Повышение уровня информационной безопасности
Федеральная таможенная служба (ФТС) России является органом исполнительной власти, осуществляющим функции по контролю и надзору в области таможенного дела, функции по проведению контроля в пунктах пропуска через государственную границу, функции по выявлению, предупреждению и пресечению преступлений и административных таможенных правонарушений, а также смежные функции валютного, санитарного и иного вида контроля. Функциональные подразделения и подведомственные органы ФТС России расположены на всей территории РФ.
Для реализации функциональных задач ведомства используется множество прикладных информационных систем. Потребность в унификации и объединении всей полноты данных привело к необходимости их консолидации в рамках единой автоматизированной информационной системы ФТС России (ЕАИС) на правах ресурсов. Однако, функционально многие из целевых систем на тот момент оставались не интегрированы. Доступ к ресурсам был организован разрознено, что требовало многократной авторизации пользователей в разных системах и не обеспечивало применения единых ролей и прав. Такое положение дел не обеспечивало должный уровень информационной безопасности из-за необходимости запоминания пользователями большого количества паролей, многократной трансляции ролей и прав в целевые системы и невозможности комплексно управлять доступом.
С целью повышения уровня информационной безопасности, дальнейшей интеграции систем, обеспечения унификации процесса доступа пользователей к ресурсам ЕАИС таможенных органов, ФТС России провела конкурс на выполнение работ по интеграции специализированных подсистем в доменную структуру единой службы каталогов ЕАИС. На основании проведенной в соответствии с Федеральным законом №44-ФЗ процедуры закупки, исполнителем проекта стала «АСТ», предоставившая лучшее по квалификационным параметрам предложение.
Целями проекта стали:
- Повышение уровня информационной безопасности за счет предоставления возможности использовать единую точку аутентификации для множества программных средств ЕАИС таможенных органов.
- Упорядочивание и упрощение процедур предоставления доступа к информационным ресурсам ЕАИС таможенных органов.
- Предотвращение возможности бесконтрольного распространения аутентификационной информации за счет интеграции учетной записи пользователей с доменной структурой единой службы каталогов ЕАИС таможенных органов и персональными средствами идентификации и аутентификации должностных лиц таможенных органов.
- Упорядочение и упрощение применения идентификационной информации и прав доступа к постоянно возрастающему числу прикладных систем.
- Повышение уровня информационной безопасности и ответственности пользователей за счет упорядочения и упрощения процедур предоставления доступа к информационным ресурсам.
Пилотный проект был реализован на территории Центрального, Северо-Западного и Дальневосточного таможенных управлений. Для реализации было выбрано решение Oracle eSSO. Реализация проекта заняла 14 месяцев, а количество пользователей, охваченных решением, составило более 20 000.
Проект имел поэтапную структуру реализации, в ходе его были выполнены следующие работы:
- Проведен анализ входящих в состав ЕАИС таможенных органов программных средств, развернутых в Центральном, Северо-Западном и Дальневосточном таможенных управлениях.
- Разработан проект интеграции всего комплекса целевых программных средств ЕАИС с единой службой аутентификации (ЕСА ЕАИС ТО).
- Выполнена настройка компонент ЕСА ЕАИС ТО и их адаптация к условиям объекта внедрения.
- Проведена интеграция ЕСА ЕАИС ТО в доменную структуру единой службы каталогов ЕАИС.
- Выполнена интеграция программных средств ЕАИС таможенных органов с ЕСА ЕАИС ТО.
Результатом выполнения проекта стал полнофункциональный программный комплекс, позволяющий обеспечить однократную аутентификацию пользователя для всех доступных ему целевых систем, используя различные способы подтверждения идентификационных данных – от ввода пароля до использования биометрии. При этом поддерживается упрощенное администрирование правами пользователей и их учетными данными во всех системах с использованием единой консоли управления. Идентификационная информация пользователей надежно хранятся в едином удостоверяющем центре с использованием средств шифрования, который интегрирован с единой службой каталогов, что позволяет вовремя и однократно отслеживать изменение статусов, прав и ролей пользователей.
