«МЕГАФОН»

МегаФон — российская телекоммуникационная компания, входящая в «большую четверку» российских операторов сотовой связи и предоставляющей услуги сотовой связи, местной телефонной связи, широкополосного доступа в Интернет, кабельного телевидения и ряд сопутствующих услуг. МегаФон построил самую большую сеть LTE/4G из более 100 тысяч станций в 83 регионах страны. Услугами компании пользуются 77,6 млн клиентов.

Автоматизировать основную деятельность УЦ и сократить издержки на выпуск сертификатов и учет основных объектов инфраструктуры PKI

Созданная в рамках данного проекта единая корпоративная система управления инфраструктурой открытых ключей (PKI) заказчика, основой которой является Avanpost PKI, обслуживает компании ПАО «МегаФон» и АО «МегаФон Ритейл». В настоящее время с этой системой в постоянном режиме работают не менее 20 тыс. пользователей, в дальнейшем их число увеличится до 50 тысяч.

Avanpost PKI обеспечивает учет всех объектов инфраструктуры открытых ключей: ключевые носители, лицензии на СКЗИ, АРМ-ы. Кроме того, в новой системе автоматизирована печать всех отчетных документов по этим объектам — в соответствии с требованиями ФСБ. Также система поддерживает все процессы, связанные с выпуском сертификатов электронной подписи (ЭП) для сотрудников компаний. Особо отметим, что сертификаты и другая информация может храниться как на привычных физических ключевых носителях (eToken и RuToken), так и в облачных сервисах ЭП на базе технологии КриптоПро DSS (предназначена для централизованного, защищенного хранения закрытых ключей пользователей и удаленного выполнения операций создания ЭП).

В новой системе управления инфраструктурой PKI применяется принцип самообслуживания. Любой сотрудник может самостоятельно заказать себе сертификат ЭП, сформировать необходимые сопроводительные документы и просматривать характеристики всех выпущенных для него сертификатов. Все делается чрезвычайно просто — прямо в удобном Личном кабинете. Так, чтобы заказать себе сертификат, пользователю нужно сделать всего четыре простых шага. Благодаря этому вовлечение конечных пользователей в процесс выпуска сертификатов не только не вызывает противодействия, но, напротив, воспринимается чрезвычайно позитивно. Это в корне отличает данное внедрение от уже ставшей привычной для всего ИБ-рынка ситуации, когда усиление информационной безопасности затрудняет работу пользователей и воспринимается ими в штыки. Отметим также, что перевод процедур в электронный формат значительно уменьшил бумажный документооборот в ходе запроса и выпуска сертификатов

Для операторов УЦ также предусмотрен эргономичный пользовательский интерфейс — единое окно, где собран весь комплекс инструментов рассмотрения поступающих запросов пользователей и вся необходимая информация для принятия решений: заявления, сканы документов, параметры запросов и т. д. Появление этого инструмента позволило уменьшить требования к квалификации операторов УЦ и одновременно повысить качество и эффективность их работы. А это значительно сокращает издержки на персонал в условиях постоянного повышения объемов обслуживаемых сертификатов и дефицита квалифицированных специалистов на рынке труда.

Также в новую систему встроены различные механизмы автоматизации, резко сократившие объем ручной работы, задержки и технические ошибки. Один из таких механизмов позволяет получать доверенные данные о сотрудниках компаний непосредственно из кадровой системы организации-заказчика, исключая саму возможность появления и дальнейшей обработки недостоверной информации. Это важно, поскольку такого рода данные используются при формировании заявлений и запросов на сертификаты, а также для автоматизации процесса регистрации пользователей в КриптоПро DSS. Другой механизм обеспечивает автоматическую публикацию выпущенных пользовательских сертификатов во всех информационных системах (ИС) компании, где эти сертификаты используются (например, в системе ЭДО, основанной на решениях SAP).

Кроме того, в рамках данного проекта создан базис системы сбора и аналитической обработки данных, которая уже сегодня позволяет объективно оценивать эффективность работы сотрудников УЦ, а также проводить всесторонний анализ случаев нарушения параметров SLA. Можно решать и многие другие задачи, поскольку теперь по каждому сертификату у заказчика имеется полная и достоверная информация о том, кто и когда сформировал запрос на его выдачу; кто и когда принял те или иные решения по этому запросу и какие это были решения; кто и когда приостановил / возобновил действие сертификата; кто, когда и почему отозвал его. Систематическое использование этих инструментов позволяет находить резервы повышения эффективности, выявлять и устранять причины задержек и ошибок при принятии решений.

Созданная в рамках данного проекта система управления инфраструктурой PKI стала важным этапом в развитии ИС заказчика. Полтора года промышленной эксплуатации показали, что внедрение Avanpost PKI дало разноплановый положительный эффект.

Так, выполненная в рамках данного проекта глубокая автоматизация основной деятельности УЦ заказчика значительно повысила объемы и качество предоставляемых услуг, причем без увеличения штата УЦ. При этом снизились издержки на выпуск сертификатов и учет основных объектов инфраструктуры PKI.

Особо отметим резкое сокращение сроков выдачи сотрудникам сертификатов ЭП, без которых они просто не могут работать с корпоративным ПО и информационными ресурсами. Теперь новый сотрудник получает все необходимые сертификаты не позднее, чем через 4 часа с момента приема на работу. В масштабах крупной организации это приводит к значительной экономии времени сотрудников.

Внедрение Avanpost PKI показало: широкое введение криптографии и электронной подписи в основные процессы заказчика не является исключительно сложной задачей и не создает проблем и неудобств ни для пользователей, ни для обслуживающего персонала. Этот опыт позволяет планировать значительное расширение сферы применения ЭП, что чрезвычайно важно с учетом устойчивой тенденции повышения юридической значимости применений ИТ.

В настоящее время намечены несколько направлений дальнейшего развития системы управления инфраструктурой PKI. Среди них:

• Расширение применения ЭП на сопроводительные документы, что повысит уровень информационной безопасности и еще более сократит бумажный документооборот.
• Подключение системы к СМЭВ (сервисы ПФР, ФНС, МВД и ЕСИА), что позволит автоматически проверять данные о сотрудниках, а также публиковать выпущенные квалифицированные сертификаты (в соответствии с требованиями 63 ФЗ).
• Увеличение числа одновременно функционирующих экземпляров сервиса облачной подписи на базе КриптоПро DSS (инстансов), поддержка ими аутентификации по SIM-карте сотрудника.
• Подключение к системе новых сервисов и ранее не охваченных направлений деятельности заказчика.
• Масштабирование системы по числу пользователей и ее распространение на другие подразделения холдинга «Мегафон».

Необходимые для реализации этих планов архитектурные решения и инструменты уже имеются в Avanpost PKI.