Реализация комплексной системы защиты информации, включая данные, обрабатываемые в системе платежей компании.
- Заказчик:А3
- Проект:Проектирование системы защиты персональных данных в соответствии с требованиями законодательства РФ
«Система А3» – удобный современный сервис, позволяющий совершать широкий спектр регулярных и разовых платежей онлайн в любое время и в любом месте. «Система А3» сотрудничает с более чем 300 предприятиями жилищно-коммунального сектора, крупными операторами связи, интернет- и ТВ-провайдерами, государственными учреждениями, ведущими российскими банками и платежными системами. Сервис был запущен в 2011 году и принадлежит одноименной компании, которая создана в 2010 году.
При осуществлении целевого обслуживания клиентов, приеме платежей и проведении платежных операций, для выполнения функций, а также, в соответствии с требованиями Банка России и законодательства РФ, требуется идентификация плательщиков, а соответственно, сбор и обработка их персональных данных. Это потребовало от «Системы А3» выполнения обязательных мер по обеспечению защиты информации на уровне платежной системы и ее компонент, что предусматривается и регулируется Федеральным законом №152-ФЗ о персональных данных.
С целью проектирования и реализации системы защиты персональных данных (СЗПДн) «Система А3» провела конкурс, по результатам которого победителем и подрядчиком на выполнения всего комплекса работ была определена компания «АСТ», предложившая лучшие условия и сроки выполнения проекта.
Защите подлежала инфраструктура из связанных ИТ-систем компании, в которых собираются, хранятся и обрабатываются персональные данные.
Работы по разработке и реализации проекта заняли 4 месяца и были выполнены в три этапа:
Проведение предварительного аудита ИТ-инфраструктуры и процессов, включая:
- Обследование бизнес-процессов обработки информации.
- Выявление и уточнение классов информационных систем персональных данных.
- Разработка модели угроз.
Проектирование СЗПДн, включая:
- Техническое проектирование системы.
- Разработку организационно-распорядительной документации.
Реализация СЗПДн, включая:
- Поставка всего комплекса необходимого оборудования и ПО
- Разработка, техническая реализация и внедрение решения СЗПДн в составе следующих подсистем:
Подсистема защиты от НСД.
Подсистема межсетевого экранирования и защиты каналов связи.
Подсистема анализа защищенности. - Пуско-наладка подсистем СЗПДн, ввод в опытную эксплуатацию.
- Сопровождение и корректировка настроек средств защиты в процессе опытной эксплуатации.
- Консультирование специалистов заказчика по работе с программными и программно-аппаратными средствами защиты.
В результате выполнения проекта полностью спроектирована и реализована комплексная система защиты информации, включая защиту персональных данных, обрабатываемых в системе платежей компании.
Внедрение позволило:
- Привести уровень защиты информации в информационных системах персональных данных в полное соответствие требованиям 152-ФЗ
- Повысить общий уровень ИБ компании
«Внедрение комплексной СЗПДн для платежного сервиса «Система А3» явилось обширным комплексным проектом, в котором потребовалось решение множества задач, связанных с целыми разделами ИБ – защитой веб-сервисов, сетевой безопасностью, защитой от несанкционированного доступа, ИБ-аналитикой и целым рядом других решений. Обеспечение ИБ и, в том числе, защита персональных данных, в таких инфраструктурах всегда показательный проект, позволяющий оценить весь спектр экспертиз и возможностей интегратора».
Цели проекта:
- Выполнение обязательных мер по обеспечению защиты информации на уровне платежной системы и ее компонент
- Приведение порядка обработки персональных данных в соответствие требованиям законодательства Российской Федерации о персональных данных
Результаты проекта:
- Спроектирована и реализована комплексная система защиты информации, включая защиту персональных данных, обрабатываемых в системе платежей компании
- СЗПДн приведена в полное соответствие требованиям 152-ФЗ
- Повышения общего уровня ИБ
Для реализации данного проекта компанией «АСТ» были оказаны следующие услуги: