Сокрытие части инфраструктуры предприятия
При анализе ситуации было обнаружено, что две функционирующие ИСПДн не были включены в область оценки. Организации-заказчику требовалось провести анализ ситуации и устранить указанные проблемы.
Заказчик – организация, являющаяся оператором персональных данных, обратилась в компанию RTM Group для проведения аудита персональных данных. Организация имеет существенное количество клиентов, ПДн которых обрабатывается в многочисленных ИС.
В ходе предварительного этапа был запрошен исчерпывающий перечень ИС, которые обрабатывают персональные данные (ИСПДн), и организация его предоставила. Позже, в процессе обработки свидетельств выполнения требований законодательства, было обнаружено, что ПДн передаются в сегменты информационной инфраструктуры, которые не принадлежат области оценки.
В ходе анализа сложившейся ситуации выяснилось, что в организации существовали по меньшей мере ещё две ИСПДн, не отражённые в предоставленном перечне.
Обнаруженные ИСПДн были введены в эксплуатацию недавно и уровень их реальной защищённости не соответствовал требованиям регулятора. Было выяснено, что со стороны сотрудников организации могла иметь место попытка сокрытия ИС для получения положительного заключения о соответствии требованиям законодательства в области обработки персональных данных.
Найденные в ходе разбирательств ИСПДн были включены в область оценки, а соответствие уровня их защищённости оценено аналогично иным информационным системам. В ходе консультации было особо отмечено, что невыполнение требований в области обработки персональных данных могут повлечь за собой не только предупреждение со стороны регулятора, но и штрафы. Размер взыскания может быть незначителен, но всё же гораздо разумнее реализовать защитные меры, которые как обеспечат отсутствие санкций от контролирующих органов, так и обезопасят организацию от реальных угроз безопасности информации, которые неизбежно повлекут за собой прямые и косвенные потери.
Результат:
Таким образом, в ходе проведения аудита была обнаружена попытка ввести аудиторов в заблуждение путём сокрытия некоторых внутренних сегментов. После разбирательств область оценки была пересмотрена, вся инфраструктура, задействованная в обработке защищаемой информации, была подробно изучена. С сотрудниками службы информационной безопасности была проведена дополнительная консультация.