Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Аудит ИБ для регионального СМИ: от диагностики к плану укрепления защиты
13.01.2023
ООО «Буферная бухта» — компания из отрасли СМИ, г. Ульяновск. Для медиабизнеса информационная безопасность влияет не только на ИТ‑контур, но и на стабильность выпуска контента и доверие аудитории.
В медиакомпаниях персональные данные и критичные сервисы обычно распределены по нескольким контурам: кадровые процессы, взаимодействие с партнерами и подрядчиками, коммуникации с аудиторией и внутренние сервисы. Поэтому аудит ИБ здесь нужен не ради формального отчета, а чтобы зафиксировать текущее состояние защиты и получить понятные приоритеты укрепления.
26/06/25
Б-152
Что делало проект нетривиальным
Снаружи задача могла выглядеть стандартной, но внутри у нее было несколько слоев сложности.
Уже существующий стек защиты
У клиента уже были закупленные и внедренные средства защиты, а также отдельные open source‑решения. Это автоматически усложняет проектирование: нельзя просто предложить идеальную схему с нуля, не оглядываясь на то, что уже используется, что реально поддерживается командой и какие решения бизнес готов сопровождать дальше.
Оценка применимости действующих решений
Второй слой — необходимость оценить соответствие существующих средств защиты требованиям, а также риски использования отдельных решений, которые могли вызывать вопросы с точки зрения сертификации, происхождения или дальнейшей поддержки.
То есть проект касался не только формальной документации, но и очень практичного вопроса: чем именно можно продолжать защищаться, а что уже требует пересмотра.
То есть проект касался не только формальной документации, но и очень практичного вопроса: чем именно можно продолжать защищаться, а что уже требует пересмотра.
Стоимость перехода на альтернативные решения
Третий слой — стоимость замены или модернизации средств защиты. Для бизнеса это всегда не теоретический вопрос. Если проект по 152‑ФЗ автоматически превращается в обязательство срочно заменить весь стек защиты, его начинают воспринимать как слишком дорогой и оторванный от реальности.
В этом кейсе важно было, наоборот, дать клиенту рабочую схему: что можно использовать сейчас, что требует дополнительных мер, а что имеет смысл планово менять дальше.
В этом кейсе важно было, наоборот, дать клиенту рабочую схему: что можно использовать сейчас, что требует дополнительных мер, а что имеет смысл планово менять дальше.
Требовательный юридический контур
Еще одна особенность — внимательная проверка со стороны юридической функции клиента. Юристы вычитывали ОРД privacy и ЛНА по ИБ, сверяли их между собой и проверяли, чтобы документы не расходились ни по логике, ни по формулировкам.
На практике это не усложнение ради согласований, а полезный стресс‑тест для документации. Если ЛНА по ИБ и документы по обработке ПДн не синхронизированы, это почти всегда всплывает либо на внутреннем контроле, либо позже, в более неприятный момент.
На практике это не усложнение ради согласований, а полезный стресс‑тест для документации. Если ЛНА по ИБ и документы по обработке ПДн не синхронизированы, это почти всегда всплывает либо на внутреннем контроле, либо позже, в более неприятный момент.
Как к проекту подошли
Проект шел по план‑графику, без искусственной спешки. В этом случае такой темп был оправдан: ценность была не в скорости выпуска документов, а в качестве увязки правовой и технической частей.
В основу положили методику моделирования угроз ФСТЭК от 2021 года и применимые НПА по защите ПДн. Но ключевая ценность проекта была не только в опоре на нормативную базу, а в том, как ее перевели в реальные проектные решения.
В основу положили методику моделирования угроз ФСТЭК от 2021 года и применимые НПА по защите ПДн. Но ключевая ценность проекта была не только в опоре на нормативную базу, а в том, как ее перевели в реальные проектные решения.
Моделирование угроз
Сначала команда провела моделирование угроз. Этот этап был нужен не для «галочки», а чтобы понять, какие риски действительно актуальны для инфраструктуры клиента и какие меры защиты должны их закрывать.
Без этого любой разговор о пригодности существующих средств защиты быстро превращается в спор мнений.
Без этого любой разговор о пригодности существующих средств защиты быстро превращается в спор мнений.
