Дано: Производитель медицинских препаратов
Регион: Центральный регион РФ
Справка:
Научно-производственная компания – один из лидеров российского фармацевтического рынка.
Компания оснащена собственными сертифицированными лабораториями полного цикла от создания формулы препарата до начала промышленного выпуска.
Ситуация до обращения:
У заказчика появилась потребность опубликовать форму обратной связи, с помощью которой пациенты могли бы сообщать о нежелательных явлениях. Потребовалось решение для защиты персональных данных пользователей сайта в соответствии с требованиями российского законодательства. Для реализации такого решения заказчик искал исполнителя, обладающего лицензиями на подобные виды работ:
-
Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации;
-
Лицензия ФСБ РФ на оказание услуг в области шифрования информации и технического обслуживания шифровальных (криптографических) средств.
Кроме этого, для заказчика была крайне важна оперативная и комплексная техническая поддержка хостинга, которая взяла бы на себя все задачи, связанные с развёртыванием и администрированием ОС, ПО, СЗИ, а также с переносом сайта на новую платформу.
Поскольку CorpSoft24 отвечает всем перечисленным требованиям, заказчик обратился к нам.
Решение
Наши специалисты предложили клиенту комплексную услугу «Облако 152-ФЗ», которая включает в себя 3 модуля:
-
Вычислительные ресурсы, предоставляемые по модели IaaS на базе защищённого дата-центра, аттестованного на соответствие требованиям безопасности информации, предъявляемым к информационным системам персональных данных при обеспечении первого уровня защищенности (УЗ-1);
-
Услуги по технической защите конфиденциальной информации, включающие: предоставление, установку, настройку и техническую поддержку средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (СЗИ, сертифицированные ФСТЭК России);
-
Разработка комплекта документации, включающего: модель угроз, локальные нормативные акты, организационно-распорядительную документацию, техническое задание на создание СЗПДн (система защиты персональных данных).
В соответствии с требованиями Федерального закона от 27.07.2006 г. N 152-ФЗ «О персональных данных» с заказчиком был заключен договор, содержащий:
-
поручение на обработку персональных данных;
-
требования к защите персональных данных;
-
перечень организационных и технических мер безопасности;
-
разграничение зон ответственности Заказчика и Исполнителя;
-
спецификация СЗИ (средств защиты информации).
В ходе обследования информационной системы персональных данных заказчика было установлено, что для данной ИС требуется третий уровень защищённости (УЗ-3) в соответствии с Постановлением Правительства от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» .
В соответствии с требованиями законодательства (Приказ ФСТЭК России от 18 февраля 2013 г. №21) специалистами техподдержки CorpSoft24 был реализован ряд технических мер, включающий предоставление, установку, настройку и техническую поддержку следующих СЗИ:
-
Средство защиты информации от несанкционированного доступа для ОС Linux Secret Net LSP;
-
Средство антивирусной защиты Kaspersky Endpoint Security;
-
Средство контроля и анализа защищенности – сканер уязвимостей XSpider.
А для выполнения требований Приказа ФСБ России от 10.07.2014 г. №378 была предложена услуга ГОСТ-VPN, включающая:
-
Организацию и поддержку защищённой сети на базе СКЗИ ViPNet;
-
Криптошлюз узла защищённой сети на базе ПАК ViPNet Coordinator;
-
Подключение АРМ к защищённой сети с использованием ПО ViPNet Client.
Результат
Силами нашей технической поддержки были развёрнуты виртуальные машины для заказчика, установили и настроили системное и прикладное ПО.
С помощью установки, настройки и последующего сопровождения СЗИ реализовали комплекс технических мер по защите персональных данных.
При содействии наших специалистов заказчик оперативно перенёс свой сайт на защищённый хостинг.
Разработали комплект документов, необходимых для реализации комплекса организационных мер.
Совместно со специалистами заказчика провели мероприятия по оценке эффективности принимаемых мер безопасности в соответствии с утверждённой программой и методикой испытаний. По результатам мероприятий сформирован комплект необходимых документов:
-
протокол приёмочных испытаний;
-
акт оценки эффективности;
-
акт о вводе системы в эксплуатацию.