Обратный звонокРассчитать стоимость
ГлавнаяКлиенты и проектыПАО «Ростелеком»: Проектирование и внедрение системы защиты персональных данных для сайта

Проектирование и внедрение системы защиты персональных данных для сайта

  • Заказчик:ПАО «Ростелеком»
  • Проект:Проектирование и внедрение системы защиты персональных данных для сайта

    ПАО «Ростелеком» – одна из крупнейших в России и Европе телекоммуникационных компаний национального масштаба, присутствующая во всех сегментах рынка услуг связи. «Ростелеком» занимает лидирующее положение на российском рынке услуг ШПД и платного телевидения: количество абонентов услуг ШПД превышает 12 млн., а платного ТВ «Ростелекома» – более 9 млн. пользователей. «Ростелеком» является безусловным лидером рынка телеком-услуг для российских органов государственной власти и корпоративных пользователей всех уровней.

    Макрорегиональный филиал «Северо-Запад» (МРФ «Северо-Запад») работает на территории Северо-Западного федерального округа, являющегося одним из наиболее развитых как в экономическом, так и в телекоммуникационном отношении федеральных округов России. МРФ «Северо-Запад» включает в себя 10 региональных филиалов и обслуживает более 3,5 млн. абонентов телефонии, свыше 1,5 млн. пользователей Интернет, более 280 тыс. абонентов IPTV и свыше 1,2 млн абонентов платного ТВ по прочим технологиям.

    Для автоматизации обслуживания столь масштабной клиентской базы при осуществлении основной деятельности, МРФ «Северо-Запад» использует большое количество информационных систем (ИС), в том числе содержащих и обрабатывающих персональные данные (ПДн) клиентов. Весь ИТ-комплекс заказчика, при этом, имеет сложную гетерогенную структуру со множеством узлов, взаимодействующих информационных ресурсов и систем, а пользователи – сложное распределение ролей и прав в рамках своих функциональных обязанностей. Существующая ситуация потребовала разработки и реализации комплексного решения для защиты ПДн, включая как программные и технические средства, так и организационные меры.

    [Подробнее][Свернуть]

    В 2011 году в рамках программы развития ИТ-инфраструктуры МРФ «Северо-Запад» и совершенствования средств обеспечения информационной безопасности (ИБ), а также повышения уровня защищенности инфраструктурных и информационных систем от внешних и внутренних угроз, было принято решение о приведении уровня защиты ПДн в рамках целевых ИС в соответствие требованиям федерального закона № 152-ФЗ о защите персональных данных и нормативно-методической документации ФСТЭК России.

    По результатам проведенного конкурса на проектирование и внедрение системы защиты ПДн, включая весь пул необходимых программно-технических средств, генеральным подрядчиком и исполнителем проекта была выбрана компания «АСТ», предложившая оптимальные условия и сроки внедрения, а, также, полностью подтвердив выполнение квалификационных требований конкурса.

    Разработка и реализация проекта затронули не только сами целевые ИС, но и потребовали решения вопросов защищенности в связке с инфраструктурой, что позволило достичь оптимальных результатов и обеспечить широкую функциональность средств ИБ, гарантировав тем самым высокую защищенность.

    В рамках проекта были выполнены следующие группы работ:

    • Разработка и согласование со ФСТЭК и ФСБ России модели угроз и нарушителя, проекта системы защиты ПДн, организационно-распорядительной документации.
    • Разработка и внедрение системы анализа защищенности для автоматизации процесса управления уязвимостями.
    • Разработка и внедрение системы защиты баз данных и веб-приложений.
    • Разработка и внедрение системы защиты каналов связи и защищенного удаленного доступа для партнеров Заказчика.
    • Разработка и внедрение системы управления токенами  для реализации надежной аутентификации и автоматизации жизненного цикла смарт-карт в масштабах Макрорегиона.

    Предоставленные «АСТ» услуги включили в себя весь цикл проектных и внедренческих задач, таких как:

    • Определение состава целевых ИС ПДн и элементов инфраструктуры.
    • Проведение первичного обследования ИС и всех составляющих ИТ-инфраструктуры, состояния организационно-распорядительной документации, мер обеспечения безопасности ПДн.
    • Определение текущего уровня соответствия требованиям федерального закона № 152-ФЗ в части защищенности ПДн.
    • Разработка рекомендаций по повышению уровня соответствия требованиям федерального закона № 152-ФЗ в части защищенности ПДн.
    • Разработка и согласование с регуляторами модели угроз и нарушителя.
    • Разработка проекта и комплекса мер, этапов развития системы обеспечения информационной безопасности.
    • Разработка каждой из внедряемых подсистем безопасности.
    • Поставка всего комплекса требующихся программно-технических средств защиты.
    • Внедрение и тестирование каждой из подсистем.
    • Разработка связанной организационно-распорядительной документации.
    • Проведение обучения администраторов.

    По итогам проекта реализован комплекс необходимых организационно-технических мер обеспечения безопасности ПДн, повышения общей защищенности ИТ-инфраструктуры МРФ «Северо-Запад», что позволило:

    Существенно повысить уровень ИБ по целому ряду направлений:

    • Сетевая безопасность
    • Защита каналов связи
    • Многофакторная аутентификация
    • Анализ защищенности

    Создать возможность отслеживания и контроля инцидентов, в частности с персональными данными абонентов.

    Реализовать первоочередные требования федерального закона № 152-ФЗ в части обеспечения защиты ПДн в целевых ИС.

    Срок реализации проекта от разработки до запуска в эксплуатацию всего комплекса подсистем составил 2 года, работы в рамках проекта охватили более 10 тысяч сотрудников, распределенных по 10 территориальным подразделениям МРФ «Северо-Запад».

    Сергиенко ИннаРуководитель направления комплексного обеспечения информационной безопасности ЗАО "АСТ"

    «Комплекс систем защиты персональных данных, который мы реализовали в Северо-Западном макрофилиале «Ростелекома» – очень сложный и технологически емкий проект. Сложный потому, что масштаб компании, управляемых ею абонентских сервисов, ее ИТ-инфраструктура, объемы транзакций и данных настолько велики, что любая реализация в такой структуре требует совершенно отдельного опыта вне зависимости от наличия компетенций. Емкий потому, что технологическая интеграция, реализованная в проекте – предмет очень глубокой проработки всех тонкостей среды, в которой работает решение. Мы с гордостью говорим об этом проекте, особенно учитывая положительные отзывы заказчика».

    Цели проекта:

    1. Достижение соответствия требованиям 152-ФЗ
    2. Повышение общего состояния защищенности информационной инфраструктуры

    Достигнутые результаты:

    • Существенное повышение общей защищенности ИТ-инфраструктуры МРФ «Северо-Запад» за счет реализации комплекса необходимых организационно-технических мер обеспечения безопасности
    • Повышение уровня ИБ по целому ряду направлений: сетевая безопасность, защита каналов связи, многофакторная аутентификация, анализ защищенности
    • Реализованная система обеспечивает возможность отслеживания и контроля инцидентов, в частности с персональными данными абонентов
    • Реализованы первоочередные требования федерального закона № 152-ФЗ в части обеспечения защиты ПДн в целевых ИС.
    Решение:

    Для реализации данного проекта компанией «АСТ» были оказаны следующие услуги:

    Заказать расчет аналогичного проекта