Аудит и модернизация системы защиты персональных данных в федеральной сети премиум-супермаркетов
Обновлено: 09.07.2026
О клиенте
Российская сеть супермаркетов премиум-сегмента, входящая в рейтинг 200 крупнейших частных компаний России по версии Forbes.
К моменту обращения в ITG Security клиент уже располагал выстроенной системой защиты персональных данных. Перед нашей командой были поставлены две ключевые цели:
- Провести независимую экспертную оценку эффективности действующих мер и процессов защиты ПДн.
- Актуализировать их с учётом новых требований регулятора — в частности, правил трансграничной передачи данных и обновлённого порядка их уничтожения.
Дополнительную актуальность задаче придавал закон об оборотных штрафах за утечки персональных данных, вступление в силу которого запланировано на 2025 год. Заказчик стремился заранее подготовиться к новым реалиям и минимизировать возможные риски.
Особенности и вызовы проекта
В ходе работ команда столкнулась с рядом нюансов, повлиявших на подход и логику выполнения задач:
- Обнаружение «теневых» процессов. В инфраструктуре заказчика был выявлен целый пласт ранее незадокументированных процессов обработки ПДн — часть из них не была известна даже ответственному сотруднику на стороне клиента. Как результат, количество ИСПДн и категорий обрабатываемых данных существенно расширилось по сравнению с изначальными оценками.
- Факт трансграничной передачи данных. В процессе аудита был выявлен и зафиксирован факт трансграничной передачи ПДн, требующий отдельной проработки.
- Полностью дистанционный формат интервью. Все опросы сотрудников проводились онлайн, а их количество значительно превысило первоначальный план из-за новых вводных.
- Жёсткие временные рамки. Расширение объёма работ не привело к переносу дедлайна — команда приняла решение уложиться в изначально согласованные сроки без снижения качества.
Этапы и хронология проекта
Общая длительность проекта составила 4 месяца. Работы велись по следующим этапам:
1. Аудит существующих мер и средств защиты ПДн — 5 недель
Проведено более 30 интервью с сотрудниками, вовлечёнными в критичные бизнес-процессы.
2. Актуализация модели угроз и модели нарушителя — 3 недели
С учётом выявленных ранее неизвестных процессов было принято решение параллельно разработать новые модели угроз и нарушителя, полностью соответствующие требованиям регулятора.
3. Разработка дорожной карты — 1 месяц
Составлен детальный план устранения выявленных несоответствий и внедрения рекомендаций по мерам защиты — с учётом ресурсов и специфики бизнеса заказчика. Основная цель — не формальное соответствие, а реальная безопасность данных.
4. Внедрение обновлённых процессов и средств защиты — 2,5 месяца
Реорганизованы процессы обработки ПДн, интегрированы средства защиты информации, реализованы меры по сокращению поверхности атаки и снижению рисков утечек.
5. Актуализация организационно-распорядительной документации — 1 месяц
Приведение внутренних регламентов и политик в полное соответствие с нормативными требованиями.
Достигнутые результаты
Совместная работа с заказчиком позволила добиться комплексных и измеримых результатов:
Сформирована собственная ИБ-команда и выстроены процессы информационной безопасности
Совместно с клиентом была собрана штатная команда специалистов по ИБ и запущены процессы, регламентируемые
ФЗ-152 и другими регуляторами:
- защита вычислительных сетей;
- контроль целостности и защищённости ИТ-инфраструктуры;
- защита от вредоносного кода;
- предотвращение утечек информации (DLP);
- управление инцидентами информационной безопасности;
- обеспечение защиты информации на всех этапах жизненного цикла ИС и приложений.
Благодаря этому компания получила возможность самостоятельно и безопасно поддерживать процессы обработки ПДн. Устранены каналы потенциальных утечек, о которых заказчик не подозревал до старта проекта. Отдельные процессы были переработаны с целью минимизации объёма собираемых данных — и, как следствие, снижения рисков.
Разработана частная модель угроз для всех ИСПДн клиента
Модель полностью соответствует «Методике оценки угроз безопасности информации» ФСТЭК России.
Достигнуто полное соответствие требованиям регуляторов, включая ФЗ-152
По итогам проекта заказчик успешно прошёл оценку эффективности мер по обеспечению безопасности персональных данных и направил соответствующее подтверждение в регулирующие органы.
Оптимизированы затраты на информационную безопасность
Сформированный набор рекомендаций позволил не только обеспечить реальную защищённость, но и сделать это с минимальными временными и финансовыми издержками. Итог — сокращение бюджета на ИБ при одновременном росте эффективности расходов.
Клиент достиг фактического и нормативного уровня безопасности заблаговременно — до вступления в силу оборотных штрафов за утечки персональных данных. Сегодня заказчик самостоятельно поддерживает все выстроенные процессы и системы в актуальном состоянии.