Проектирование и внедрение системы защиты персональных данных для сайта

  • Заказчик:ПАО «Ростелеком»
  • Проект:Проектирование и внедрение системы защиты персональных данных для сайта

ПАО «Ростелеком» – одна из крупнейших в России и Европе телекоммуникационных компаний национального масштаба, присутствующая во всех сегментах рынка услуг связи. «Ростелеком» занимает лидирующее положение на российском рынке услуг ШПД и платного телевидения: количество абонентов услуг ШПД превышает 12 млн., а платного ТВ «Ростелекома» – более 9 млн. пользователей. «Ростелеком» является безусловным лидером рынка телеком-услуг для российских органов государственной власти и корпоративных пользователей всех уровней.

Макрорегиональный филиал «Северо-Запад» (МРФ «Северо-Запад») работает на территории Северо-Западного федерального округа, являющегося одним из наиболее развитых как в экономическом, так и в телекоммуникационном отношении федеральных округов России. МРФ «Северо-Запад» включает в себя 10 региональных филиалов и обслуживает более 3,5 млн. абонентов телефонии, свыше 1,5 млн. пользователей Интернет, более 280 тыс. абонентов IPTV и свыше 1,2 млн абонентов платного ТВ по прочим технологиям.

Для автоматизации обслуживания столь масштабной клиентской базы при осуществлении основной деятельности, МРФ «Северо-Запад» использует большое количество информационных систем (ИС), в том числе содержащих и обрабатывающих персональные данные (ПДн) клиентов. Весь ИТ-комплекс заказчика, при этом, имеет сложную гетерогенную структуру со множеством узлов, взаимодействующих информационных ресурсов и систем, а пользователи – сложное распределение ролей и прав в рамках своих функциональных обязанностей. Существующая ситуация потребовала разработки и реализации комплексного решения для защиты ПДн, включая как программные и технические средства, так и организационные меры.

[Подробнее][Свернуть]

В 2011 году в рамках программы развития ИТ-инфраструктуры МРФ «Северо-Запад» и совершенствования средств обеспечения информационной безопасности (ИБ), а также повышения уровня защищенности инфраструктурных и информационных систем от внешних и внутренних угроз, было принято решение о приведении уровня защиты ПДн в рамках целевых ИС в соответствие требованиям федерального закона № 152-ФЗ о защите персональных данных и нормативно-методической документации ФСТЭК России.

По результатам проведенного конкурса на проектирование и внедрение системы защиты ПДн, включая весь пул необходимых программно-технических средств, генеральным подрядчиком и исполнителем проекта была выбрана компания «АСТ», предложившая оптимальные условия и сроки внедрения, а, также, полностью подтвердив выполнение квалификационных требований конкурса.

Разработка и реализация проекта затронули не только сами целевые ИС, но и потребовали решения вопросов защищенности в связке с инфраструктурой, что позволило достичь оптимальных результатов и обеспечить широкую функциональность средств ИБ, гарантировав тем самым высокую защищенность.

В рамках проекта были выполнены следующие группы работ:

  • Разработка и согласование со ФСТЭК и ФСБ России модели угроз и нарушителя, проекта системы защиты ПДн, организационно-распорядительной документации.
  • Разработка и внедрение системы анализа защищенности для автоматизации процесса управления уязвимостями.
  • Разработка и внедрение системы защиты баз данных и веб-приложений.
  • Разработка и внедрение системы защиты каналов связи и защищенного удаленного доступа для партнеров Заказчика.
  • Разработка и внедрение системы управления токенами  для реализации надежной аутентификации и автоматизации жизненного цикла смарт-карт в масштабах Макрорегиона.

Предоставленные «АСТ» услуги включили в себя весь цикл проектных и внедренческих задач, таких как:

  • Определение состава целевых ИС ПДн и элементов инфраструктуры.
  • Проведение первичного обследования ИС и всех составляющих ИТ-инфраструктуры, состояния организационно-распорядительной документации, мер обеспечения безопасности ПДн.
  • Определение текущего уровня соответствия требованиям федерального закона № 152-ФЗ в части защищенности ПДн.
  • Разработка рекомендаций по повышению уровня соответствия требованиям федерального закона № 152-ФЗ в части защищенности ПДн.
  • Разработка и согласование с регуляторами модели угроз и нарушителя.
  • Разработка проекта и комплекса мер, этапов развития системы обеспечения информационной безопасности.
  • Разработка каждой из внедряемых подсистем безопасности.
  • Поставка всего комплекса требующихся программно-технических средств защиты.
  • Внедрение и тестирование каждой из подсистем.
  • Разработка связанной организационно-распорядительной документации.
  • Проведение обучения администраторов.

По итогам проекта реализован комплекс необходимых организационно-технических мер обеспечения безопасности ПДн, повышения общей защищенности ИТ-инфраструктуры МРФ «Северо-Запад», что позволило:

Существенно повысить уровень ИБ по целому ряду направлений:

  • Сетевая безопасность
  • Защита каналов связи
  • Многофакторная аутентификация
  • Анализ защищенности

Создать возможность отслеживания и контроля инцидентов, в частности с персональными данными абонентов.

Реализовать первоочередные требования федерального закона № 152-ФЗ в части обеспечения защиты ПДн в целевых ИС.

Срок реализации проекта от разработки до запуска в эксплуатацию всего комплекса подсистем составил 2 года, работы в рамках проекта охватили более 10 тысяч сотрудников, распределенных по 10 территориальным подразделениям МРФ «Северо-Запад».

Сергиенко ИннаРуководитель направления комплексного обеспечения информационной безопасности ЗАО "АСТ"

«Комплекс систем защиты персональных данных, который мы реализовали в Северо-Западном макрофилиале «Ростелекома» – очень сложный и технологически емкий проект. Сложный потому, что масштаб компании, управляемых ею абонентских сервисов, ее ИТ-инфраструктура, объемы транзакций и данных настолько велики, что любая реализация в такой структуре требует совершенно отдельного опыта вне зависимости от наличия компетенций. Емкий потому, что технологическая интеграция, реализованная в проекте – предмет очень глубокой проработки всех тонкостей среды, в которой работает решение. Мы с гордостью говорим об этом проекте, особенно учитывая положительные отзывы заказчика».

Цели проекта:

  1. Достижение соответствия требованиям 152-ФЗ
  2. Повышение общего состояния защищенности информационной инфраструктуры

Достигнутые результаты:

  • Существенное повышение общей защищенности ИТ-инфраструктуры МРФ «Северо-Запад» за счет реализации комплекса необходимых организационно-технических мер обеспечения безопасности
  • Повышение уровня ИБ по целому ряду направлений: сетевая безопасность, защита каналов связи, многофакторная аутентификация, анализ защищенности
  • Реализованная система обеспечивает возможность отслеживания и контроля инцидентов, в частности с персональными данными абонентов
  • Реализованы первоочередные требования федерального закона № 152-ФЗ в части обеспечения защиты ПДн в целевых ИС.
Решение:

Для реализации данного проекта компанией «АСТ» были оказаны следующие услуги:

Заказать расчет аналогичного проекта