Обследование информационной инфраструктуры целевых систем, проектирование решения, поставка программных и аппаратных средств, внедрение
Федеральная таможенная служба (ФТС) России является органом исполнительной власти, осуществляющим функции по контролю и надзору в области таможенного дела, функции по проведению контроля в пунктах пропуска через государственную границу, функции по выявлению, предупреждению и пресечению преступлений и административных таможенных правонарушений, а также смежные функции валютного, санитарного и иного вида контроля. Функциональные подразделения и подведомственные органы ФТС России расположены на всей территории РФ.
Для различных функциональных задач в рамках единой автоматизированной информационной системы ФТС России (ЕАИС) действует множество информационных подсистем. Большинство из них исторически развивались самобытно, а данные из них позже были унифицированы, структурированы и объединены для хранения и обработки в единой центральной базе данных (ЦБД). Такое решение позволило оптимизировать информационные потоки, повысить функциональность информационной инфраструктуры и доступность и безопасность данных, параллельно упростив администрирование всего комплекса ИС.
Одной из важнейших задач в рамках централизации управления информационными ресурсами ФТС России явилась разработка и внедрение системы управления учетными записями и доступом (IDM).
Предпосылками внедрения стали высокие затраты на администрирование функций управления доступом разрозненных систем, а также низкая защищенность децентрализованного управления правами и пользователями:
- высокие затраты на сопровождение и развитие модулей администрирования прав доступа, уникальных для каждой отдельной автоматизированный системы
- многократное дублирование информации о пользователе в различных ресурсах автоматизированных систем и ЦБД ЕАИС
- сложность поддержания соответствия полномочий пользователя его текущему статусу в структуре ФТС (уволен, на испытательном сроке, принят на работу, переведен в другое управление и пр.)
- высокие затраты на проведение работ по выявлению соответствия учетных записей пользователей соответствующим сотрудникам
Устранение этих проблем и решение стоящих задач потребовали создания полнофункциональной системы централизованного управления учетными записями пользователей, их правами и ролями. На основании проведенной в соответствии с Федеральным законом №44-ФЗ процедуры закупки, исполнителем проекта стала «АСТ», предоставившая лучшее по квалификационным параметрам предложение.
Было выполнено обследование информационной инфраструктуры целевых систем заказчика, проектирование решения, поставка программных и аппаратных средств, внедрение. В рамках внедрения собраны из целевых систем и актуализированы учетные записи пользователей, создан единый репозиторий учетных записей, к которому подключены и интегрированы целевые системы, настроены политики сбора и распространения актуальных данных о пользователях с подключенных системах, произведена интеграция с LDAP-каталогами, настроен расширенный функционал доступа и пр. Срок выполнения проекта составил 15 месяцев.
Результатом выполнения проекта, по отзывам представителей заказчика, явилось повышение четкости исполнения рабочих процессов ФТС, от которых зависит функционирование очень многих механизмов государственного контроля и управления внешнеторговыми и смежными операциями. Среди функций и процедур есть такие, обработка которых проходит в десятках информационных систем, а ими занимаются десятки сотрудников в различных регионах страны, что раньше вызывало риски соблюдения времени и безошибочности при их проведении. Система централизованного управления пользователями – одна из ключевых компонент автоматизированной системы администрирования – позволяющих сегодня эти риски существенно сократить. И это не просто ведомственная задача, но и необходимый инструмент обеспечения функций государства.
Техническая поддержка серверной инфраструктуры
«Ригла» — самая большая национальная аптечная сеть, на протяжении уже более 3 лет занимает первое место по объему продаж лекарственных препаратов, входит в состав крупнейшего российского фармацевтического холдинга «Протек». На сегодня сеть насчитывает 1650 аптек в 47 регионах страны. Под управлением «Ригла» находится 13 различных аптечных брендов, среди которых «Ригла», «Аптеки 03», «Будь здоров» и другие.
