Крупная фармацевтическая компания (NDA)

Перед нами стояла задача провести комплексный аудит информационной безопасности и аудит регламентов обработки персональных данных в сжатые сроки.

КЛИЕНТ

Крупная фармацевтическая компания, ведущая комплексную деятельность в области разработки, производства и дистрибуции лекарственных препаратов и фармацевтической продукции. Бизнес-процессы компании предполагают обработку значительного массива персональных данных: сведений о пациентах в рамках клинических исследований, данных сотрудников, контрагентов, медицинских специалистов, а также данных потребителей. Часть бизнес-процессов организации связана с трансграничной передачей данных, что предъявляет особо высокие требования к юридической чистоте и технической защищённости информационных потоков.

ОТРАСЛЬ

Фармацевтика и здравоохранение. Это одна из наиболее регулируемых отраслей экономики, где требования к работе с персональными данными пересекаются с требованиями к работе с биометрической информацией, специальными категориями ПДн (данные о состоянии здоровья) и медицинской тайной. Любое нарушение режима обработки персональных данных в фарминдустрии способно повлечь не только финансовые санкции, но и потерю лицензий, репутационные потери, а также прямой ущерб субъектам персональных данных.

ЗАДАЧА

Перед нами стояла задача провести комплексный аудит информационной безопасности и аудит регламентов обработки персональных данных в сжатые сроки. Особое внимание необходимо было уделить анализу бизнес-процессов, предполагающих трансграничную передачу данных, поскольку именно этот сегмент является наиболее уязвимым с точки зрения регуляторных рисков. Заказчику требовалась не просто формальная документация «для галочки», а рабочий комплект организационно-распорядительных документов, отражающих реальные процессы обработки персональных данных в компании и способных выдержать проверку со стороны Роскомнадзора.

 Правильно выстроенная защита персональных данных — это не разовая задача, а непрерывный процесс, включающий актуализацию документов, обучение сотрудников и мониторинг изменений в законодательстве.

ПРОБЛЕМАТИКА

Ключевая проблематика проекта была обусловлена принципиальным изменением правового ландшафта: с 30 мая 2025 года вступали в силу поправки в Кодекс об административных правонарушениях, вводящие оборотные штрафы за утечки персональных данных. Размеры таких штрафов могут достигать сотен миллионов рублей, что для любой организации, включая крупных фармпроизводителей, является критичным финансовым риском.

На момент обращения у заказчика отсутствовала актуальная и непротиворечивая регламентация процессов обработки персональных данных, не были формализованы цели обработки, не были определены актуальные модели угроз для информационных систем персональных данных (ИСПДн), отсутствовали корректно оформленные акты определения уровня защищённости и акты оценки вреда субъектам ПДн. Неурегулированными оставались и вопросы трансграничной передачи данных, что в совокупности кратно повышало риск критических санкций со стороны регулятора.

РЕШЕНИЕ

В рамках проекта мы реализовали комплексный пакет работ.
  1. На первом этапе был проведён всесторонний анализ текущего состояния системы защиты персональных данных: инвентаризация информационных систем, обрабатывающих ПДн, анализ существующих процессов и используемых средств защиты, оценка соответствия требованиям 152-ФЗ «О персональных данных», постановления Правительства РФ № 1119, приказов ФСТЭК России и нормативных актов Роскомнадзора.
  2. На втором этапе для наиболее критичных ИСПДн были разработаны актуальные модели угроз безопасности информации с учётом современных тактик и техник нарушителей.
  3. На третьем этапе был сформирован полный комплект организационно- распорядительной документации.
  4. В части технических мер были реализованы основные меры защиты конфиденциальной информации: разграничение доступа к ИСПДн, шифрование передаваемых данных и регламентирование работы со съёмными носителями.
  5. Отдельным крупным блоком была проработана трансграничная передача данных: определены страны-получатели, сформированы уведомления и обоснования, подготовлен пакет документов для подачи в Роскомнадзор. 
  6. Все документы были интегрированы в существующую систему менеджмента компании.

РЕЗУЛЬТАТЫ

  1. В результате реализации проекта риски наложения штрафных санкций со стороны регулятора были минимизированы — компания подошла к 30 мая 2025 года с полностью актуальным комплектом документов.
  2. Были выявлены и систематизированы все актуальные цели обработки персональных данных в масштабах всей организации, что позволило руководству получить прозрачную картину работы с ПДн на уровне предприятия в целом.
  3. Сформировано и направлено уведомление в Роскомнадзор, корректно урегулирован вопрос трансграничной передачи данных, полностью регламентированы процессы обработки и защиты ПДн.
  4. Для лиц, принимающих решения, были закрыты сразу несколько критических болевых точек: исключён риск оборотных штрафов (которые могли составить до 3% от годовой выручки фармацевтической компании), снят риск приостановки обработки данных по предписанию регулятора, обеспечена готовность к проверкам Роскомнадзора, повышена прозрачность процессов для службы внутреннего аудита и комплаенс-подразделения.
Таким образом, проект наглядно демонстрирует, зачем нужна информационная безопасность в фармацевтике: не только для выполнения требований регулятора, но и для защиты репутации компании и доверия пациентов.

Решаем такие же задачи для вашей инфраструктуры

Обсудим проект, сроки и стоимость под вашу ситуацию.

Обсудить проект →

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва