СИТУАЦИЯ

Заказчик – крупный автомобильный ритейлер, владельцы которого – несколько крупных иностранных корпораций. Для международного руководства российское законодательство (в первую очередь – 152-ФЗ «О персональных данных» и отраслевые ИБ-нормы) оказалось малоизвестным.

На момент старта проекта у заказчика отсутствовала система обеспечения информационной безопасности:

• нет выделенных ИБ-специалистов или профильных компетенций;
• ИТ-инфраструктура строилась без учета требований регуляторов;
• риски обработки персональных данных (ПДн) не оценивались даже на базовом уровне.

Компания осознавала свою уязвимость – отсутствовало понимание, с чего начать выстраивание защиты, как сформировать коммуникацию с надзорными органами и что отвечать в случае внезапной проверки.

Текущее состояние инфраструктуры было критическим. Киберпреступники в любой момент могли получить несанкционированный доступ к конфиденциальной информации и ПДн. Основные последствия такого события – многомиллионные штрафы по 152-ФЗ и КоАП, сбой операционной деятельности, расходы на реагирование после утечек и необратимый урон репутации.

ЗАДАЧИ

1. Выстроить системный процесс управления ИБ «с нуля»:

1. провести комплексный аудит ИБ и обработки ПДн;
2. идентифицировать риски и критические уязвимости;
3. определить приоритетные направления модернизации;
4. сформировать портфель проектов и дорожную карту на 3 года с контрольными точками и ожидаемыми результатами;
5. предоставить адаптированные под бизнес заказчика шаблоны внутренних документов по ИБ (политики, регламенты, инструкции).

2. Обеспечить применение только российских СЗИ в зависимости от класса решаемых задач. С учетом описанных регуляторных и инфраструктурных рисков, заказчиком были сформулированы следующие обязательные условия реализации проекта:

1. Приоритет критического сценария. Старт проекта требовалось осуществить не с «инвентаризации всего подряд», а с критически важного сценария – зоны наибольшего риска (обработка ПДн и угроза несанкционированного доступа). Заказчик настаивал на точечном, высокорисковом входе в проект, а не на классическом последовательном аудите.
2. Двухуровневое согласование. Принципиальным условием являлось полное согласование каждого этапа, состава работ, любого технического или организационного решения и предъявляемых требований с обеими сторонами:
   - с локальным менеджментом в РФ;
   - с международным менеджментом (с учетом их внутренних ИБ-стандартов и процедур утверждения).

РЕШЕНИЕ

Этап 1. Комплексный аудит и подготовка правового фундамента:

1. Проведён аудит ИТ-инфраструктуры, сетевых доступов и процессов обработки данных. Выявлены критические уязвимости: открытые внешние доступы, отсутствие сегментации сети, неконтролируемые носители информации.
2. По результатам аудита сформирован и утверждён Перечень информационных систем персональных данных (ИСПДн) Общества с классификацией по 152-ФЗ.
3. Подготовлен и направлен пакет документов для регистрации Общества в качестве оператора персональных данных в Роскомнадзоре.
4. Составлен детальный отчёт с факторами риска и перечнем первоочередных мер.

Этап 2. Разработка стратегии и документационного обеспечения:

1. Проанализированы бизнес-процессы заказчика для привязки мер ИБ к операционной деятельности.
2. Разработана и согласована с локальным и международным менеджментом Стратегическая дорожная карта модернизации СОИБ на 3 года, включающая:
   - приоритизированный портфель из 12 проектов (от сегментации сети до внедрения SIEM);
   - целевую архитектуру ИБ;
   - детализированный бюджет (три сценария: базовый, рекомендуемый, целевой);
   - контрольные точки и критерии успеха для каждого этапа.
3. Переданы адаптивные шаблоны внутренних документов по ИБ (политики, регламенты, инструкции) для дальнейшей доработки силами заказчика/
4. Составлен детальный отчёт с факторами риска и перечнем первоочередных мер.

ПЛАНИРУЕМЫЕ ЭТАПЫ РАЗВИТИЯ

На базе разработанной стратегии запланированы работы по созданию модели угроз и нарушителя, а также формированию технического задания (ТЗ) на внедрение средств защиты информации (СЗИ). Эти этапы стартуют после утверждения дорожной карты и выделения финансирования

РЕЗУЛЬТАТ

• Получен официальный статус оператора персональных данных. Общество зарегистрировано в реестре Роскомнадзора, что является первым и обязательным шагом к легальной обработке ПДн и снимает риски штрафов за отсутствие уведомления.
• Сформирован полный и утверждённый перечень ИСПДн. Все системы, в которых обрабатываются персональные данные (включая облачные сервисы — CRM, сайт, мобильное приложение), классифицированы, что создаёт основу для выбора адекватных мер защиты.
• Перевод затрат в управление рисками. Информационная безопасность перестала восприниматься руководством как необоснованная статья расходов и стала измеримым процессом управления бизнес-рисками.
• Прозрачность и измеримость. Разработана и согласована трехлетняя дорожная карта, в которой каждый из 3+ проектов завершается конкретным документом (журналы, протоколы, отчёты). Это обеспечивает контроль хода работ и оценку эффективности вложений.
• Снижение рисков. Заложен фундамент для приведения деятельности в соответствие с 152-ФЗ, что значительно снижает риск штрафов за утечки ПДн.
• Готовность к масштабированию. Компания получила чёткий трёхлетний план действий с поэтапным финансированием, что позволяет гибко управлять бюджетами без остановки развития защиты.
• Инфраструктурная безопасность. Запланировано внедрение базового, но надёжного контура защиты сетевой инфраструктуры, что предотвращает риски потери данных и финансовых средств уже на ранних этапах.