В структуре сети имеются небольшие аптечные пункты, большие аптеки самообслуживания, фармацевтические склады и региональные офисы, бизнес-процессы которых обеспечиваются множеством различных функциональных информационных систем. Геораспределенность сети, работа в разных часовых поясах и объем транзакций таковы, что обслуживающая эти решения ИТ-инфраструктура фактически круглосуточно работает с высокой нагрузкой и требует обеспечения непрерывности функционирования и поддержки высокого уровня отказоустойчивости.
Основные серверные мощности «Ригла», обслуживающие транзакции всей сети, сосредоточены в главном ЦОД в городе Москве. До конца 2015 года сопровождение серверной инфраструктуры ЦОД осуществлялось аутсорсинговой компанией, которая оказалась не способна обеспечить растущие потребности бизнеса и удовлетворить технологические требования и нормативы по скорости реагирования на инциденты и показателям простоя, в полной мере реализовать планы технического развития.
На фоне сложившейся ситуации задача поддержки серверной инфраструктуры была вынесена на конкурс для передачи ее на аутсорсинг новому подрядчику. Основными требованиями стали обеспечение непрерывности работы аптек, складов и центрального офиса заказчика путем поддержки должного уровня работы ИТ-инфраструктуры, а также обеспечение ее плановой модернизации и развития без остановки функционирования систем. В рамках проведенной процедуры, подрядчиком была определена компания «АСТ», обладающая требуемой квалификацией и опытом, а также предложившая оптимальные условия и необходимый уровень сервиса.
В рамках выполнения проектных задач, на подготовительном этапе потребовалось:
- Провести работы по обследованию объектов заказчика, аудит, каталогизацию и классификацию оборудования.
- Настроить алгоритмы работы по обслуживанию площадки заказчика, включая логистику, для оптимизации времени реагирования и снижения затрат.
- Построить оптимальный график и методологии проведения плановых работ с учетом специфики загрузки оборудования.
- Разработать рекомендации по изменению в инфраструктуре.
- Привлечь профильных инженеров высокой квалификации.
В результате была организована «вторая линия поддержки», а на обслуживание принят серверный парк из 135 единиц оборудования в составе главного ЦОД компании «Ригла», включая пулы физических и виртуальных серверов.
Итоги тестового периода выполнения работ показали соответствие уровня предоставления услуг плановым показателям, а также достижение целого ряда результатов:
- Скорость выполнения запросов увеличилась в 2-3 раза
- Время простоя оборудования снизилось с 5-6% до не более 0,01%.
А3: Проектирование системы защиты персональных данных в соответствии с требованиями законодательства РФ
«Система А3» – удобный современный сервис, позволяющий совершать широкий спектр регулярных и разовых платежей онлайн в любое время и в любом месте. «Система А3» сотрудничает с более чем 300 предприятиями жилищно-коммунального сектора, крупными операторами связи, интернет- и ТВ-провайдерами, государственными учреждениями, ведущими российскими банками и платежными системами. Сервис был запущен в 2011 году и принадлежит одноименной компании, которая создана в 2010 году.
При осуществлении целевого обслуживания клиентов, приеме платежей и проведении платежных операций, для выполнения функций, а также, в соответствии с требованиями Банка России и законодательства РФ, требуется идентификация плательщиков, а соответственно, сбор и обработка их персональных данных. Это потребовало от «Системы А3» выполнения обязательных мер по обеспечению защиты информации на уровне платежной системы и ее компонент, что предусматривается и регулируется Федеральным законом №152-ФЗ о персональных данных.
С целью проектирования и реализации системы защиты персональных данных (СЗПДн) «Система А3» провела конкурс, по результатам которого победителем и подрядчиком на выполнения всего комплекса работ была определена компания «АСТ», предложившая лучшие условия и сроки выполнения проекта.
Защите подлежала инфраструктура из связанных ИТ-систем компании, в которых собираются, хранятся и обрабатываются персональные данные.
Работы по разработке и реализации проекта заняли 4 месяца и были выполнены в три этапа:
Проведение предварительного аудита ИТ-инфраструктуры и процессов, включая:
- Обследование бизнес-процессов обработки информации.
