КЕЙС
Небольшая компания занимается разработкой ПО и продажей услуг клиентам. Штат маленький, своего специалиста по ИБ нет. Но часть работы связана с клиентами, а значит, в информационной системе обрабатываются персональные данные граждан РФ. Требования регулятора никуда не деваются, даже если компания маленькая.
Вопрос стандартный: где взять квалифицированный ресурс, чтобы выстроить рабочую систему защиты по требованиям и не сломать при этом текущие процессы?
С этим вопросом компания обратилась к экспертам Б-152. Основная задача — полное приведение в соответствие законодательным требованиям с видимым результатом: Акт оценки соответствия уровня защищенности.
КАК ВЫСТРАИВАЛАСЬ РАБОТА
Команда начала с обследования: анализ инфраструктуры, опрос сотрудников на осведомленность в области ИБ.
По итогу полный аудиторский отчет — что соответствует требованиям регулятора, что нет, и конкретные рекомендации по улучшению.
Так появилась четкая road map: команда понимала, что не выстроено и над чем предстоит работать.
Все документы готовились по требованиям НПА РФ и с учетом специфики инфраструктуры клиента. По каждому шагу задавались три вопроса:
⚫️ возможно ли реализовать угрозу применительно к конкретному объекту защиты?
⚫️ нужно ли адаптировать набор мер, если технология не используется?
⚫️ какое средство защиты нейтрализует угрозу и при этом не мешает ИТ-процессам?
По итогу были разработаны:
1️⃣ Модель угроз безопасности — проанализированы все угрозы из БДУ ФСТЭК применительно к объекту защиты. Актуальными для клиента оказались 85 угроз
2️⃣ Техническое задание на СЗИ — требования к системе защиты, которые необходимо выполнить для соответствия минимально необходимому уровню защищенности
3️⃣ Спецификация средств защиты — перечень решений, которые нейтрализуют актуальные угрозы и закрывают требования из ТЗ
4️⃣ Технический проект на СЗИ — описание функциональных возможностей выбранных средств защиты и того, какие меры они выполняют
5️⃣ Локальные нормативные акты — регламенты, описывающие выстроенные процессы, распределение ответственности и последствия за нарушения
Финал: испытания и Акт
После внедрения и настройки средств защиты команда выступила в роли оценочной комиссии: проверила, все ли настроено корректно, документы утверждены и введены в действие.
Чтобы минимально затронуть ИТ-контур, границы и даты испытаний согласовывались заранее, чтобы сотрудники клиента могли подстроиться и не теряли темп работы.
Успешно пройденные испытания оформляются официальным документом — Актом оценки уровня защищенности. Он подтверждает соответствие требованиям не только для самой организации, но и для партнеров и клиентов: данные защищены. Своего рода знак отличия, который доступен даже малому бизнесу.
ИТОГ
Клиент получил полный пакет документов по требованиям регулятора, выстроенную систему защиты персональных данных, и все это без штатной службы ИБ.
Но важная оговорка: внешняя команда не заменяет внутреннего специалиста навсегда. Кто-то в штате все равно должен поддерживать систему в рабочем состоянии и при необходимости организовывать ее модернизацию.
Если у вас похожая ситуация, когда ИБ-команды нет, а требования уже есть, обращайтесь к нам. Поможем собрать минимально необходимый защитный контур без лишней бюрократии и без остановки ИТ.
