Разделы

Телеком Безопасность Бизнес Цифровизация Конференции Облака Мобильная связь Инфраструктура Инфраструктура Бизнес-приложения Системное ПО Госрегулирование Стратегия безопасности Техническая защита Новости поставщиков Финансовые результаты

CNews FORUM 2010: сегодня ИТ уходят в облака, а завтра станут частью ЖКХ

CNews FORUM 2010 состоялся 10 ноября в Москве. Он проводится уже третий раз, и в этом году собрал рекордное число участников: на него пришли около 1000 человек. Особое внимание посетителей привлекли специализированные секции и, конечно, панельная дискуссия, темой которой стал вопрос о предприятии будущего – каким его видят ИТ-руководители в 2015 году.

Телеком-компаниям выгоднее использовать единое средство защиты

На вопросы CNews ответил Денис Александров, ведущий инженер "Петер-Сервис".

CNews: Каковы основные трудности, с которыми пришлось столкнуться телекоммуникационным компаниям в связи с законом о персональных данных?

Большинство информационных систем (ИС), существующих в телекоммуникационных компаниях, используют в своей работе персональные данные в соответствии с требованиями законодательства РФ. При этом все современные ИС в последнее время все чаще разрабатываются в виде веб-приложений, что позволяет более эффективно реализовывать операционную деятельность телекоммуникационных компаний.

Решения по защите персональных данных, существующие в настоящее время, разработаны для двухзвенной клиент-серверной архитектуры. Они не подходят для защиты различных мобильных платформ, так как требуют установки средств защиты информации на каждое автоматизированное рабочее место и обеспечивают защиту информации на уровне управления доступа пользователей к файлам, а следовательно, не позволяют осуществлять управление доступом пользователей в веб-решениях.

При этом дополнительные трудности возникают из-за того, что телекоммуникационные компании используют множество различных информационных систем одновременно, причем механизмы защиты этих информационных систем могут существенно отличаться. Применение различных механизмов защиты значительно осложняет сопровождение и обслуживание данных систем. Поэтому более выгодно использовать единое средство защиты, которое легко интегрируется в бизнес-процессы компании.

В телекоммуникационных компаниях объем абонентов достигает десятков миллионов человек. Это определяет повышенные требования к производительности, надежности и возможности использования различных операционных систем и платформ для построения систем защиты.

CNews: Какие решения предлагает ваша компания своим клиентам, которые озабочены соответствием требованиям закона?

Компания "Петер-Сервис" создала первый отечественный программный комплекс Peter-Service Security Manager, предназначенный для защиты информации в веб-системах массового обслуживания, ядром которого и является продукт Peter-Service Has Access Manager, сертифицированный в соответствии с требованиями информационной безопасности ФСТЭК России. Решение Peter-Service Security Manager призвано обеспечить соответствие эксплуатируемой информационной системы требованиям ФЗ №152, обслуживающей персональные данные до класса К1 включительно. Оно может применяться как для защиты высокопроизводительного сервера приложений нашей компании, так и в качестве шлюза безопасности с целью защиты веб- и мобильных приложений других производителей.

CNews: С какими техническими задачами вам приходится при этом сталкиваться?

Александр Осипов, МегаФон: Эффективность киберзащиты вырастет, если снизится рутинная нагрузка на специалистов
безопасность

Во-первых, процедура сертификации по требованиям безопасности информации сама по себе является довольно ресурсоемкой задачей. Причем после ее прохождения внесение изменений в сертифицированное средство защиты потребует повторной сертификации. В то же время наши программные продукты постоянно развиваются и совершенствуются в соответствии с пожеланиями наших заказчиков. Для решения этой проблемы все встроенные механизмы защиты информации были вынесены в отдельный программный продукт – Peter-Service Has Access Manager. Данный продукт функционально не связан с бизнес логикой заказчика, а потому гораздо менее подвержен изменениям.

Во-вторых, требовалось осуществить переход всех существующих разработанных компанией информационных систем на использование единого средства защиты. Ранее продукты компании использовали различные механизмы аутентификации, авторизации и аудита. В настоящее время все наши продукты обладают едиными механизмами аутентификации и авторизации на базе одного продукта, имеющего сертификат соответствия ФСТЭК России.

В-третьих, необходимо было решить ряд технических задач, связанных с интеграцией разработанного компанией средства защиты с информационными системами других производителей. Для решения этих задач нами разрабатываются различные SSO-адаптеры для взаимодействия с серверами приложений других производителей, такими, как Apache TomCat, IBM WebSphere и др.

В-четвертых, для плавной интеграции в корпоративные системы по управлению правами и пользователями (Identity and Access Management) была предусмотрена возможность разработки адаптеров, позволяющих выполнять интеграцию разработанного средства защиты с подобными системами других производителей.