Большинство крупнейших российских и мировых компаний используют модель бизнеса, при которой типовые транзакционные процессы передаются из организации в специализированный общий центр обслуживания. Придерживаясь данного принципа, госкорпорация «Росатом» создала многофункциональный общий центр обслуживания АО «Гринатом».
ДЛЯ ЧЕГО? АО «Гринатом» создано для решения вопросов обслуживания предприятий атомной отрасли по информационным технологиям, бухгалтерским услугам, кадровому администрированию, а также становится новым центром компетенций по вопросам криптографической защиты информации.
АО «Гринатом», являясь лицензиатом ФСБ России, исполняет все требования действующих регламентирующих документов. Аккредитованный удостоверяющий центр АО «Гринатом» не просто выдаёт сертификаты на сертифицированных ключевых носителях, но и обеспечивает безопасность применения СКЗИ на рабочих местах пользователей атомной отрасли.
КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА В атомной отрасли криптографическая защита применяется для многих аспектов защиты конфиденциальной информации: шифрования Корпоративной сети передачи данных, для доступа к ИТ-ресурсам Госкорпорации «Росатом», для шифрования и подписи электронных сообщений, передаваемых через защищенную корпоративную почтовую систему и деловую почту, для подписи электронных сообщений при взаимодействии с межведомственным электронным документооборотом, отраслевой системе закупок. В Госкорпорации «Росатом» применяются все виды электронной подписи, начиная с простой подписи для ускорения переписки между предприятиями и заканчивая усовершенствованной квалифицированной подписью под юридически значимыми электронными документами.
Основой защиты конфиденциальной информации криптографическими методами является работа Администратора безопасности Органа криптографической защиты. Требования 152 инструкции ФАПСИ возлагают на него множество обязанностей. В тоже время обладатели конфиденциальной информации не уделяют должного внимания учёту этих трудозатрат. Для реализации всех необходимых мер АО «Гринатом» создало собственный орган криптографической защиты, который предлагает услугу «Администратор безопасности ОКЗ».
ДЕКОМПОЗИЦИЯ ТРЕБОВАНИЙ Отдел криптографической защиты АО «Гринатом» произвёл декомпозицию требований регламентирующих документов к применению СКЗИ. Процессы деятельности органа криптографической защиты опубликованы в общем доступе на сайте crypto.rosatom.ru.
1200 АДМИНИСТРАТОРОВ ИБ Объём работ администратора безопасности ОКЗ при использовании стандартных методов настолько велик, что один Администратор безопасности может обслужить не более 250 рабочих мест с СКЗИ без потери качества. При плановом объёме в 300 000 СКЗИ, используемых в отрасли, для выполнения всех требований регулятора требуется 1 200 администраторов безопасности.
Проблемой использования услуг ОКЗ и удостоверяющих центров является то, что пользователи вовлечены в процесс криптографической защиты. Пользователям приходится заполнять заявления на создание сертификата, доверенность, заверять копии паспорта и СНИЛС, ехать в УЦ для получения сертификата.
ИС ОКЗАнализируя стоящие перед нами вызовы, с 1 января 2017 года стартовали работы по созданию Информационной системы Органа криптографической защиты (ИС ОКЗ). Основными задачами которой являлись: снижение трудоёмкости администраторов безопасности на типовые операции, формирование и передача запросов на СКЗИ и сертификаты ЭП в ИС, создание единой схемы криптографической защиты Госкорпорации, уход от бумажного документооборота при распространении СКЗИ, создание единого архива дистрибутивов СКЗИ и документации, осуществление функций по управлению и контролю за деятельностью администраторов безопасности, предоставление заказчикам актуальной информации по состоянию криптографической защиты.
В качестве базовой платформы после оценки присутствующих на рынке решений была выбрана платформа Аванпост. Базовый функционал системы Аванпост PKI был направлен на процесс выпуска сертификатов и учёта ключевых носителей, поэтому имеющийся продукт подвергся полной переработке. Новое решение направленно на управление работами администраторов ОКЗ.
ИНСТРУМЕНТ УПРАВЛЕНИЯ Всем предприятиям, находящимся на обслуживании АО «Гринатом» по услугам лицензируемых видов деятельности в области криптографической защиты информации ИС ОКЗ предоставляется как бесплатный инструмент. С помощью ИС ОКЗ Администратор безопасности Органа криптографической защиты получает инструмент управления над СКЗИ заказчика, а заказчик сможет самостоятельно оформить подписку на нужную услугу по криптографической защите для пользователя и контролировать их выполнение.
