Технический проект для компании LMS-Service (ООО «М-Компани»)

LMS-Service (ООО «М-Компани») — одна из лидирующих компаний на рынке внедрения LMS систем на базе Moodle, которая уже 12 лет занимается внедрением систем дистанционного обучения. Клиентами LMS-Service являются крупные компании, ВУЗы, учебные центры и другие.

Для компании мы помогли соответствовать статусу оператора персональных данных при взаимодействии с крупным банком.

25/12/23

Б-152

Технический проект для компании LMS-Service

LMS-Service (ООО «М-Компани») — одна из лидирующих компаний на рынке внедрения LMS систем на базе Moodle, которая уже 12 лет занимается внедрением систем дистанционного обучения.

Клиентами LMS-Service являются крупные компании, ВУЗы, учебные центры и другие.

В середине 2022 года команде LMS-Service поступило предложение от крупного банка разработать систему дистанционного обучения.

LMS-Service в таком случае стал обработчиком ПДн, так как в системе обучения указываются ФИО и другие личные данные. Для предотвращения утечек служба банка предъявила разработчику требования по созданию защиты ПДн своих работников.

Команде LMS-Service трудно было решить вопросы в сфере privacy самостоятельно, к тому же сроки были сжатыми, поэтому они приняли решение воспользоваться консалтинговыми услугами. Обратились именно к нам, потому что до этого взаимодействовали с компанией «Б-152» при покупке сервиса по выгрузке готовых документов на соответствие 152-ФЗ.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Перед нами стояла задача обеспечить надлежащий уровень защиты ПДн сотрудников банка. Для этого мы разработали и внедрили систему защиты и пакет документов для компании LMS-Service, учитывая все требования заказчика.

Процесс обследования мы начали с интервью и сбора всех необходимых материалов по информационной системе персональных данных.

В связи с повышенным уровнем опасности киберугроз в банковской сфере, мы уделили особое внимание работе по моделированию угроз ИБ. Эксперты «Б-152» описали ИС (объект защиты), затем определили возможные ущербы при реализации актуальных угроз безопасности и сформировали их перечень актуальных угроз.

Определили состав мер защиты в соответствии с требованиями законодательства РФ по защите ПДн и выявили необходимы меры защиты для нейтрализации актуальных угроз.

На данном этапе мы создали архитектуру и состав системы защиты ПДн. Образовательная система LMS-Service располагалась в Яндекс облаке, поэтому выбор средств защиты был существенно ограничен. Но мы задействовали встроенные механизмы защиты Яндекс Облака и дали рекомендации по их настройке и корректному использованию.

Далее мы предложили заказчику несколько вариантов системы защиты, среди которых он выбрал наиболее подходящую для него и соответствующую требованиям банка.

Разработали нетипичный комплект документов, который описывает порядок выстраивания защиты ПДн на организационном и техническом уровне. Затем мы защитили это пакет перед представителями банка.

В комплект документации входит:

• Парольная политика
• Регламент управления доступом
• Регламент защиты событий безопасности
• Инструкция по организации сетевой безопасности
• Порядок расследования инцидентов и т. д.
• План самоконтроля

Согласовали с банком и внедрили систему защиты, которая смогла обеспечить надлежащий уровень защиты и соответствовала всем требованиям регуляторов.

Также мы включили в программу и методику испытаний проверки по нейтрализации выявленных угроз. Наш партнер при внедрении провел анализ и подтвердил, что данные угрозы нейтрализованы выбранными средствами защиты.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Эксперты «Б-152» осуществили полный цикл работ при проектировании системы защиты LMS-Service (ООО «М-Компани») за полгода и достигли следующих результатов:

1. Выполнили техническое задание в полном соответствии с ГОСТ 34 серии
2. Определили перечень мер защиты, обеспечивающий требуемый уровень защищенности и нейтрализации актуальных угроз
3. Провели оценку эффективности с последующей выдачей акта оценки эффективности принимаемых мер
4. Минимизировали риск утечки баз данных клиента с персональными данными
5. Дали рекомендации к применяемым средствам защиты с учетом уже имеющихся у заказчика решений
6. Разработали документацию, которую защитили перед представителями Банка

Таким образом, мы были с клиентом от разработки до внедрения систем защиты, оказывая поддержку на каждом из этапов. Итогом работы стал успешный ввод СЗ, с которой удобно работать и которая учитывает все требования заказчика и банка.

Обратитесь к нашей команде экспертов по информационной безопасности — они помогут минимизировать риск утечки баз данных клиентов с персональными данными и выявить потенциальные угрозы.

Предварительный аудит ваших объектов персональных данных сделаем уже на первой бесплатной консультации.

Хотите защитить данные клиентов и соответствовать всем требованиям регулятора?

Очень понравилось взаимодействовать с проектной командой «Б-152», эксперты отвечали на все вопросы и были на нашей (М-Компани) стороне. Документов было хоть и много, но коллеги сделали все возможное, чтобы с ними было комфортно работать. В частности, подготовили план, в котором указали периодичность выполнения тех или иных мероприятий.

Благодаря совместной работе с «Б-152» мы успешно прошли всю экспертизу Банка в части информационной безопасности, получили конечный документ — акт оценки эффективности принимаемых мер, который доказывает, что все требования 152-ФЗ выполнены.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме