8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Кейсы » Сокрытие части инфраструктуры предприятия

Сокрытие части инфраструктуры предприятия

При анализе ситуации было обнаружено, что две функционирующие ИСПДн не были включены в область оценки. Организации-заказчику требовалось провести анализ ситуации и устранить указанные проблемы.

Заказчик – организация, являющаяся оператором персональных данных, обратилась в компанию RTM Group для проведения аудита персональных данных. Организация имеет существенное количество клиентов, ПДн которых обрабатывается в многочисленных ИС.

В ходе предварительного этапа был запрошен исчерпывающий перечень ИС, которые обрабатывают персональные данные (ИСПДн), и организация его предоставила. Позже, в процессе обработки свидетельств выполнения требований законодательства, было обнаружено, что ПДн передаются в сегменты информационной инфраструктуры, которые не принадлежат области оценки.

В ходе анализа сложившейся ситуации выяснилось, что в организации существовали по меньшей мере ещё две ИСПДн, не отражённые в предоставленном перечне.

Обнаруженные ИСПДн были введены в эксплуатацию недавно и уровень их реальной защищённости не соответствовал требованиям регулятора. Было выяснено, что со стороны сотрудников организации могла иметь место попытка сокрытия ИС для получения положительного заключения о соответствии требованиям законодательства в области обработки персональных данных.

Найденные в ходе разбирательств ИСПДн были включены в область оценки, а соответствие уровня их защищённости оценено аналогично иным информационным системам. В ходе консультации было особо отмечено, что невыполнение требований в области обработки персональных данных могут повлечь за собой не только предупреждение со стороны регулятора, но и штрафы. Размер взыскания может быть незначителен, но всё же гораздо разумнее реализовать защитные меры, которые как обеспечат отсутствие санкций от контролирующих органов, так и обезопасят организацию от реальных угроз безопасности информации, которые неизбежно повлекут за собой прямые и косвенные потери.

Результат:

Таким образом, в ходе проведения аудита была обнаружена попытка ввести аудиторов в заблуждение путём сокрытия некоторых внутренних сегментов. После разбирательств область оценки была пересмотрена, вся инфраструктура, задействованная в обработке защищаемой информации, была подробно изучена. С сотрудниками службы информационной безопасности была проведена дополнительная консультация.

Сопутствующие услуги

152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

— Что означает соответствие 152-ФЗ?
— Чем грозит несоответствие по 152-ФЗ?
— Аудит для банков и МФЦ
— Что представляет собой аудит?
— Стоимость аудита 152-ФЗ
Аудит инфраструктуры на соответствие требованиям информационной безопасности

Аудит инфраструктуры на соответствие требованиям информационной безопасности

— Для чего нужен аудит
— Как проходит аудит
— Этапы проведения аудита
— Результат аудита

Полезные статьи

Типы и классификация ИСПДн

Типы и классификация ИСПДн

Статья о том, что такое ИСПДн, какие типы и классификации ИСПДн существуют, чем они отличаются и как их определить. От экспертов RTM Group.