- Выявление и уточнение классов информационных систем персональных данных.
- Разработка модели угроз.
Проектирование СЗПДн, включая:
- Техническое проектирование системы.
- Разработку организационно-распорядительной документации.
Реализация СЗПДн, включая:
- Поставка всего комплекса необходимого оборудования и ПО
- Разработка, техническая реализация и внедрение решения СЗПДн в составе следующих подсистем:
Подсистема защиты от НСД.
Подсистема межсетевого экранирования и защиты каналов связи.
Подсистема анализа защищенности. - Пуско-наладка подсистем СЗПДн, ввод в опытную эксплуатацию.
- Сопровождение и корректировка настроек средств защиты в процессе опытной эксплуатации.
- Консультирование специалистов заказчика по работе с программными и программно-аппаратными средствами защиты.
В результате выполнения проекта полностью спроектирована и реализована комплексная система защиты информации, включая защиту персональных данных, обрабатываемых в системе платежей компании.
Внедрение позволило:
- Привести уровень защиты информации в информационных системах персональных данных в полное соответствие требованиям 152-ФЗ
- Повысить общий уровень ИБ компании
Обеспечение непрерывности функционирования КСПД и распределённых сетевых сервисов банка путем организации службы круглосуточной поддержки
АО «Тойота Банк» – российский банк с иностранным капиталом, учредителем которого является немецкий Toyota Kreditbank GmbH, входящий в структуру Toyota Financial Services Corporation (Япония). Специализация банка – программы розничного автокредитования и корпоративного кредитования при покупке автомобилей у официальных дилеров Toyota и Lexus. Toyota первой из международных автопроизводителей открыла свой банк в России, что произошло в 2007 году.
Информационные системы и сервисы банка функционируют на базе собственной ИТ-инфраструктуры, в которую входит как серверные, так и сетевые компоненты, связывающие все офисы обслуживания, включая центральный офис. Требования по надежности, бесперебойности и защищенности ИТ-систем банка продиктованы высокими установленными стандартами обслуживания клиентов, а также потребностью обеспечения непрерывности функционирования ключевых бизнес-процессов «Тойота Банк».
С целью поддержки работоспособности корпоративной сети передачи данных (КСПД) на уровне, соответствующем международным стандартам, которые обязательны к выполнению всеми входящими в структуру Toyota Financial Services Corporation организациями, а также действующему законодательству РФ, предъявляющему особые требования к информационным системам персональных данных (152-ФЗ), информационным системам перевода денежных средств в структуре национальной платежной системы (382-П) и банковским информационным системам (СТО БР ИББС), «Тойота Банк» провел конкурс на осуществление технической поддержки оборудования КСПД. Победителем и генеральным подрядчиком выполнения работ стала «АСТ», предоставив наиболее выгодное и обоснованное предложение.
Основной задачей проекта стало обеспечение непрерывности функционирования КСПД и распределённых сетевых сервисов банка путем организации службы круглосуточной поддержки, включающей консультационные услуги, решение инцидентов, ремонт и замену оборудования с гарантией выполнения высоких требований по скорости реагирования в соответствии с SLA.
В ходе подготовки к реализации проекта и его запуска был выполнен комплекс работ, обеспечивший в полной мере установленные требований заказчика:
- Проведено обследование оборудования, выполнена классификация, каталогизация
- В рамках собственной службы service-desk создан дивизион, отвечающий за поддержку заказчика
- Организованы дежурства профильных инженеров для обеспечения круглосуточной готовности
- Создан резервный склад запасных частей
- По итогам проведенной подготовки, на полную поддержку была принята вся сетевая инфраструктура, включая маршрутизаторы, коммутаторы, межсетевые экраны и прочее оборудование в количестве 26 единиц.
По итогам первых 6 месяцев обслуживания, удалось достичь высокой результативности, включая:
- Сокращение затрат, связанных с осуществлением поддержки оборудования КСПД на 10%.
- Повышение уровня исполнения SLA с 90% до 100%.
