dark-logo

Аудит и модернизация системы защиты персональных данных в федеральной сети премиум-супермаркетов

Обновлено: 09.07.2026

О клиенте

Российская сеть супермаркетов премиум-сегмента, входящая в рейтинг 200 крупнейших частных компаний России по версии Forbes.

Задачи

К моменту обращения в ITG Security клиент уже располагал выстроенной системой защиты персональных данных. Перед нашей командой были поставлены две ключевые цели:

  1. Провести независимую экспертную оценку эффективности действующих мер и процессов защиты ПДн.
  2. Актуализировать их с учётом новых требований регулятора — в частности, правил трансграничной передачи данных и обновлённого порядка их уничтожения.

Дополнительную актуальность задаче придавал закон об оборотных штрафах за утечки персональных данных, вступление в силу которого запланировано на 2025 год. Заказчик стремился заранее подготовиться к новым реалиям и минимизировать возможные риски.

Особенности и вызовы проекта

В ходе работ команда столкнулась с рядом нюансов, повлиявших на подход и логику выполнения задач:

  • Обнаружение «теневых» процессов. В инфраструктуре заказчика был выявлен целый пласт ранее незадокументированных процессов обработки ПДн — часть из них не была известна даже ответственному сотруднику на стороне клиента. Как результат, количество ИСПДн и категорий обрабатываемых данных существенно расширилось по сравнению с изначальными оценками.
  • Факт трансграничной передачи данных. В процессе аудита был выявлен и зафиксирован факт трансграничной передачи ПДн, требующий отдельной проработки.
  • Полностью дистанционный формат интервью. Все опросы сотрудников проводились онлайн, а их количество значительно превысило первоначальный план из-за новых вводных.
  • Жёсткие временные рамки. Расширение объёма работ не привело к переносу дедлайна — команда приняла решение уложиться в изначально согласованные сроки без снижения качества.

Этапы и хронология проекта

Общая длительность проекта составила 4 месяца. Работы велись по следующим этапам:

1. Аудит существующих мер и средств защиты ПДн — 5 недель

Проведено более 30 интервью с сотрудниками, вовлечёнными в критичные бизнес-процессы.

2. Актуализация модели угроз и модели нарушителя — 3 недели

С учётом выявленных ранее неизвестных процессов было принято решение параллельно разработать новые модели угроз и нарушителя, полностью соответствующие требованиям регулятора.

3. Разработка дорожной карты — 1 месяц

Составлен детальный план устранения выявленных несоответствий и внедрения рекомендаций по мерам защиты — с учётом ресурсов и специфики бизнеса заказчика. Основная цель — не формальное соответствие, а реальная безопасность данных.

4. Внедрение обновлённых процессов и средств защиты — 2,5 месяца

Реорганизованы процессы обработки ПДн, интегрированы средства защиты информации, реализованы меры по сокращению поверхности атаки и снижению рисков утечек.

5. Актуализация организационно-распорядительной документации — 1 месяц

Приведение внутренних регламентов и политик в полное соответствие с нормативными требованиями.

Достигнутые результаты

Совместная работа с заказчиком позволила добиться комплексных и измеримых результатов:

Сформирована собственная ИБ-команда и выстроены процессы информационной безопасности

Совместно с клиентом была собрана штатная команда специалистов по ИБ и запущены процессы, регламентируемые

 ФЗ-152 и другими регуляторами:

  • защита вычислительных сетей;
  • контроль целостности и защищённости ИТ-инфраструктуры;
  • защита от вредоносного кода;
  • предотвращение утечек информации (DLP);
  • управление инцидентами информационной безопасности;
  • обеспечение защиты информации на всех этапах жизненного цикла ИС и приложений.

Благодаря этому компания получила возможность самостоятельно и безопасно поддерживать процессы обработки ПДн. Устранены каналы потенциальных утечек, о которых заказчик не подозревал до старта проекта. Отдельные процессы были переработаны с целью минимизации объёма собираемых данных — и, как следствие, снижения рисков.

Разработана частная модель угроз для всех ИСПДн клиента

Модель полностью соответствует «Методике оценки угроз безопасности информации» ФСТЭК России.

Достигнуто полное соответствие требованиям регуляторов, включая ФЗ-152

По итогам проекта заказчик успешно прошёл оценку эффективности мер по обеспечению безопасности персональных данных и направил соответствующее подтверждение в регулирующие органы.

Оптимизированы затраты на информационную безопасность

Сформированный набор рекомендаций позволил не только обеспечить реальную защищённость, но и сделать это с минимальными временными и финансовыми издержками. Итог — сокращение бюджета на ИБ при одновременном росте эффективности расходов.

Клиент достиг фактического и нормативного уровня безопасности заблаговременно — до вступления в силу оборотных штрафов за утечки персональных данных. Сегодня заказчик самостоятельно поддерживает все выстроенные процессы и системы в актуальном состоянии.