Повышение уровня информационной безопасности
Федеральная таможенная служба (ФТС) России является органом исполнительной власти, осуществляющим функции по контролю и надзору в области таможенного дела, функции по проведению контроля в пунктах пропуска через государственную границу, функции по выявлению, предупреждению и пресечению преступлений и административных таможенных правонарушений, а также смежные функции валютного, санитарного и иного вида контроля. Функциональные подразделения и подведомственные органы ФТС России расположены на всей территории РФ.
Для реализации функциональных задач ведомства используется множество прикладных информационных систем. Потребность в унификации и объединении всей полноты данных привело к необходимости их консолидации в рамках единой автоматизированной информационной системы ФТС России (ЕАИС) на правах ресурсов. Однако, функционально многие из целевых систем на тот момент оставались не интегрированы. Доступ к ресурсам был организован разрознено, что требовало многократной авторизации пользователей в разных системах и не обеспечивало применения единых ролей и прав. Такое положение дел не обеспечивало должный уровень информационной безопасности из-за необходимости запоминания пользователями большого количества паролей, многократной трансляции ролей и прав в целевые системы и невозможности комплексно управлять доступом.
С целью повышения уровня информационной безопасности, дальнейшей интеграции систем, обеспечения унификации процесса доступа пользователей к ресурсам ЕАИС таможенных органов, ФТС России провела конкурс на выполнение работ по интеграции специализированных подсистем в доменную структуру единой службы каталогов ЕАИС. На основании проведенной в соответствии с Федеральным законом №44-ФЗ процедуры закупки, исполнителем проекта стала «АСТ», предоставившая лучшее по квалификационным параметрам предложение.
Целями проекта стали:
- Повышение уровня информационной безопасности за счет предоставления возможности использовать единую точку аутентификации для множества программных средств ЕАИС таможенных органов.
- Упорядочивание и упрощение процедур предоставления доступа к информационным ресурсам ЕАИС таможенных органов.
- Предотвращение возможности бесконтрольного распространения аутентификационной информации за счет интеграции учетной записи пользователей с доменной структурой единой службы каталогов ЕАИС таможенных органов и персональными средствами идентификации и аутентификации должностных лиц таможенных органов.
- Упорядочение и упрощение применения идентификационной информации и прав доступа к постоянно возрастающему числу прикладных систем.
- Повышение уровня информационной безопасности и ответственности пользователей за счет упорядочения и упрощения процедур предоставления доступа к информационным ресурсам.
Пилотный проект был реализован на территории Центрального, Северо-Западного и Дальневосточного таможенных управлений. Для реализации было выбрано решение Oracle eSSO. Реализация проекта заняла 14 месяцев, а количество пользователей, охваченных решением, составило более 20 000.
Проект имел поэтапную структуру реализации, в ходе его были выполнены следующие работы:
- Проведен анализ входящих в состав ЕАИС таможенных органов программных средств, развернутых в Центральном, Северо-Западном и Дальневосточном таможенных управлениях.
- Разработан проект интеграции всего комплекса целевых программных средств ЕАИС с единой службой аутентификации (ЕСА ЕАИС ТО).
- Выполнена настройка компонент ЕСА ЕАИС ТО и их адаптация к условиям объекта внедрения.
- Проведена интеграция ЕСА ЕАИС ТО в доменную структуру единой службы каталогов ЕАИС.
- Выполнена интеграция программных средств ЕАИС таможенных органов с ЕСА ЕАИС ТО.
Результатом выполнения проекта стал полнофункциональный программный комплекс, позволяющий обеспечить однократную аутентификацию пользователя для всех доступных ему целевых систем, используя различные способы подтверждения идентификационных данных – от ввода пароля до использования биометрии. При этом поддерживается упрощенное администрирование правами пользователей и их учетными данными во всех системах с использованием единой консоли управления. Идентификационная информация пользователей надежно хранятся в едином удостоверяющем центре с использованием средств шифрования, который интегрирован с единой службой каталогов, что позволяет вовремя и однократно отслеживать изменение статусов, прав и ролей пользователей.
Обследование информационной инфраструктуры целевых систем, проектирование решения, поставка программных и аппаратных средств, внедрение
Федеральная таможенная служба (ФТС) России является органом исполнительной власти, осуществляющим функции по контролю и надзору в области таможенного дела, функции по проведению контроля в пунктах пропуска через государственную границу, функции по выявлению, предупреждению и пресечению преступлений и административных таможенных правонарушений, а также смежные функции валютного, санитарного и иного вида контроля. Функциональные подразделения и подведомственные органы ФТС России расположены на всей территории РФ.
Для различных функциональных задач в рамках единой автоматизированной информационной системы ФТС России (ЕАИС) действует множество информационных подсистем. Большинство из них исторически развивались самобытно, а данные из них позже были унифицированы, структурированы и объединены для хранения и обработки в единой центральной базе данных (ЦБД). Такое решение позволило оптимизировать информационные потоки, повысить функциональность информационной инфраструктуры и доступность и безопасность данных, параллельно упростив администрирование всего комплекса ИС.