Реализация защитных мер в области сетевой безопасности
Федеральная таможенная служба (ФТС) России является органом исполнительной власти, осуществляющим функции по контролю и надзору в области таможенного дела, функции по проведению контроля в пунктах пропуска через государственную границу, функции по выявлению, предупреждению и пресечению преступлений и административных таможенных правонарушений, а также смежные функции валютного, санитарного и иного вида контроля. Функциональные подразделения и подведомственные органы ФТС России расположены на всей территории РФ.
Основной информационной системой ведомства, в рамках которой выполняется все множество функциональных задач как в центральном аппарате ФТС, так и в территориальных органах, является Единая автоматизированная информационная система ФТС России (ЕАИС). Специфика работы ряда структур ведомства, управляющего аппарата и смежных служб потребовали обеспечения внешнего доступа уполномоченных пользователей и администраторов к ресурсам прикладных и инфраструктурных систем ЕАИС ТО с выполнением всех необходимых требований по обеспечению мер информационной безопасности (ИБ) и требований по защите информации в ГИС.
С целью реализации данного функционала ФТС России провела конкурс на разработку и внедрение решения, обеспечивающего как функциональность предоставления доступа к целевым ресурсам уполномоченным пользователям, так и гарантирующего высокую степень защищенности ИС при его предоставлении. По результатам конкурса исполнителем проекта была выбрана «АСТ» на основании сравнения конкурентных предложений. Компания предложила наилучшие технико-экономические условия выполнения контракта, имея, кроме этого, существенный опыт разработки и внедрения различных подсистем и служб ИБ для ЕАИС ФТС России.
Основными функциональными требованиями, предъявляемыми к внедрению, явились:
- Возможность использования уполномоченными должностными лицами единой точки удаленного доступа к прикладным и инфраструктурным системам ЕАИС.
- Обеспечение доступа как со стационарных рабочих мест, так и для мобильных пользователей, с единым уровнем обеспечения защиты и осуществления контроля за подключениями.
- Реализация принципов персональной ответственности уполномоченных лиц за счет применения механизмов гарантированной идентификации и аутентификации с осуществлением видеорегистрации сессий удаленных сеансов работы с инфраструктурными системами.
- Повышение уровня ИБ и ответственности пользователей за счет централизации, упорядочивания и обеспечение прозрачности процедур предоставления удаленного доступа к информационным ресурсам ЕАИС.
- Необходимость применения российских разработок в области ИБ, в т.ч. алгоритмов криптографической защиты, для обеспечения гарантий безопасности и импортонезависимости.
Для реализации проекта был выбран путь построения интегрированного решения в виде единого защищенного шлюза доступа с элементами системы управления привилегированными учетными записями (PIM) и реализацией защитных мер в области сетевой безопасности. В проекте применены флагманские продукты ведущих разработчиков в области ИБ , а также выполнена разработка собственного ПО для мобильных устройств, позволяющая использовать интернет-браузеры и почтовые клиенты под управлением операционных систем iOS и Android для доступа к ресурсам ЕАИС через единый защищенный шлюз.
Результатом внедрения стало обеспечение заинтересованных пользователей полноценным доступом ко всем необходимым ресурсам ЕАИС с гарантированно высокой степенью защищенности информации и контролем осуществления доступа, включая следующий функционал и возможности:
- Возможность предоставления административного доступа к элементам инфраструктуры ЕАИС без установки на них какого-либо агентского программного обеспечения.
- Поддержку отечественных криптографических алгоритмов для защиты каналов связи.
- Гарантированную идентификацию и аутентификацию пользователей и администраторов шлюза.
- «Бесшовную» интеграцию с используемой в настоящий момент службой каталогов.
- Осуществление контроля всех действий администраторов с записью информации о них в текстовом виде.
- Осуществление видео-захвата экрана администратора при работе с управляемым сервером.
- Осуществление автоматической смены логинов и паролей на управляемых серверах и приложениях с изменяемым промежутком времени.
- Предоставление настраиваемой отчетности по доступу к элементам инфраструктуры ЕАИС.