Статьи

В нашей компании прошли учения "РосОборона-2013"

28.03.2013

/

Как известно, самый простой и эффективный способ измерить защищённость чего-либо – это испытать её в бою, пусть даже и учебном.

Сегодня я хотел бы рассказать вам о том, как в нашей организации были организованы и успешно проведены учения по информационной безопасности "РосОборона-2013".





Для чего это было нужно


Каждая ИТ компания должна периодически проводить внутренний аудит степени соответствия процессов обеспечения информационной безопасности требованиям законодательства в области персональных данных, внутренних документов организации, а также различных стандартов в области информационной безопасности, таких как Cobit, ГОСТ Р ИСО/МЭК 27001, СТО БР ИББС, PCI DSS и т.д.

Аудит персональных данных помогает своевременно выявить недостатки в обработке ПДн, отследить изменения и обновить документацию по обработке персональных данных, скорректировать план работ и ознакомить собственных сотрудников с изменениями в законодательстве.


Лучшая форма аудита – "проверка" Регулятора


Мы хотели провести максимально "близкую к реальности" проверку, и для этого мы пошли на беспрецедентный шаг - некоторым из нас пришлось на неделю стать Регулятором!

Мы разбились на 2 команды: проверяющие и защитники. Первые стали представителями Роскомнадзора, а вторые, стянув ряды, приготовились отражать атаки!


К нам идет Роскомнадзор


Имея большой опыт подготовки к проверкам Роскомнадзора, составить уведомление о проверке было просто.

Защитники сформировали комиссию по сопровождению проверки и приступили к сбору запрашиваемых документов.

Чтобы не дать защитникам расслабиться и спокойно готовить документы, нападающими предпринимались различные коварные шаги: в адрес нашей компании был направлен запрос от клиента удостоверяющего центра на доступ к своим персональным данным, на который защитникам нужно было подготовить ответ. Защитникам также предлагалось проверить на соответствие нормам законодательства в области персональных данных договор на аренду корпоративного спортзала, предполагающий передачу персональных данных сотрудников компании и т.д.

По результатам учений было собрано совещание, где были разобраны все недостатки и спорные вопросы, выработаны планы по совершенствованию системы обеспечения безопасности компании и вручены почетные награды "За оборону компании"!