Одной из важнейших задач в рамках централизации управления информационными ресурсами ФТС России явилась разработка и внедрение системы управления учетными записями и доступом (IDM).
Предпосылками внедрения стали высокие затраты на администрирование функций управления доступом разрозненных систем, а также низкая защищенность децентрализованного управления правами и пользователями:
- высокие затраты на сопровождение и развитие модулей администрирования прав доступа, уникальных для каждой отдельной автоматизированный системы
- многократное дублирование информации о пользователе в различных ресурсах автоматизированных систем и ЦБД ЕАИС
- сложность поддержания соответствия полномочий пользователя его текущему статусу в структуре ФТС (уволен, на испытательном сроке, принят на работу, переведен в другое управление и пр.)
- высокие затраты на проведение работ по выявлению соответствия учетных записей пользователей соответствующим сотрудникам
Устранение этих проблем и решение стоящих задач потребовали создания полнофункциональной системы централизованного управления учетными записями пользователей, их правами и ролями. На основании проведенной в соответствии с Федеральным законом №44-ФЗ процедуры закупки, исполнителем проекта стала «АСТ», предоставившая лучшее по квалификационным параметрам предложение.
Было выполнено обследование информационной инфраструктуры целевых систем заказчика, проектирование решения, поставка программных и аппаратных средств, внедрение. В рамках внедрения собраны из целевых систем и актуализированы учетные записи пользователей, создан единый репозиторий учетных записей, к которому подключены и интегрированы целевые системы, настроены политики сбора и распространения актуальных данных о пользователях с подключенных системах, произведена интеграция с LDAP-каталогами, настроен расширенный функционал доступа и пр. Срок выполнения проекта составил 15 месяцев.
Результатом выполнения проекта, по отзывам представителей заказчика, явилось повышение четкости исполнения рабочих процессов ФТС, от которых зависит функционирование очень многих механизмов государственного контроля и управления внешнеторговыми и смежными операциями. Среди функций и процедур есть такие, обработка которых проходит в десятках информационных систем, а ими занимаются десятки сотрудников в различных регионах страны, что раньше вызывало риски соблюдения времени и безошибочности при их проведении. Система централизованного управления пользователями – одна из ключевых компонент автоматизированной системы администрирования – позволяющих сегодня эти риски существенно сократить. И это не просто ведомственная задача, но и необходимый инструмент обеспечения функций государства.
А3: Проектирование системы защиты персональных данных в соответствии с требованиями законодательства РФ
«Система А3» – удобный современный сервис, позволяющий совершать широкий спектр регулярных и разовых платежей онлайн в любое время и в любом месте. «Система А3» сотрудничает с более чем 300 предприятиями жилищно-коммунального сектора, крупными операторами связи, интернет- и ТВ-провайдерами, государственными учреждениями, ведущими российскими банками и платежными системами. Сервис был запущен в 2011 году и принадлежит одноименной компании, которая создана в 2010 году.
При осуществлении целевого обслуживания клиентов, приеме платежей и проведении платежных операций, для выполнения функций, а также, в соответствии с требованиями Банка России и законодательства РФ, требуется идентификация плательщиков, а соответственно, сбор и обработка их персональных данных. Это потребовало от «Системы А3» выполнения обязательных мер по обеспечению защиты информации на уровне платежной системы и ее компонент, что предусматривается и регулируется Федеральным законом №152-ФЗ о персональных данных.
С целью проектирования и реализации системы защиты персональных данных (СЗПДн) «Система А3» провела конкурс, по результатам которого победителем и подрядчиком на выполнения всего комплекса работ была определена компания «АСТ», предложившая лучшие условия и сроки выполнения проекта.
Защите подлежала инфраструктура из связанных ИТ-систем компании, в которых собираются, хранятся и обрабатываются персональные данные.
Работы по разработке и реализации проекта заняли 4 месяца и были выполнены в три этапа:
Проведение предварительного аудита ИТ-инфраструктуры и процессов, включая:
- Обследование бизнес-процессов обработки информации.
- Выявление и уточнение классов информационных систем персональных данных.
- Разработка модели угроз.
Проектирование СЗПДн, включая:
- Техническое проектирование системы.
- Разработку организационно-распорядительной документации.
Реализация СЗПДн, включая:
- Поставка всего комплекса необходимого оборудования и ПО
- Разработка, техническая реализация и внедрение решения СЗПДн в составе следующих подсистем:
Подсистема защиты от НСД.
Подсистема межсетевого экранирования и защиты каналов связи.
Подсистема анализа защищенности. - Пуско-наладка подсистем СЗПДн, ввод в опытную эксплуатацию.
- Сопровождение и корректировка настроек средств защиты в процессе опытной эксплуатации.
- Консультирование специалистов заказчика по работе с программными и программно-аппаратными средствами защиты.
В результате выполнения проекта полностью спроектирована и реализована комплексная система защиты информации, включая защиту персональных данных, обрабатываемых в системе платежей компании.
Внедрение позволило:
- Привести уровень защиты информации в информационных системах персональных данных в полное соответствие требованиям 152-ФЗ
- Повысить общий уровень ИБ компании