Провели аудит персональных данных и подготовили рекомендации по защите информации

Проблема:

Сеть фитнес-клубов работает с большим количеством персональных данных клиентов и сотрудников: онлайн-регистрация, учёт абонементов, CRM-система клуба, бухгалтерские сервисы и корпоративный сайт.

Компания заинтересована в соблюдении требований Федерального закона № 152-ФЗ «О персональных данных» и повышении уровня информационной безопасности.

Заказчик обратился с целью:

• проверить, насколько текущая ИТ-инфраструктура и бизнес-процессы соответствуют требованиям 152-ФЗ;
• получить не только рекомендации, но и практическую реализацию мер для повышения уровня информационной безопасности.

Решение:

Провели комплексный аудит персональных данных:

• Изучили организационные процессы обработки ПДн.
• Проверили правовые основания обработки (согласия пользователей, назначение ответственного).
• Проанализировали сайт на предмет корректности политики конфиденциальности, уведомлений о сборе данных и использования сторонних сервисов (Яндекс.Метрика).
• Оценили уровень защиты информационных систем персональных данных.
• Проверили и внедрили современные технические средства защиты: антивирусы корпоративного класса, межсетевые экраны, системы резервного копирования, контроль съёмных носителей и системы обнаружения вторжений.

Результаты:

Организационная часть

• Назначен ответственный за организацию обработки ПДн.
• Разработана политика обработки персональных данных и другие ЛНА в соответствии с требованиями закона.
• Обновлены формы согласия пользователей на обработку ПДн — теперь они содержат корректные сроки хранения данных и ссылки на политику.
• Проведено обучение сотрудников работе с персональными данными и требованиям информационной безопасности.

Техническая часть

Мы не ограничились рекомендациями — ключевые меры были реализованы на практике:

• Корпоративная антивирусная защита:
  Развернули современную антивирусную платформу с централизованным управлением. Это позволило снизить риск заражения шифровальщиками и другими вредоносными программами.
• Межсетевой экран:
  Установили и настроили мощный межсетевой экран уровня Enterprise. Реализовали:
  – фильтрацию входящего и исходящего трафика;
  – контроль доступа к внутренним ресурсам;
  – создание DMZ-зоны для публичных сервисов (сайт и CRM);
  – защиту от несанкционированных подключений и сетевых атак.
  Это закрыло выявленные уязвимости в периметре сети.
• Контроль съёмных носителей:
  Внедрили средства контроля использования флеш-накопителей и других съёмных носителей. Настроили запрет копирования конфиденциальных данных и журналирование всех операций. Это снизило риск несанкционированного выноса персональных данных.
• Система резервного копирования:
  Настроили регулярное автоматическое резервное копирование серверов и ключевых баз данных. Реализовали хранение резервных копий на изолированном хранилище с контролем целостности. Это позволиn компании быстро восстановить работу при сбоях или атаках.
• Система обнаружения вторжений:
  Развернули систему мониторинга сетевой активности и защиты от вторжений. Настроили автоматическое уведомление ИТ-службы при попытках несанкционированного доступа и аномальной активности в сети.

Итог:

Проект позволил клиенту:

• привести ИТ-инфраструктуру и процессы в полное соответствие с 152-ФЗ;
• устранить ключевые риски утечек персональных данных;

Хотите провести аудит и внедрить защиту персональных данных в вашей компании? Свяжитесь с нами