Технический проект для компании LMS-Service (ООО «М-Компани»)

13.01.2023
LMS-Service (ООО «М-Компани») — одна из лидирующих компаний на рынке внедрения LMS систем на базе Moodle, которая уже 12 лет занимается внедрением систем дистанционного обучения. Клиентами LMS-Service являются крупные компании, ВУЗы, учебные центры и другие.

Для компании мы помогли соответствовать статусу оператора персональных данных при взаимодействии с крупным банком.
25/12/23
Б-152
Технический проект для компании LMS-Service
О компании
LMS-Service (ООО «М-Компани») — одна из лидирующих компаний на рынке внедрения LMS систем на базе Moodle, которая уже 12 лет занимается внедрением систем дистанционного обучения.

Клиентами LMS-Service являются крупные компании, ВУЗы, учебные центры и другие.
В середине 2022 года команде LMS-Service поступило предложение от крупного банка разработать систему дистанционного обучения.

LMS-Service в таком случае стал обработчиком ПДн, так как в системе обучения указываются ФИО и другие личные данные. Для предотвращения утечек служба банка предъявила разработчику требования по созданию защиты ПДн своих работников.

Команде LMS-Service трудно было решить вопросы в сфере privacy самостоятельно, к тому же сроки были сжатыми, поэтому они приняли решение воспользоваться консалтинговыми услугами. Обратились именно к нам, потому что до этого взаимодействовали с компанией «Б-152» при покупке сервиса по выгрузке готовых документов на соответствие 152-ФЗ.
Входящий запрос
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Перед нами стояла задача обеспечить надлежащий уровень защиты ПДн сотрудников банка. Для этого мы разработали и внедрили систему защиты и пакет документов для компании LMS-Service, учитывая все требования заказчика.
Этапы работы
Интервью
Процесс обследования мы начали с интервью и сбора всех необходимых материалов по информационной системе персональных данных.
Моделирование угроз
В связи с повышенным уровнем опасности киберугроз в банковской сфере, мы уделили особое внимание работе по моделированию угроз ИБ. Эксперты «Б-152» описали ИС (объект защиты), затем определили возможные ущербы при реализации актуальных угроз безопасности и сформировали их перечень актуальных угроз.
Разработка технического задания
Определили состав мер защиты в соответствии с требованиями законодательства РФ по защите ПДн и выявили необходимы меры защиты для нейтрализации актуальных угроз.
Проектирование системы защиты персональных данных
На данном этапе мы создали архитектуру и состав системы защиты ПДн. Образовательная система LMS-Service располагалась в Яндекс облаке, поэтому выбор средств защиты был существенно ограничен. Но мы задействовали встроенные механизмы защиты Яндекс Облака и дали рекомендации по их настройке и корректному использованию.

Далее мы предложили заказчику несколько вариантов системы защиты, среди которых он выбрал наиболее подходящую для него и соответствующую требованиям банка.
Разработка документации
Разработали нетипичный комплект документов, который описывает порядок выстраивания защиты ПДн на организационном и техническом уровне. Затем мы защитили это пакет перед представителями банка.

В комплект документации входит:

  • Парольная политика
  • Регламент управления доступом
  • Регламент защиты событий безопасности
  • Инструкция по организации сетевой безопасности
  • Порядок расследования инцидентов и т. д.
  • План самоконтроля
Внедрение средств защиты и оценка эффективности мер безопасности
Согласовали с банком и внедрили систему защиты, которая смогла обеспечить надлежащий уровень защиты и соответствовала всем требованиям регуляторов.

Также мы включили в программу и методику испытаний проверки по нейтрализации выявленных угроз. Наш партнер при внедрении провел анализ и подтвердил, что данные угрозы нейтрализованы выбранными средствами защиты.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Результаты
Эксперты «Б-152» осуществили полный цикл работ при проектировании системы защиты LMS-Service (ООО «М-Компани») за полгода и достигли следующих результатов:

  1. Выполнили техническое задание в полном соответствии с ГОСТ 34 серии
  2. Определили перечень мер защиты, обеспечивающий требуемый уровень защищенности и нейтрализации актуальных угроз
  3. Провели оценку эффективности с последующей выдачей акта оценки эффективности принимаемых мер
  4. Минимизировали риск утечки баз данных клиента с персональными данными
  5. Дали рекомендации к применяемым средствам защиты с учетом уже имеющихся у заказчика решений
  6. Разработали документацию, которую защитили перед представителями Банка
Таким образом, мы были с клиентом от разработки до внедрения систем защиты, оказывая поддержку на каждом из этапов. Итогом работы стал успешный ввод СЗ, с которой удобно работать и которая учитывает все требования заказчика и банка.
Обратитесь к нашей команде экспертов по информационной безопасности — они помогут минимизировать риск утечки баз данных клиентов с персональными данными и выявить потенциальные угрозы.

Предварительный аудит ваших объектов персональных данных сделаем уже на первой бесплатной консультации.
Хотите защитить данные клиентов и соответствовать всем требованиям регулятора?
Очень понравилось взаимодействовать с проектной командой «Б-152», эксперты отвечали на все вопросы и были на нашей (М-Компани) стороне. Документов было хоть и много, но коллеги сделали все возможное, чтобы с ними было комфортно работать. В частности, подготовили план, в котором указали периодичность выполнения тех или иных мероприятий.

Благодаря совместной работе с «Б-152» мы успешно прошли всю экспертизу Банка в части информационной безопасности, получили конечный документ — акт оценки эффективности принимаемых мер, который доказывает, что все требования 152-ФЗ выполнены.
Отзыв о работе с нами
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме