Б-152: защита персональных данных

На аудитах по ИБ мы все чаще видим ситуацию: компания уверена, что ее системы под контролем, но фактически ключи от инфраструктуры находятся у подрядчика. Разберем кейс. У компании есть несколько ИСПДн, одна из них — основная самописная система для клиентов и партнеров. Для нее был определен 2 уровень защищенности. При сборе исходных данных выяснилось: система полностью находится под управлением подрядчика, от серверной инфраструктуры до доступов. Подрядчик уверял, что все безопасно и дополнительные средства защиты не нужны: система размещена в ЦОДе, значит, ее защищают средства ЦОДа...

У многих B2B-продуктов есть особенность: самые сложные риски находятся не внутри системы, а на ее стыках с другими участниками рынка. Банк, застройщик, партнерская платформа, сервис ЭДО. Данные между ними передаются автоматически, процессы хорошо отлажены и клиенты довольны. Кажется, что все работает именно так, как задумано. Но в какой-то момент возникает неудобный вопрос: а кто в этой цепочке вообще является оператором? И совпадает ли юридическая модель с тем, что реально происходит в архитектуре...

Какие доказательства по ИБ нужны, чтобы вас вообще допустили дальше❔ Представим типовую ситуацию: Вы — компания-интегратор, участвуете в тендере, заполняете анкету, подаете заявку по всем требованиям, а в ответ получаете отказ из-за несоответствия по ИБ. Для заказчика это очень важно, ведь риски слишком высоки: утечка данных через подрядчика, влияние на штатную работу систем, юридические последствия. Поэтому в тендере оценивают не только решение, но и то, можно ли вам доверить работу с чувствительным контуром...

Продолжаем рубрику, где разбираем реальные вопросы подписчиков по privacy и ИБ! Обычно берем один кейс, но в этот раз разберем сразу два: похожие ситуации недавно встречались и в нашей практике, а ответ можно дать достаточно емко. Если хотите, чтобы эксперты Б-152 разобрали вашу ситуацию, оставляйте вопрос в нашей постоянной Яндекс.Форме. Кейс №1: Получили предписание РКН по присутствию у нас на сайте Google Analytics хотя ее там давно нет Разбор эксперта Б-152: Рекомендуем проверить все страницы...

ИБ-требования в тендере часто выглядят довольно компактно: несколько строк в ТЗ, список документов, сертификаты, процессы разработки, инфраструктура. На бумаге кажется, что все под контролем. Но когда команда начинает готовить ответ, выясняется: за каждой строкой стоит отдельный пласт работы, который не всегда можно быстро собрать перед подачей. Где чаще всего возникает разрыв? 👉 Сертификация Сертификат может быть, но не покрывать нужный продукт, версию или срок контракта. Формально документ есть, но для конкретного тендера он не работает...