Rambler's Top100
Статьи ИКС № 1 2007
Андрей Александрович ГРИЦИЕНКО  01 января 2007

Почти святочная история

История создания этой интегрированной СИБ вместила в себя и нелегкий выбор, и сложное сопряжение программ и устройств, и трудности организации единого управления. Но, как и положено святочному рассказу, у него счастливый конец.

А. ГРИЦИЕНКО, банк «Возрождение»Дорогу осилит идущий

В больших банковских мультисервисных сетях проблем с ИБ немало, одна из основных – организация защищенного доступа. Дело в том, что банки пользуются многими программными продуктами для решения задач разных направлений деятельности, а производители ПО, как это ни прискорбно, свои издержки производства принципиально снижают за счет ухудшения функционала механизмов защиты.

При внедрении, когда заказчик выдвигает требования по безопасности, встречное условие поставщика решения – доработка продукта за дополнительную цену. Кажется, все по Марксу: труд = стоимость. Однако наш печальный опыт показывает, что цена доработки практически у всех поставщиков ПО соизмерима со стоимостью самого продукта. А поскольку серьезных интеграторов в области ИБ единицы (мы имели дело с тремя), то их позиция вполне объяснима. Увы, таков механизм прибавочной стоимости в условиях недостаточно развитого рынка сервисов ИБ.

По нашим оценкам, издержки при внедрении СИБ в случае работы с системным интегратором чрезвычайно высоки. Главная проблема интеграции в области ИБ – индивидуальный подход для каждого продукта. Известный «пул» интеграторов имеет готовые решения, в которых с большим трудом удалось заставить работать совместно лишь несколько СЗИ. Это порождает скудость выбора средств ИБ. Вместо исследований рынка по требованиям заказчика и предложения зрелых продуктов или решений, совместимых с СЗИ, интеграторы предпочитают протолкнуть одну-две наработанные схемы, не задумываясь, насколько они отвечают требованиям заказчика.

Из исследованного нами списка поставщиков никто не смог предложить удовлетворительного решения ни по стоимости, ни по срокам исполнения (не менее 2 лет!), ни по функционалу. Они оказались не готовы построить систему управления 5 тысячами eToken, ключами и доступом в системы разных производителей, в том числе иностранных.

О масштабе системы
  • У банка «Возрождение» – 60 филиалов, в некоторых из них работают более 300 человек.
  • Один только волгоградский филиал банка выпустил 100 тыс. банковских карт (всего же в области действует 500 тыс. карт от 28 московских банков).
  • Удостоверяющий центр банка выпустил в 2006 г. 20 тыс. сертификатов.
Интеграторы сейчас занимаются не системной интеграцией, а делают деньги, причем с возможно меньшими издержками (не в обиду будь сказано – «Дженерал Моторс» тоже делает не автомобили, а деньги). Бизнес есть бизнес – извлечь максимальную прибыль при минимальных накладных расходах. Если продукт, решение, услуга не удовлетворяют по цене – ищите дешевле. Вот мы ходили, ходили… В итоге решили самостоятельно строить систему защищенного доступа к централизованным ресурсам согласно требованиям безопасности.

Задача и требования нетривиальны. Чтобы интегрировать выбранные нами продукты с ИС банка и заставить всю цепочку работать прозрачно, пришлось самостоятельно дописывать большие блоки кодов – коннекторы к бизнесприложениям. Разработали единую архитектуру, в которую встроили СЗИ и СКЗИ, серверы защищенного доступа с балансировкой нагрузки, написали практически свою систему управления и т.д. Реализация в какой-то мере типового масштабируемого решения для банка с разветвленной сетью филиалов заняла у нас ровно год. По сравнению с запросами интеграторов (цифра с семью знаками в американской валюте) цена реализации СИБ уменьшилась на один-два порядка.

Обеспечиваем защищенный доступ

Готового решения по управлению PKI для предприятия с разветвленной и территориально разнесенной структурой на рынке просто нет. Мы сами разработали систему защищенного доступа на основе оригинального алгоритма, обеспечивающего полный цикл управления аутентифицированным доступом к централизованным ресурсам.

Необходимость защиты передаваемых по открытым сетям данных и немалая клиентская база обусловили требование управления ключевыми контейнерами и носителями, а множество приложений и сред – управления паролями сотрудников. Изменение статуса и полномочий сотрудников надо было отслеживать в реальном масштабе времени. Основные требования: использование сертифицированных средств, централизованный контроль выпуска, приостановки и отзыва сертификатов (система полностью ориентированана PKI), выработка и смена паролей, контроль из единого центра.

Предусмотрены сложные иерархические структуры правил доступа, а надежность и отказоустойчивость достигнуты путем многократного дублирования основных рабочих узлов системы. Функциональность системы наращивается за счет подключения новых модулей. Соединение с кадровой подсистемой с помощью коннектора автоматизирует процесс управления PKI инфраструктурой, паролями и ключевыми носителями.

Как только принимается новый сотрудник, администратору безопасности передается сообщение с требованием подключить новый eToken для автоматического оформления всех назначенных работнику пользовательских прав: генерируются пароли доступа к разрешенным приложениям, выполняются запросы на сертификаты, которые затем устанавливаются в ключевые контейнеры.

При переводе в другое подразделение в систему защищенного доступа через коннектор автоматически передаются данные обо всех изменениях пользовательских прав работника. Система автоматически отзывает ненужные права и сертификаты, создает новые. При увольнении она отзывает все сертификаты и права сотрудника, а на время его отпуска приостанавливает их действие. Во время командировок тоже полезно отслеживать места использования ключевых носителей.

Под сенью норм и стандартов

Сегодня система ИБ банка должна удовлетворять требованиям целого комплекса документов – международных, национальных, отраслевых. В кредитно-финансовой сфере по большей части есть все необходимое и по лицензированию видов деятельности, и по техзащите, и по средствам криптографии, и по защите вычислительной техники. Нормативная база России, в частности стандарт ЦБ (четвертая часть которого посвящена аудиту СИБ), гармонизирована с международными стандартами и соответствует требованиям к ИБ банков. Нет, к сожалению, единого подхода к информбезопасности в государственном масштабе.

Сколько у нас в стране ведомств занимается вопросами защиты информации? Тьма. А составить по их документам концепцию ИБ непросто, у каждого ведомства своя терминология. Наши собственные документы соответствуют действующим нормам и требованиям. Утверждены общая корпоративная политика информбезопасности и политики по отдельным направлениям, которые определяют руководство банком в области ИБ и деятельность подразделений. Требования для каждой частной политики прописаны в Положении о защите и безопасности информации в банке.

Подразделение ИБ в центральном офисе управляет системой ИБ, администраторы безопасности или главные специалисты по ИБ всех филиалов напрямую подчиняются своему управляющему. Таким образом, информбезопасность в нашем банке – часть производственного процесса, обеспечивающая необходимый функционал для различных бизнес-процессов. Наша СИБ живет в полном согласии с другими подсистемами ИС предприятия. В скором времени начнем ее сертификацию на соответствие требованиям ФСТЭК РФ, СУИБ тоже не забудем.

Вот такая история.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: