Система защиты персональных данных для дочерних и зависимых обществ ООО «Газпром межрегионгаз»

Специалистами компании ООО «НПО ВС» была организована система защиты персональных данных в 9 дочерних и зависимых обществах ООО «Газпром межрегионгаз».

Предыстория проекта

С принятием Федерального закона от 27.07.06 г. № 152-ФЗ «О персональных данных» большинство российских организаций столкнулось с необходимостью применения комплекса мер и средств защиты персональных данных (ПДн).

Согласно Федеральному закону № 152-ФЗ «О персональных данных», любая организация, обрабатывающая данные своих сотрудников, клиентов, поставщиков или партнеров, является оператором персональных данных и обязана принимать необходимые организационные и технические меры для обеспечения их безопасности.

Построение системы защиты персональных данных — это сложный многоуровневый процесс, затрагивающий оптимизацию бизнес-процессов компании, внедрение технических средств защиты информации, а также эффективное организационное управление информационной безопасностью.

Поэтому РГК и ГРО не стали исключением и также решили озаботиться вопросом защиты своих данных.

Для удобной работы с населением обработка данных ведется в отделениях и участках во всех районных центрах России, которые обслуживают РГК и ГРО. Развитие систем обработки персональных данных и подключение новых районных центров складывалось исторически совместно с развитием газофикации в России, поэтому для большинства РГК и ГРО характерны следующие основные особенности:

  • территориальная распределенность отделений и участков;
  • большое количество локальных баз обработки ПДн;
  • во многих районах — отсутствие надежного канала связи до головного офиса;
  • отсутствие в удаленных отделениях и участках персонала для обслуживания средств защиты.

Выбор решения

При выборе подхода к реализации системы защиты персональных данных специалистами ООО «НПО ВС» были продуманы 2 варианта решения поставленной задачи:

  • защита систем обработки данных в их текущем состоянии со всеми характерными особенностями, указанными выше;
  • проведение оптимизации архитектуры и построение системы защиты систем персональных данных.

Первый вариант являлся более затратным как с финансовой стороны, так и с точки зрения дальнейшей эксплуатации системы защиты, поэтому для достижения поставленной цели специалистами ООО «НПО ВС» совместно с заказчиками было принято решение по оптимизации архитектуры систем обработки данных, которая заключалась в:

  • организации надежных каналов связи от удаленных отделений и участков;
  • консолидация базой данных с персональными данными в головном офисе;
  • организации защиты каналов связи между консолидированной базой данных в головном офисе и автоматизированными рабочими местами пользователей в отдаленных участках;
  • исключение процессов обработки ПДн на автоматизированные рабочие местах пользователей.

При этом работа велась совместно: специалисты ООО «НПО ВС» проектировали и реализовывали безопасную среду обработки персональных данных, а специалисты РГК и ГРО вели работу с местными провайдерами для выделения надежных каналов связи и консолидировали базы данных в головном офисе.

В ходе дальнейших работ по оптимизации системы защиты данных Заказчиков, командой ООО «НПО ВС» были предложены и реализованы технические решения от ведущих производителей программного обеспечения и средств защиты информации, в том числе средства межсетевого экранирования и система обнаружения вторжений Cisco, средства криптографической защиты каналов связи «С-Терра СиЭсПи», ферма терминальных серверов на базе сертифицированной ОС Microsoft Windows.

Внедрение

На первом этапе проекта специалистами компании ООО «НПО ВС» был осуществлен анализ существующих защитных мер и степень их соответствия требованиям нормативно-методических документов ФСТЭК и ФСБ России. По результатам данного анализа были сформированы проектные решения по приведению системы защиты ПДн в соответствие с требованиями нормативно-методических документов.

На втором этапе проекта — этапе непосредственного внедрения системы защиты данных — была проведена поставка средств защиты информации, пусконаладочные работы и внедрение организационных мер защиты. В заключении, специалистами ООО «НПО ВС» было проведено обучение сотрудников по информационной безопасности и аттестация информационных систем персональных данных на соответствие требованиям по безопасности.

В результате слаженных совместных действий и нацеленности на результат, среднее время реализации проекта от начала обследования до момента выдачи аттестата соответствия составило 2 — 2,5 года.

Преимущества

В результате внедрения систем защиты персональных данных компании получили несколько преимуществ:

  • значительная оптимизация затрат за счёт создания централизованного решения,
  • снижение стоимости обслуживания, как самой системы персональных данных, так и средств ее защиты,
  • модернизация корпоративной сети передачи данных между головным офисом и удаленными площадками.

Результат

В результате проведенных работ, система обеспечения безопасности РГК и ГРО ПДн соответствует требованиям законодательства РФ.

— Благодаря высокому уровню оказанных услуг, оперативности и ответственности специалистов ООО «НПО ВС», были спроектированы и реализованы оптимальные решения по защите данных, максимально учитывающие все особенности наших информационных систем. За счет применения данных решений была достигнута оптимизация затрат как на проведение самих работ, так и на последующие работы, связанные с эксплуатацией и обслуживанием систем персональных данных, — комментирует завершение проекта генеральный директор ООО «Газпром межрегионгаз Ульяновск» и ООО «Газпром газораспределение Ульяновск» Владимир Камеко.

— Специалисты ООО «НПО ВС» успешно реализовали все этапы от проектно-изыскательных работ до реализации СЗПДн и проведения аттестации по требованиям безопасности информации, с последующей выдачей документа «Аттестат соответствия». Хочется отметить высокое качество выполненных работ, своевременность и точность реализации технических решений, слаженное взаимодействие со специалистами ООО «Газпром межрегионгаз Ростов-на-Дону», — отметил заместитель генерального директора по корпоративной защите Александр Гаевец.

В период с 2010 по 2013 год были реализованы проекты в следующих РГК и ГРО:

  • ООО «Газпром межрегионгаз Казань»;
  • ООО «Газпром межрегионгаз Ульяновск»;
  • ООО «Газпром межрегионгаз Ростов-на-Дону»;
  • ООО «Газпром межрегионгаз Орел»;
  • ООО «Газпром межрегионгаз Воронеж»;
  • ООО «Газпром межрегионгаз Липецк»;
  • ООО «Газпром газораспределение Ульяновск»;
  • ООО «Газпром газораспределение Чебоксары»;
  • ООО «Газпром межрегионгаз Пятигорск»;

ООО «Газпром межрегионгаз»

Региональные газовые компании (РГК) и газораспределительные организации (ГРО) — дочерние и зависимые общества ООО «Газпром межрегионгаз». Основной вид деятельности — реализация газа всем категориям потребителей в 67 регионах Российской Федерации, обеспечение надежного и бесперебойного газоснабжения в соответствии с заключенными договорами и оперативное управление режимами газоснабжения.

В рамках реализации своей основной деятельности РГК и ГРО вынуждены вести абонентские базы, содержащие в себе информацию по населению в объеме субъекта РФ.