Целями проекта стали:

• Повышение уровня информационной безопасности за счет предоставления возможности использовать единую точку аутентификации для множества программных средств ЕАИС таможенных органов.
• Упорядочивание и упрощение процедур предоставления доступа к информационным ресурсам ЕАИС таможенных органов.
• Предотвращение возможности бесконтрольного распространения аутентификационной информации за счет интеграции учетной записи пользователей с доменной структурой единой службы каталогов ЕАИС таможенных органов и персональными средствами идентификации и аутентификации должностных лиц таможенных органов.
• Упорядочение и упрощение применения идентификационной информации и прав доступа к постоянно возрастающему числу прикладных систем.
• Повышение уровня информационной безопасности и ответственности пользователей за счет упорядочения и упрощения процедур предоставления доступа к информационным ресурсам.

Пилотный проект был реализован на территории Центрального, Северо-Западного и Дальневосточного таможенных управлений. Для реализации было выбрано решение Oracle eSSO. Реализация проекта заняла 14 месяцев, а количество пользователей, охваченных решением, составило более 20 000.

Проект имел поэтапную структуру реализации, в ходе его были выполнены следующие работы:

• Проведен анализ входящих в состав ЕАИС таможенных органов программных средств, развернутых в Центральном, Северо-Западном и Дальневосточном таможенных управлениях.
• Разработан проект интеграции всего комплекса целевых программных средств ЕАИС с единой службой аутентификации (ЕСА ЕАИС ТО).
• Выполнена настройка компонент ЕСА ЕАИС ТО и их адаптация к условиям объекта внедрения.
• Проведена интеграция ЕСА ЕАИС ТО в доменную структуру единой службы каталогов ЕАИС.
• Выполнена интеграция программных средств ЕАИС таможенных органов с ЕСА ЕАИС ТО.

Результатом выполнения проекта стал полнофункциональный программный комплекс, позволяющий обеспечить однократную аутентификацию пользователя для всех доступных ему целевых систем, используя различные способы подтверждения идентификационных данных – от ввода пароля до использования биометрии. При этом поддерживается упрощенное администрирование правами пользователей и их учетными данными во всех системах с использованием единой консоли управления. Идентификационная информация пользователей надежно хранятся в едином удостоверяющем центре с использованием средств шифрования, который интегрирован с единой службой каталогов, что позволяет вовремя и однократно отслеживать изменение статусов, прав и ролей пользователей.

Предпосылками внедрения стали высокие затраты на администрирование функций управления доступом разрозненных систем, а также низкая защищенность децентрализованного управления правами и пользователями:

• высокие затраты на сопровождение и развитие модулей администрирования прав доступа, уникальных для каждой отдельной автоматизированный системы
• многократное дублирование информации о пользователе в различных ресурсах автоматизированных систем и ЦБД ЕАИС
• сложность поддержания соответствия полномочий пользователя его текущему статусу в структуре ФТС (уволен, на испытательном сроке, принят на работу, переведен в другое управление и пр.)
• высокие затраты на проведение работ по выявлению соответствия учетных записей пользователей соответствующим сотрудникам

Устранение этих проблем и решение стоящих задач потребовали создания полнофункциональной системы централизованного управления учетными записями пользователей, их правами и ролями. На основании проведенной в соответствии с Федеральным законом №44-ФЗ процедуры закупки, исполнителем проекта стала «АСТ», предоставившая лучшее по квалификационным параметрам предложение.

Было выполнено обследование информационной инфраструктуры целевых систем заказчика, проектирование решения, поставка программных и аппаратных средств, внедрение. В рамках внедрения собраны из целевых систем и актуализированы учетные записи пользователей, создан единый репозиторий учетных записей, к которому подключены и интегрированы целевые системы, настроены политики сбора и распространения актуальных данных о пользователях с подключенных системах, произведена интеграция с LDAP-каталогами, настроен расширенный функционал доступа и пр. Срок выполнения проекта составил 15 месяцев.

Результатом выполнения проекта, по отзывам представителей заказчика, явилось повышение четкости исполнения рабочих процессов ФТС, от которых зависит функционирование очень многих механизмов государственного контроля и управления внешнеторговыми и смежными операциями. Среди функций и процедур есть такие, обработка которых проходит в десятках информационных систем, а ими занимаются десятки сотрудников в различных регионах страны, что раньше вызывало риски соблюдения времени и безошибочности при их проведении. Система централизованного управления пользователями – одна из ключевых компонент автоматизированной системы администрирования – позволяющих сегодня эти риски существенно сократить. И это не просто ведомственная задача, но и необходимый инструмент обеспечения функций государства.

На фоне сложившейся ситуации задача поддержки серверной инфраструктуры была вынесена на конкурс для передачи ее на аутсорсинг новому подрядчику. Основными требованиями стали обеспечение непрерывности работы аптек, складов и центрального офиса заказчика путем поддержки должного уровня работы ИТ-инфраструктуры, а также обеспечение ее плановой модернизации и развития без остановки функционирования систем. В рамках проведенной процедуры, подрядчиком была определена компания «АСТ», обладающая требуемой квалификацией и опытом, а также предложившая оптимальные условия и необходимый уровень сервиса.

В рамках выполнения проектных задач, на подготовительном этапе потребовалось:

• Провести работы по обследованию объектов заказчика, аудит, каталогизацию и классификацию оборудования.
• Настроить алгоритмы работы по обслуживанию площадки заказчика, включая логистику, для оптимизации времени реагирования и снижения затрат.
• Построить оптимальный график и методологии проведения плановых работ с учетом специфики загрузки оборудования.
• Разработать рекомендации по изменению в инфраструктуре.
• Привлечь профильных инженеров высокой квалификации.