Задачей ИС ОКЗ является отстранение пользователя от процесса криптографической защиты. Срок действия сертификата электронной подписи — последнее, о чём должен задумываться пользователь. Потребность пользователя в сертификатах ЭП и СКЗИ направляется на обученного администратора безопасности на предприятии. ИС ОКЗ реализует сервис подготовки заявлений и доверенностей пользователей на получение СКЗИ и сертификатов ЭП. Обучение и оформление допуска пользователя производятся так же системой ИС ОКЗ.
ТРИ РОЛИ Предприятие, подписывающееся на услуги ОКЗ АО «Гринатом» в обязательном порядке должно определить три роли участников процесса криптографической защиты и указывает имена ответственных сотрудников в договоре присоединения, а также подтверждает соответствующие полномочия: Администраторы безопасности, Сотрудники кадровой службы, Уполномоченные должностные лица. Для каждого типа пользователя в ИС ОКЗ существует рабочий стол, на котором отражаются задачи, решаемые пользователями.
Первичным справочником данных является база корпоративного Active Directory. Администратор безопасности указывает параметры запроса на сертификат или СКЗИ. Кадровая служба дополняет запрос проверенными достоверными данными пользователя СНИЛС и паспортными данными пользователя, Уполномоченное лицо согласует запрос и подтверждает полномочия пользователя по получению сертификата ЭП. Полученные данные ИС ОКЗ направляет для проверки в Систему межведомственного электронного взаимодействия.
БЕЗ ПОДПИСКИ НИКАК После успешной цепочки проверок формируется основной объект в ИС ОКЗ — подписка. Подписка является основанием для ежегодного выпуска сертификата ЭП и обслуживания СКЗИ пользователя и содержит все необходимые исходные данные.
ИС ОКЗ способна создавать различные маршруты для квалифицированных и неквалифицированных сертификатов и способна взаимодействовать с разными центрами сертификации.
В случае необходимости выпуска сертификата ИС ОКЗ формирует соответствующее задание Оператору У Ц. Запрос на сертификат подготавливается для переноса в И С Корпоративного удостоверяющего центра. Если используемое СКЗИ предусматривает плановые регламентные работы (например проверку датчика случайных чисел), ИС ОКЗ планирует соответствующую работу для Администратора безопасности.
ИС ОКЗ имеет встроенную подсистему обучения на базе решения российской компании Websoft — «Web tutor», выполняющую следующие задачи: обучение администраторов, обучение пользователей, приём зачётов, допуск пользователей, периодический контроль и допуск к работе с СКЗИ.
БЛАГОРОДНАЯ ЦЕЛЬ Бытует мнение, что при внедрении массовой криптографии, широкий круг пользователей будет неквалифицированным. Целью И С ОКЗ является сформировать массового квалифицированного пользователя. Как показал опыт, презентации или текстовой инструкции по использованию СКЗИ недостаточно. Совместно с Центральным институтом повышения квалификации Росатома и Учебным центром «Информзащита» разработаны специализированные курсы для администраторов ОКЗ Росатома, планируется создание адаптивного курса для пользователей СКЗИ и руководителей — владельцев конфиденциальной информации.
ИС ОКЗ имеет интерфейс аудитора и сервис построения отчётов для проведения контрольных мероприятий аудиторами ОКЗ и внешних проверяющих органов. Внутренние аудиторы имеют постоянные учётные записи и используют сервис при плановых проверках, которые проходят более 40 предприятий ежегодно.
АГЕНТ В РАЗРАБОТКЕ В разработке также находится Агент И С ОКЗ, который инсталлируется на рабочее место с СКЗИ и добавляет новые возможности:
- подтверждение факта владения ключом на основании входа в учётную запись пользователя в домене Госкорпорации;
- подтверждение внесения изменений в среду функционирования СКЗИ;
- осуществление допуска пользователя к работе с СКЗИ после успешной сдачи зачётов и допуска к работе с СКЗИ;
- контроль ключевой информации.
***ИС ОКЗ находится в опытной эксплуатации. Переход в промышленную эксплуатацию запланирован после финальных доработок, сертификации продукции и аттестации по требованиям информационной безопасности и запланирован на третий квартал 2018 года.
Алексей Ольшаников, ведущий специалист отдела криптографической защиты Управления информационной безопасности (АО «Гринатом»)