PMNAV.RU: про людей, проекты и продукты

Контакты

Телефон
+7 (961) 430 430 2
Email
info@pmnav.ru
Адрес
г. Ростов-на-Дону

Проектирование системы защиты информационных ресурсов федеральной сети магазинов

Главная - Портфолио - Проектирование системы защиты информационных ресурсов федеральной сети магазинов

Защита федеральной сети магазинов

Работа с персональными данными требует высокого уровня защищенности ИТ-инфраструктуры. То и дело в новостях появляются сводки утечек данных в крупных компаниях, поэтому важно быть внимательными в этом вопросе. Заказчик — сеть магазинов, представленная по всей России. Необходимо было построить систему защиты персональных данных в соответствии с 152-ФЗ «О персональных данных».

divider

Исходные данные

Сеть магазинов, представленная по всей России. Возник вопрос в построении системы защиты персональных данных, так как при проверке было выявлено несоответствие требованиям федерального закона 152-ФЗ «О персональных данных».

Неисполнение требований законодательства ведет к наложению штрафов, а они в последних изменениях закона, высокие: для компаний варьируются от 3 тыс. до 18 млн. рублей. Кроме того ввели обязательное уведомление регулятора об инциденте с персональными данными, что тоже требует внедрения ряда технических решений в организации.

Что было сделано

Реализация проекта была разбита на 4 этапа:

1. Проведение комплексного обследования информационной системы персональных данных (ИСПДн).

2. Разработка требований по обеспечению безопасности персональных данных (ПДн).

3. Техническое проектирование системы защиты информации.

4. Разработка организационно-распорядительных документов (приказов, инструкций и т.д.).

Проведен анализ состава ИТ-инфраструктуры организации для исполнения законодательства в сфере персональных данных, информационные потоки, порядок работы и состав используемых персональных данных.

С коллегами подобрали необходимые средства защиты информации. В команду для реализации задачи привлекли сетевых и системных инженеров, проектировщиков.

ИТ-архитектура у сети изначально была проработана на высоком уровне. Осталось только предусмотреть следующие подсистемы защиты информации:

– межсетевого экранирования (уровня сети и уровня приложений);

– криптографической защиты информации (уровня сети и для АРМ удаленных пользователей);

– защиты от несанкционированного доступа;

– анализа защищенности;

– антивирусной защиты;

– защиты среды виртуализации;

– контроля конфиденциального траффика (DLP);

– управления событиями информационной безопасности (SIEM).

Результат

Получился «гибкий» проект. Его можно реализовывать поэтапно, избегая нагрузки на бюджет организации. Кроме решения основной задачи по защите персональных данных предусмотрены дополнительные меры защиты, чтобы сохранить все корпоративные ресурсы в безопасности.

У руководства теперь есть понимание как правильно работать с персональными данными, на уровне организационных документов утверждены необходимые меры, регулятору направлена вся необходимая по законодательству информация Развитие ИТ-инфраструктуры компании теперь строится в соответствии с разработанным проектом.