В результате была организована «вторая линия поддержки», а на обслуживание принят серверный парк из 135 единиц оборудования в составе главного ЦОД компании «Ригла», включая пулы физических и виртуальных серверов.

Итоги тестового периода выполнения работ показали соответствие уровня предоставления услуг плановым показателям, а также достижение целого ряда результатов:

• Скорость выполнения запросов увеличилась в 2-3 раза
• Время простоя оборудования снизилось с 5-6% до не более 0,01%.

Защите подлежала инфраструктура из связанных ИТ-систем компании, в которых собираются, хранятся и обрабатываются персональные данные.

Работы по разработке и реализации проекта заняли 4 месяца и были выполнены в три этапа:

Проведение предварительного аудита ИТ-инфраструктуры и процессов, включая:

• Обследование бизнес-процессов обработки информации.
• Выявление и уточнение классов информационных систем персональных данных.
• Разработка модели угроз.

Проектирование СЗПДн, включая:

• Техническое проектирование системы.
• Разработку организационно-распорядительной документации.

Реализация СЗПДн, включая:

• Поставка всего комплекса необходимого оборудования и ПО
• Разработка, техническая реализация и внедрение решения СЗПДн в составе следующих подсистем:
   Подсистема защиты от НСД.
   Подсистема межсетевого экранирования и защиты каналов связи.
   Подсистема анализа защищенности.
• Пуско-наладка подсистем СЗПДн, ввод в опытную эксплуатацию.
• Сопровождение и корректировка настроек средств защиты в процессе опытной эксплуатации.
• Консультирование специалистов заказчика по работе с программными и программно-аппаратными средствами защиты.

В результате выполнения проекта полностью спроектирована и реализована комплексная система защиты информации, включая защиту персональных данных, обрабатываемых в системе платежей компании.

Внедрение позволило:

• Привести уровень защиты информации в информационных системах персональных данных в полное соответствие требованиям 152-ФЗ
• Повысить общий уровень ИБ компании

В ходе подготовки к реализации проекта и его запуска был выполнен комплекс работ, обеспечивший в полной мере установленные требований заказчика:

• Проведено обследование оборудования, выполнена классификация, каталогизация
• В рамках собственной службы service-desk создан дивизион, отвечающий за поддержку заказчика
• Организованы дежурства профильных инженеров для обеспечения круглосуточной готовности
• Создан резервный склад запасных частей
• По итогам проведенной подготовки, на полную поддержку была принята вся сетевая инфраструктура, включая маршрутизаторы, коммутаторы, межсетевые экраны и прочее оборудование в количестве 26 единиц.

По итогам первых 6 месяцев обслуживания, удалось достичь высокой результативности, включая:

• Сокращение затрат, связанных с осуществлением поддержки оборудования КСПД на 10%.
• Повышение уровня исполнения SLA с 90% до 100%.

Основными функциональными требованиями, предъявляемыми к внедрению, явились:

• Возможность использования уполномоченными должностными лицами единой точки удаленного доступа к прикладным и инфраструктурным системам ЕАИС.
• Обеспечение доступа как со стационарных рабочих мест, так и для мобильных пользователей, с единым уровнем обеспечения защиты и осуществления контроля за подключениями.
• Реализация принципов персональной ответственности уполномоченных лиц за счет применения механизмов гарантированной идентификации и аутентификации с осуществлением видеорегистрации сессий удаленных сеансов работы с инфраструктурными системами.
• Повышение уровня ИБ и ответственности пользователей за счет централизации, упорядочивания и обеспечение прозрачности процедур предоставления удаленного доступа к информационным ресурсам ЕАИС.
• Необходимость применения российских разработок в области ИБ, в т.ч. алгоритмов криптографической защиты, для обеспечения гарантий безопасности и импортонезависимости.

Для реализации проекта был выбран путь построения интегрированного решения в виде единого защищенного шлюза доступа с элементами системы управления привилегированными учетными записями (PIM) и реализацией защитных мер в области сетевой безопасности. В проекте применены флагманские продукты ведущих разработчиков в области ИБ , а также выполнена разработка собственного ПО для мобильных устройств, позволяющая использовать интернет-браузеры и почтовые клиенты под управлением операционных систем iOS и Android для доступа к ресурсам ЕАИС через единый защищенный шлюз.

Результатом внедрения стало обеспечение заинтересованных пользователей полноценным доступом ко всем необходимым ресурсам ЕАИС с гарантированно высокой степенью защищенности информации и контролем осуществления доступа, включая следующий функционал и возможности:

• Возможность предоставления административного доступа к элементам инфраструктуры ЕАИС без установки на них какого-либо агентского программного обеспечения.
• Поддержку отечественных криптографических алгоритмов для защиты каналов связи.
• Гарантированную идентификацию и аутентификацию пользователей и администраторов шлюза.
• «Бесшовную» интеграцию с используемой в настоящий момент службой каталогов.
• Осуществление контроля всех действий администраторов с записью информации о них в текстовом виде.
• Осуществление видео-захвата экрана администратора при работе с управляемым сервером.
• Осуществление автоматической смены логинов и паролей на управляемых серверах и приложениях с изменяемым промежутком времени.
• Предоставление настраиваемой отчетности по доступу к элементам инфраструктуры ЕАИС.