О заказчике
Заказчиком проекта выступило дочернее предприятие одного из лидеров российской нефтедобычи. Компания ведет полный цикл операционной деятельности: от поиска и геологоразведки до разработки месторождений. При этом функции по обеспечению ИБ исторически были сосредоточены в смежном подразделении, которые занимались практической реализацией технических средств защиты.
Об исполнителе
ICL Services – продуктово-сервисная компания, работающая на российском и международном рынках с 2006 года, состоит в реестре аккредитованных ИТ-компаний Минцифры России. Компания предлагает широкий спектр продуктов и услуг: от аудита, бизнес-консалтинга и проектирования до полной интеграции с информационными системами заказчиков, поставки оборудования, выполнения проектов внедрения и дальнейшего сопровождения в режиме 24/7.
Предпосылки проекта
В то время как головной офис заказчика разрабатывал идеальные корпоративные шаблоны по защите персональных данных (ПДн), на местах процессы не всегда соответствовали требованиям законодательства. Чтобы нивелировать ситуацию и существенно снизить регуляторные риски, в проект включилась ICL Services.
Задачи проекта
Перед командой стояла цель не просто написать документы, но возвести мосты между требованиями закона, стандартами холдинга и реальностью. Ключевые задачи включали:
- Предпроектное обследование и аудит процессов на соответствие 152-ФЗ;
- Классификацию всех информационных систем персональных данных (ИСПДн);
- Разработку отчета с выявленными несоответствиями и дорожной картой их устранения;
- Создание полного пакета организационно-распорядительной документации (ОРД) строго по корпоративным лекалам заказчика;
- Моделирование угроз безопасности и создание портрета потенциального нарушителя (в соответствии с БДУ ФСТЭК).
Ход проекта
Работа была выстроена без длительных пауз, с немедленным погружением в инфраструктуру клиента.
Предпроектное обследование. Проект начался с очного аудита в головном офисе. Эксперты провели серию глубинных интервью с сотрудниками 15-20 структурных подразделений, допущенных к обработке ПДн. ICL Services выяснила фактические цели их обработки, зафиксировала расположение систем и зоны роста.
Классификация и ОРД. Опираясь на собранные «полевые» данные, классифицировали все выявленные ИСПДн и определили требуемый уровень защищенности для каждой. Далее, взяв за основу корпоративные шаблоны Центра ИБ головной компании, команда разработала полный пакет документации, который не противоречил стандартам холдинга, но идеально ложился на операционные реалии дочернего общества.
Моделирование угроз. Финальным этапом стала разработка модели угроз и нарушителя. Эксперты учли отраслевую специфику нефтехимии и определили актуальные векторы атак – не просто формальный документ, а обоснование для выбора конкретных технических средств защиты в будущем.
Результаты проекта
Заказчик получил комплект ОРД, полностью соответствующий 152-ФЗ и внутренним стандартам материнской компании. Проект позволил подготовиться к проверкам Роскомнадзора, снизить вероятность утечек ПДн и избежать репутационных потерь и штрафов.
По итогам проекта был подготовлен развернутый отчет с оценкой текущего состояния и потенциалом улучшения защиты по различным векторам, а все информационные системы компании, обрабатывающие персональные данные, классифицированы.
Модель угроз и нарушителя теперь служит базой для внедрения технических мер и защиты бюджета на ИБ.
