.

На основе собранных данных мы разработали пакет ОРД, модели угроз и технический проект по внедрению СЗИ. На момент проекта у заказчика уже были установлены некоторые обязательные необходимые средства защиты: антивирусная система и межсетевой экран.

Мы спланировали внедрение СЗИ от НСД, средств криптографической защиты и сканера уязвимостей. Также в техпроект мы добавили уже внедренные средства защиты, которые шли как дополнительные: антиспам, систему защиты от целевых атак, SIEM и DLP.

Кроме того, мы сформулировали 40 рекомендаций по исправлению ошибок обработки ПДн.

Заказчик

Металлообрабатывающая компания

Отрасль

Металлургия

Сроки

январь - май 2025

Год

2025

Результат

Заказчик получил стандартный комплект документов, закрывающий требования регуляторов и шаблон договора присоединения, с помощью которых заказчик четко регламентировал работу с ПДн: как правильно собирать согласия на обработку ПДн, как их хранить и передавать между юридическими лицами, какие зоны ответственности есть у каждого участника и т.д.