
Решение вопросов защищенности в связке с инфраструктурой, достижение оптимальных результатов, обеспечение широкой функциональности средств ИБ.
- Заказчик:ПАО «Ростелеком»
- Проект:Проектирование и внедрение системы защиты персональных данных для сайта
ПАО «Ростелеком» – одна из крупнейших в России и Европе телекоммуникационных компаний национального масштаба, присутствующая во всех сегментах рынка услуг связи. «Ростелеком» занимает лидирующее положение на российском рынке услуг ШПД и платного телевидения: количество абонентов услуг ШПД превышает 12 млн., а платного ТВ «Ростелекома» – более 9 млн. пользователей. «Ростелеком» является безусловным лидером рынка телеком-услуг для российских органов государственной власти и корпоративных пользователей всех уровней.
Макрорегиональный филиал «Северо-Запад» (МРФ «Северо-Запад») работает на территории Северо-Западного федерального округа, являющегося одним из наиболее развитых как в экономическом, так и в телекоммуникационном отношении федеральных округов России. МРФ «Северо-Запад» включает в себя 10 региональных филиалов и обслуживает более 3,5 млн. абонентов телефонии, свыше 1,5 млн. пользователей Интернет, более 280 тыс. абонентов IPTV и свыше 1,2 млн абонентов платного ТВ по прочим технологиям.
Для автоматизации обслуживания столь масштабной клиентской базы при осуществлении основной деятельности, МРФ «Северо-Запад» использует большое количество информационных систем (ИС), в том числе содержащих и обрабатывающих персональные данные (ПДн) клиентов. Весь ИТ-комплекс заказчика, при этом, имеет сложную гетерогенную структуру со множеством узлов, взаимодействующих информационных ресурсов и систем, а пользователи – сложное распределение ролей и прав в рамках своих функциональных обязанностей. Существующая ситуация потребовала разработки и реализации комплексного решения для защиты ПДн, включая как программные и технические средства, так и организационные меры.
В 2011 году в рамках программы развития ИТ-инфраструктуры МРФ «Северо-Запад» и совершенствования средств обеспечения информационной безопасности (ИБ), а также повышения уровня защищенности инфраструктурных и информационных систем от внешних и внутренних угроз, было принято решение о приведении уровня защиты ПДн в рамках целевых ИС в соответствие требованиям федерального закона № 152-ФЗ о защите персональных данных и нормативно-методической документации ФСТЭК России.
По результатам проведенного конкурса на проектирование и внедрение системы защиты ПДн, включая весь пул необходимых программно-технических средств, генеральным подрядчиком и исполнителем проекта была выбрана компания «АСТ», предложившая оптимальные условия и сроки внедрения, а, также, полностью подтвердив выполнение квалификационных требований конкурса.
Разработка и реализация проекта затронули не только сами целевые ИС, но и потребовали решения вопросов защищенности в связке с инфраструктурой, что позволило достичь оптимальных результатов и обеспечить широкую функциональность средств ИБ, гарантировав тем самым высокую защищенность.
В рамках проекта были выполнены следующие группы работ:
- Разработка и согласование со ФСТЭК и ФСБ России модели угроз и нарушителя, проекта системы защиты ПДн, организационно-распорядительной документации.
- Разработка и внедрение системы анализа защищенности для автоматизации процесса управления уязвимостями.
- Разработка и внедрение системы защиты баз данных и веб-приложений.
- Разработка и внедрение системы защиты каналов связи и защищенного удаленного доступа для партнеров Заказчика.
- Разработка и внедрение системы управления токенами для реализации надежной аутентификации и автоматизации жизненного цикла смарт-карт в масштабах Макрорегиона.
Предоставленные «АСТ» услуги включили в себя весь цикл проектных и внедренческих задач, таких как:
- Определение состава целевых ИС ПДн и элементов инфраструктуры.
- Проведение первичного обследования ИС и всех составляющих ИТ-инфраструктуры, состояния организационно-распорядительной документации, мер обеспечения безопасности ПДн.
- Определение текущего уровня соответствия требованиям федерального закона № 152-ФЗ в части защищенности ПДн.
- Разработка рекомендаций по повышению уровня соответствия требованиям федерального закона № 152-ФЗ в части защищенности ПДн.
- Разработка и согласование с регуляторами модели угроз и нарушителя.
- Разработка проекта и комплекса мер, этапов развития системы обеспечения информационной безопасности.
- Разработка каждой из внедряемых подсистем безопасности.
- Поставка всего комплекса требующихся программно-технических средств защиты.
- Внедрение и тестирование каждой из подсистем.
- Разработка связанной организационно-распорядительной документации.
- Проведение обучения администраторов.
По итогам проекта реализован комплекс необходимых организационно-технических мер обеспечения безопасности ПДн, повышения общей защищенности ИТ-инфраструктуры МРФ «Северо-Запад», что позволило:
Существенно повысить уровень ИБ по целому ряду направлений:
- Сетевая безопасность
- Защита каналов связи
- Многофакторная аутентификация
- Анализ защищенности
Создать возможность отслеживания и контроля инцидентов, в частности с персональными данными абонентов.
Реализовать первоочередные требования федерального закона № 152-ФЗ в части обеспечения защиты ПДн в целевых ИС.
Срок реализации проекта от разработки до запуска в эксплуатацию всего комплекса подсистем составил 2 года, работы в рамках проекта охватили более 10 тысяч сотрудников, распределенных по 10 территориальным подразделениям МРФ «Северо-Запад».
«Комплекс систем защиты персональных данных, который мы реализовали в Северо-Западном макрофилиале «Ростелекома» – очень сложный и технологически емкий проект. Сложный потому, что масштаб компании, управляемых ею абонентских сервисов, ее ИТ-инфраструктура, объемы транзакций и данных настолько велики, что любая реализация в такой структуре требует совершенно отдельного опыта вне зависимости от наличия компетенций. Емкий потому, что технологическая интеграция, реализованная в проекте – предмет очень глубокой проработки всех тонкостей среды, в которой работает решение. Мы с гордостью говорим об этом проекте, особенно учитывая положительные отзывы заказчика».
Цели проекта:
- Достижение соответствия требованиям 152-ФЗ
- Повышение общего состояния защищенности информационной инфраструктуры
Достигнутые результаты:
- Существенное повышение общей защищенности ИТ-инфраструктуры МРФ «Северо-Запад» за счет реализации комплекса необходимых организационно-технических мер обеспечения безопасности
- Повышение уровня ИБ по целому ряду направлений: сетевая безопасность, защита каналов связи, многофакторная аутентификация, анализ защищенности
- Реализованная система обеспечивает возможность отслеживания и контроля инцидентов, в частности с персональными данными абонентов
- Реализованы первоочередные требования федерального закона № 152-ФЗ в части обеспечения защиты ПДн в целевых ИС.
Для реализации данного проекта компанией «АСТ» были оказаны следующие услуги:
- Защита персональных данных (152-ФЗ)
- Защита периметра и сетевая безопасность
- Защита веб-сервисов и бизнес-приложений
- Внедрение системы управления токенами