Техническое задание и технический проект
Далее были сформированы техническое задание и технический проект. Именно на стадии проектирования команда провела сравнительный анализ вариантов состава системы защиты.
По сути, это был выбор между несколькими реалистичными сценариями, а не между «идеалом» и «компромиссом». Вместе с заказчиком оценивали, как использовать уже имеющиеся средства, где они создают допустимый риск, а где применение несертифицированных или проблемных решений уже не дает нужной устойчивости.
По сути, это был выбор между несколькими реалистичными сценариями, а не между «идеалом» и «компромиссом». Вместе с заказчиком оценивали, как использовать уже имеющиеся средства, где они создают допустимый риск, а где применение несертифицированных или проблемных решений уже не дает нужной устойчивости.
Разработка ЛНА и ОРД
Параллельно разрабатывался пакет ЛНА и документов по обработке персональных данных. Здесь проект вышел за пределы обычной технической работы: документы нужно было написать так, чтобы они были понятны и техническим специалистам, и юристам.
Это один из самых ценных практических навыков в подобных проектах. Пока И Б говорит на одном языке, а юристы на другом, единый контур защиты не складывается. Здесь задача была решена иначе: сделать документы, которые обе стороны воспринимают как рабочие, а не как «чужую территорию».
Это один из самых ценных практических навыков в подобных проектах. Пока И Б говорит на одном языке, а юристы на другом, единый контур защиты не складывается. Здесь задача была решена иначе: сделать документы, которые обе стороны воспринимают как рабочие, а не как «чужую территорию».
Что было сделано
- Проведено моделирование угроз по методике ФСТЭК от 2021 года.
- Подготовлены техническое задание и технический проект системы защиты.
- Разработан пакет локальных нормативных актов по информационной безопасности и документов, связанных с обработкой персональных данных.
- На этапе проектирования проведен сравнительный анализ вариантов состава системы защиты с учетом уже используемых средств защиты, open source‑решений и рисков применения отдельных продуктов.
- Определен порядок работы с персональными данными, включая вопросы администрирования ИСПДн.
Ключевой практический результат этого этапа — набор документов, который позволяет компании использовать существующие средства защиты уже сейчас и при этом планировать дальнейшие закупки и замену решений без хаоса и резких движений.
Что это дало клиенту
У клиента появился комплект документов и проектная база, которые снимают сразу несколько типов проблем.
Снижение регуляторных рисков
Когда юридические и технические документы описывают одну и ту же модель, компании проще подтверждать, что процессы обработки и защиты ПДн действительно выстроены, а не существуют в виде несвязанных фрагментов.
Ускорение внутренних согласований
После проекта появился более единый язык для ИБ и юристов. Это особенно заметно там, где раньше вопросы по ПДн и ИБ приходилось переводить между отделами.
Экономия времени и бюджета
Клиент получил экономию времени и денег за счет реалистичного подхода к средствам защиты. Проект не свелся к выводу, что все нужно менять. Напротив, он позволил сохранить и использовать то, что может работать в текущем контуре, и отдельно запланировать те закупки, которые действительно нужны.
Успешное прохождение внутренней проверки
Во вводных также был зафиксирован результат в виде успешного прохождения аудита. Клиент отдельно отметил комфортную коммуникацию с командой и готовность исполнителя идти навстречу, чтобы сделать документы, которые закрывают вопросы не только ИБ, но и юридической функции, синхронизируя работу двух контуров.
Почему этот кейс важен не только для одной компании
Этот проект хорошо разбивает сразу два распространенных мифа.
Миф 1. Серьезный проект по 152‑ФЗ всегда требует массовой замены инфраструктуры
Практика показывает, что это не так. Защищать можно и тем, что уже есть, включая open source, если риски корректно оценены, а решения встроены в понятный проектный контур.
Миф 2. Документы по ПДн и ИБ неизбежно живут отдельно от бизнеса
Этот кейс показывает обратное: если говорить одновременно на языке юристов и технических специалистов, можно выстроить документы как общий механизм, а не как источник постоянных споров.
Практический вывод
Если компания хочет действительно выстроить защиту персональных данных, важно не дробить задачу между отделами, а заранее собирать их в один контур. Тогда проект становится не историей про бумаги, а способом навести порядок, сохранить управляемость и не тратить лишнее на переделки и неочевидные закупки.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Материалы по теме