Снизили регуляторные риски, не останавливая бизнес-процессы корпорации в сфере ритейла и финансов
Обновлено: 19.02.2026
Мы провели оценку соответствия требованиям к защите КИИ и персональных данных, показали компании полную картину угроз и подготовили к проверкам регуляторов.
О клиенте
Многоотраслевая корпорация с активами в сфере ритейла и финансового сектора.
Семь юридических лиц, 10 000+ сотрудников, общая IT-инфраструктура.
Задача
Оценка соответствия требованиям регуляторов и лучших практик информационной безопасности.
Результат
Компания увидела реальную картину рисков и план действий без «бумажного» соответствия.
Сроки
30 дней
Услуга ITG Security
Оценка соответствия 152-ФЗ (ПДн) и 187-ФЗ (КИИ)
Проблема
Существовали риски массовых утечек, оборотных штрафов и отзыва лицензий, так как процессы ИБ были сконцентрированы на одном сотруднике. Категорирование объектов КИИ не проводилось. Персональные данные миллионов клиентов обрабатывались в общей инфраструктуре нескольких юридических лиц.
Используемые средства защиты информации
| СЗИ | Назначение |
| DLP (Data Loss Prevention) | Контроль утечек персональных данных, обрабатываемых несколькими юридическими лицами в общей инфраструктуре без разделения |
| Антивирус на всех хостах | Защита ИТ-активов от вредоносного программного обеспечения |
| Lansweeper | Инвентаризация ИТ-активов инфраструктуры корпорации — выявление устройств, ПО и сетевых узлов |
| AD (Active Directory) | Управление учётными записями и разграничение доступа сотрудников к корпоративным ресурсам |
| Резервное копирование | Обеспечение восстановления данных и непрерывности бизнес-процессов |
Что выявил аудит
Документация была некорректной или отсутствовала
- Политика обработки ПДн существовала, но не соответствовала требованиям 152-ФЗ
- Согласия субъектов ПДн оформлялись не в требуемой письменной форме, часто давались “бессрочно”
- Отсутствовали модели угроз и акт классификации ИСПДн, а также акты и регламенты уничтожения ПДн
Процессы ИБ не были регламентированы
- В договорах с третьими лицами на обработку ПДн отсутствовали обязательные условия по безопасности, перечню действий и конфиденциальности
- Не были сформированы матрицы доступа к персональным данным и не велся учет машинных носителей
- Планы мероприятий по защите ПДн отсутствовали или существовали только на бумаге без механизмов исполнения и контроля.
Контроль и мониторинг эффективности мер защиты не осуществлялись
- Правила внутреннего контроля не определяли порядок оценки вреда субъектам ПДн при инциденте
- Оценка эффективности внедряемых средств защиты информации не проводилась до ввода в эксплуатацию
- Система внутреннего аудита и контроля фактически не функционировала
- Инвентаризировали процессы и потоки обработки данных
- Выявили и приоритизировали регуляторные риски
- Подготовили основу для успешного прохождения проверок.
- Подготовили дорожную карту, отчеты с рекомендациями и пакеты документации для обеспечения соответствия требованиям безопасности КИИ и 152-ФЗ.
Результат
Компания получила реальные обоснования необходимости инвестиций в информационную безопасность. Мы выявили реальные риски и способы компрометации, а также помогли разделить и сегментировать потоки данных, связанных с обработкой персональных данных. Компания получила прочный фундамент для системного выстраивания процессов по защите ПДн и других защищаемых данных.
