Персональные данные в распределенной структуре: аудит и выстраивание процессов для производственной компании

Снаружи задача могла выглядеть стандартной, но внутри у нее было несколько слоев сложности.

У клиента уже были закупленные и внедренные средства защиты, а также отдельные open source‑решения. Это автоматически усложняет проектирование: нельзя просто предложить идеальную схему с нуля, не оглядываясь на то, что уже используется, что реально поддерживается командой и какие решения бизнес готов сопровождать дальше.

Второй слой — необходимость оценить соответствие существующих средств защиты требованиям, а также риски использования отдельных решений, которые могли вызывать вопросы с точки зрения сертификации, происхождения или дальнейшей поддержки.

То есть проект касался не только формальной документации, но и очень практичного вопроса: чем именно можно продолжать защищаться, а что уже требует пересмотра.

Третий слой — стоимость замены или модернизации средств защиты. Для бизнеса это всегда не теоретический вопрос. Если проект по 152‑ФЗ автоматически превращается в обязательство срочно заменить весь стек защиты, его начинают воспринимать как слишком дорогой и оторванный от реальности.

В этом кейсе важно было, наоборот, дать клиенту рабочую схему: что можно использовать сейчас, что требует дополнительных мер, а что имеет смысл планово менять дальше.

Еще одна особенность — внимательная проверка со стороны юридической функции клиента. Юристы вычитывали ОРД privacy и ЛНА по ИБ, сверяли их между собой и проверяли, чтобы документы не расходились ни по логике, ни по формулировкам.

На практике это не усложнение ради согласований, а полезный стресс‑тест для документации. Если ЛНА по ИБ и документы по обработке ПДн не синхронизированы, это почти всегда всплывает либо на внутреннем контроле, либо позже, в более неприятный момент.

Проект шел по план‑графику, без искусственной спешки. В этом случае такой темп был оправдан: ценность была не в скорости выпуска документов, а в качестве увязки правовой и технической частей.

В основу положили методику моделирования угроз ФСТЭК от 2021 года и применимые НПА по защите ПДн. Но ключевая ценность проекта была не только в опоре на нормативную базу, а в том, как ее перевели в реальные проектные решения.

Сначала команда провела моделирование угроз. Этот этап был нужен не для «галочки», а чтобы понять, какие риски действительно актуальны для инфраструктуры клиента и какие меры защиты должны их закрывать.

Без этого любой разговор о пригодности существующих средств защиты быстро превращается в спор мнений.

Далее были сформированы техническое задание и технический проект. Именно на стадии проектирования команда провела сравнительный анализ вариантов состава системы защиты.

По сути, это был выбор между несколькими реалистичными сценариями, а не между «идеалом» и «компромиссом». Вместе с заказчиком оценивали, как использовать уже имеющиеся средства, где они создают допустимый риск, а где применение несертифицированных или проблемных решений уже не дает нужной устойчивости.

Параллельно разрабатывался пакет ЛНА и документов по обработке персональных данных. Здесь проект вышел за пределы обычной технической работы: документы нужно было написать так, чтобы они были понятны и техническим специалистам, и юристам.

Это один из самых ценных практических навыков в подобных проектах. Пока И Б говорит на одном языке, а юристы на другом, единый контур защиты не складывается. Здесь задача была решена иначе: сделать документы, которые обе стороны воспринимают как рабочие, а не как «чужую территорию».

• Проведено моделирование угроз по методике ФСТЭК от 2021 года.
• Подготовлены техническое задание и технический проект системы защиты.
• Разработан пакет локальных нормативных актов по информационной безопасности и документов, связанных с обработкой персональных данных.
• На этапе проектирования проведен сравнительный анализ вариантов состава системы защиты с учетом уже используемых средств защиты, open source‑решений и рисков применения отдельных продуктов.
• Определен порядок работы с персональными данными, включая вопросы администрирования ИСПДн.

Ключевой практический результат этого этапа — набор документов, который позволяет компании использовать существующие средства защиты уже сейчас и при этом планировать дальнейшие закупки и замену решений без хаоса и резких движений.

У клиента появился комплект документов и проектная база, которые снимают сразу несколько типов проблем.

Когда юридические и технические документы описывают одну и ту же модель, компании проще подтверждать, что процессы обработки и защиты ПДн действительно выстроены, а не существуют в виде несвязанных фрагментов.

После проекта появился более единый язык для ИБ и юристов. Это особенно заметно там, где раньше вопросы по ПДн и ИБ приходилось переводить между отделами.

Клиент получил экономию времени и денег за счет реалистичного подхода к средствам защиты. Проект не свелся к выводу, что все нужно менять. Напротив, он позволил сохранить и использовать то, что может работать в текущем контуре, и отдельно запланировать те закупки, которые действительно нужны.

Во вводных также был зафиксирован результат в виде успешного прохождения аудита. Клиент отдельно отметил комфортную коммуникацию с командой и готовность исполнителя идти навстречу, чтобы сделать документы, которые закрывают вопросы не только ИБ, но и юридической функции, синхронизируя работу двух контуров.

— Проведены интервью с представителями компании.

— Выполнен анализ внутренних документов и сайта.

— Подготовлен отчет по результатам аудита.

— Разработан пакет организационно‑распорядительной документации по персональным данным.

Основная задача разработки ОРД заключалась в том, чтобы закрепить единые правила обработки персональных данных для всей компании, включая обособленные подразделения.

По итогам проекта компания получила основу для выстраивания системной работы с персональными данными.

• Во‑первых, аудит позволил выявить и структурировать существующие риски в области обработки ПДн.
• Во‑вторых, разработанный пакет организационно‑распорядительной документации закрепил единые правила обработки персональных данных для головной компании и обособленных подразделений.
• В‑третьих, в ходе проекта отдельное внимание уделялось практическому внедрению разработанных документов: вместе с клиентом разобрали сценарии применения и согласовали порядок внедрения документов в работу.

Дальнейшее развитие системы подтверждается тем, что компания рассматривает масштабирование подхода и развитие процессов в смежных контурах.

Кейс характерен для компаний из сферы производства и оптовой торговли, где организационная структура включает несколько подразделений и процессы обработки персональных данных распределены между ними.

В таких условиях ключевой задачей становится не только разработка документов, но и унификация процессов.

Практика показывает, что аудит и разработка организационно‑распорядительной документации позволяют компаниям перейти от разрозненных практик к системному управлению персональными данными. Это снижает регуляторные риски и делает работу с данными более прозрачной для всей организации.