Телеком-компаниям выгоднее использовать единое средство защиты
На вопросы CNews ответил Денис Александров, ведущий инженер "Петер-Сервис".
CNews: Каковы основные трудности, с которыми пришлось столкнуться телекоммуникационным компаниям в связи с законом о персональных данных?
Большинство информационных систем (ИС), существующих в телекоммуникационных компаниях, используют в своей работе персональные данные в соответствии с требованиями законодательства РФ. При этом все современные ИС в последнее время все чаще разрабатываются в виде веб-приложений, что позволяет более эффективно реализовывать операционную деятельность телекоммуникационных компаний.
Решения по защите персональных данных, существующие в настоящее время, разработаны для двухзвенной клиент-серверной архитектуры. Они не подходят для защиты различных мобильных платформ, так как требуют установки средств защиты информации на каждое автоматизированное рабочее место и обеспечивают защиту информации на уровне управления доступа пользователей к файлам, а следовательно, не позволяют осуществлять управление доступом пользователей в веб-решениях.
При этом дополнительные трудности возникают из-за того, что телекоммуникационные компании используют множество различных информационных систем одновременно, причем механизмы защиты этих информационных систем могут существенно отличаться. Применение различных механизмов защиты значительно осложняет сопровождение и обслуживание данных систем. Поэтому более выгодно использовать единое средство защиты, которое легко интегрируется в бизнес-процессы компании.
В телекоммуникационных компаниях объем абонентов достигает десятков миллионов человек. Это определяет повышенные требования к производительности, надежности и возможности использования различных операционных систем и платформ для построения систем защиты.
CNews: Какие решения предлагает ваша компания своим клиентам, которые озабочены соответствием требованиям закона?
Компания "Петер-Сервис" создала первый отечественный программный комплекс Peter-Service Security Manager, предназначенный для защиты информации в веб-системах массового обслуживания, ядром которого и является продукт Peter-Service Has Access Manager, сертифицированный в соответствии с требованиями информационной безопасности ФСТЭК России. Решение Peter-Service Security Manager призвано обеспечить соответствие эксплуатируемой информационной системы требованиям ФЗ №152, обслуживающей персональные данные до класса К1 включительно. Оно может применяться как для защиты высокопроизводительного сервера приложений нашей компании, так и в качестве шлюза безопасности с целью защиты веб- и мобильных приложений других производителей.
CNews: С какими техническими задачами вам приходится при этом сталкиваться?
Во-первых, процедура сертификации по требованиям безопасности информации сама по себе является довольно ресурсоемкой задачей. Причем после ее прохождения внесение изменений в сертифицированное средство защиты потребует повторной сертификации. В то же время наши программные продукты постоянно развиваются и совершенствуются в соответствии с пожеланиями наших заказчиков. Для решения этой проблемы все встроенные механизмы защиты информации были вынесены в отдельный программный продукт – Peter-Service Has Access Manager. Данный продукт функционально не связан с бизнес логикой заказчика, а потому гораздо менее подвержен изменениям.
Во-вторых, требовалось осуществить переход всех существующих разработанных компанией информационных систем на использование единого средства защиты. Ранее продукты компании использовали различные механизмы аутентификации, авторизации и аудита. В настоящее время все наши продукты обладают едиными механизмами аутентификации и авторизации на базе одного продукта, имеющего сертификат соответствия ФСТЭК России.
В-третьих, необходимо было решить ряд технических задач, связанных с интеграцией разработанного компанией средства защиты с информационными системами других производителей. Для решения этих задач нами разрабатываются различные SSO-адаптеры для взаимодействия с серверами приложений других производителей, такими, как Apache TomCat, IBM WebSphere и др.
В-четвертых, для плавной интеграции в корпоративные системы по управлению правами и пользователями (Identity and Access Management) была предусмотрена возможность разработки адаптеров, позволяющих выполнять интеграцию разработанного средства защиты с подобными системами других производителей.