Защита персональных данных

  • Заказчик:Либерти Страхование
  • Проект:Защита персональных данных

«Либерти Страхование» – современная страховая компания, использующая в работе новейшие технологии и лучшие международные практики в сфере управления процессами. Компания входит в одну из крупнейших в мире глобальных страховых групп Liberty Mutual, работающую с 1912 года. Сегодня группа управляет активами в размере 121,7 млрд. долларов США, имеет более 900 офисов и 50 тыс. сотрудников.

В России компания имеет разветвленную структуру и представлена в нескольких федеральных округах и регионах, филиальная сеть «Либерти Страхование» насчитывает 9 представительств и 24 офиса, а обслуживание клиентов осуществляется, в том числе несколькими сотнями агентов, работающими в режиме выезда. Во всех точках присутствия сотрудники компании используют централизованные информационные ресурсы для выполнения своих функциональных задач, в которых содержится информация ограниченного доступа, включая персональные данные клиентов, что предъявляет особые требования к уровню защищенности данных, в том числе при осуществлении удаленного доступа.

Для обеспечения должного уровня ИБ и выполнения требований федерального законодательства в области защиты персональных данных, «Либерти Страхование» провела конкурс на осуществление проекта по реализации средств защиты информации в соответствии с требованиями 152-ФЗ и последующего сопровождения системы защиты персональных данных (СЗПДн). По результатам конкурса исполнителем проекта стала «АСТ», предложив оптимальное обоснованное решение.

Проект был выполнен в рекордные 2 месяца и охватил 10 представительств компании, включая центральный офис, основной ЦОД и более 650 АРМ.

[Подробнее][Свернуть]

Выполнение работ производилось поэтапно, включая следующие задачи:

• Обследование ИТ-инфраструктуры, разработка модели угроз
• Проектирование СЗПДн, позволяющей реализовать требования 152-ФЗ, включая подбор технических решений и проработку архитектуры решения
• Поставка программно-аппаратных средств и внедрение СЗПДн, в т.ч.:

  • средства защиты от несанкционированного доступа
  • средства криптографической защиты (шифрование дисков рабочих станций)
  • средства защиты каналов связи
  • средства межсетевого экранирования и обнаружения вторжений

При реализации проекта было разработано и применено несколько нестандартных подходов, которые позволили обеспечить надежность защиты информации при выполнении функциональных требований заказчика по осуществлению удаленного доступа к корпоративной ИС. Для такого сценария была проработана модель угроз и поставлены средства, позволяющие организовать удаленному пользователю (включая мобильный доступ) защищенный канал до ЦОД. При этом выполняется целый комплекс всесторонних мер защиты таких пользователей, включая надежную аутентификацию при осуществлении доступа, криптографическую защиту передаваемой в канале информации, а само используемое устройство защищается от потери или кражи.

Инна СергиенкоРуководитель направления комплексного обеспечения информационной безопасности компании «АСТ»

«В этом проекте мы реализовали сложное решение, обеспечивающее соответствующий требованиям 152-ФЗ уровень обеспечения ИБ при осуществлении доступа с мобильных устройств через публичные каналы связи. Это потребовало применения целого комплекса систем и их интеграции в единое решение. Мы заслуженно гордимся этим, ведь на момент выполнения проекта таких решений в России было всего несколько, включая наше».

Цели проекта:

  1. Обеспечение должного уровня ИБ и выполнение требований федерального законодательства в области защиты персональных данных (152-ФЗ)

Достигнутые результаты:

  • При реализации проекта было разработано и применено несколько нестандартных подходов, которые позволили обеспечить надежность защиты информации при выполнении функциональных требований заказчика по осуществлению удаленного доступа к корпоративной ИС.
  • Была проработана модель угроз и поставлены средства, позволяющие организовать удаленному пользователю (включая мобильный доступ) защищенный канал до ЦОД. При этом выполняется целый комплекс всесторонних мер защиты таких пользователей, включая надежную аутентификацию при осуществлении доступа, криптографическую защиту передаваемой в канале информации, а само используемое устройство защищается от потери или кражи.
Решение: