8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Сокрытие части инфраструктуры предприятия

При анализе ситуации было обнаружено, что две функционирующие ИСПДн не были включены в область оценки. Организации-заказчику требовалось провести анализ ситуации и устранить указанные проблемы.

Заказчик – организация, являющаяся оператором персональных данных, обратилась в компанию RTM Group для проведения аудита персональных данных. Организация имеет существенное количество клиентов, ПДн которых обрабатывается в многочисленных ИС.

В ходе предварительного этапа был запрошен исчерпывающий перечень ИС, которые обрабатывают персональные данные (ИСПДн), и организация его предоставила. Позже, в процессе обработки свидетельств выполнения требований законодательства, было обнаружено, что ПДн передаются в сегменты информационной инфраструктуры, которые не принадлежат области оценки.

В ходе анализа сложившейся ситуации выяснилось, что в организации существовали по меньшей мере ещё две ИСПДн, не отражённые в предоставленном перечне.

Обнаруженные ИСПДн были введены в эксплуатацию недавно и уровень их реальной защищённости не соответствовал требованиям регулятора. Было выяснено, что со стороны сотрудников организации могла иметь место попытка сокрытия ИС для получения положительного заключения о соответствии требованиям законодательства в области обработки персональных данных.

Найденные в ходе разбирательств ИСПДн были включены в область оценки, а соответствие уровня их защищённости оценено аналогично иным информационным системам. В ходе консультации было особо отмечено, что невыполнение требований в области обработки персональных данных могут повлечь за собой не только предупреждение со стороны регулятора, но и штрафы. Размер взыскания может быть незначителен, но всё же гораздо разумнее реализовать защитные меры, которые как обеспечат отсутствие санкций от контролирующих органов, так и обезопасят организацию от реальных угроз безопасности информации, которые неизбежно повлекут за собой прямые и косвенные потери.

Результат:

Таким образом, в ходе проведения аудита была обнаружена попытка ввести аудиторов в заблуждение путём сокрытия некоторых внутренних сегментов. После разбирательств область оценки была пересмотрена, вся инфраструктура, задействованная в обработке защищаемой информации, была подробно изучена. С сотрудниками службы информационной безопасности была проведена дополнительная консультация.

Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.