В настоящее время система внедрена и функционирует в полном объеме. В итоге Связной Банк выполнил требования Банка России по управлению данными и устранил возможность возникновения рисков информационной безопасности, связанных с нарушением процедуры предоставления доступа сотрудников к корпоративным ресурсам.
Связной Банк (до 2010 года – Промторгбанк) начал работать на российском рынке банковских услуг с октября 2010 года и благодаря партнерству с сетью продаж в сжатые сроки вошел в число топ-50 банков страны по объемам розничного бизнеса. Сегодня Связной Банк обслуживает 1,5 млн розничных клиентов, а по размеру карточного кредитного портфеля входит в десятку ведущих банков в России.
Связной Банк уделяет постоянное внимание повышению уровня информационной безопасности и соблюдению требований нормативной базы и стандартов ИБ. Целью данного проекта было создание в Связном Банке современной системы управления идентификацией пользователей, которая бы обеспечила: строгую двухфакторную аутентификацию при работе с корпоративными приложениями и информационными ресурсами, централизованное управление учетными записями пользователей, а также построение защищенной сетевой инфраструктуры с шифрованием каналов связи и двухсторонней аутентификацией. Кроме того, требовалось интегрировать новую систему с удостоверяющим центром «Крипто-ПРО», а также с применяемой в Связном Банке системой дистанционного банковского обслуживания (ДБО) юридических лиц.
Исполнителем работ по данному проекту выступила компания LETA, имеющая большой опыт работы с банковским сектором и внедрения ПК Avanpost. На подготовительном этапе было проведено обследование информационной системы заказчика, сформированы техническое задание и документационная база для всех следующих этапов проекта. Далее специалисты компании LETA установили и настроили необходимые модули ПК Avanpost и разработали пакет эксплуатационной документации, включающей логическую схему, конфигурацию, настройки и другие ключевые характеристики системы. Затем было проведено обучение пользователей и администраторов системы, после чего началась ее опытная эксплуатация. Когда все функции решения были проверены, а пользователи приобрели практические навыки, система была переведена в штатный режим работы.
Отметим, что в созданном решении был задействован целый ряд модулей ПК Avanpost. Так, модуль SSO (single sign-on) обеспечил двухфакторную аутентификацию и однократную идентификацию пользователей при работе со всеми необходимыми им приложениями и информационными ресурсами. Этот модуль взял на себя и централизованную смену паролей, согласно заданному графику. При этом пользователям не требуется после каждой парольной смены заучивать множество паролей – для безопасной работы им достаточно знать лишь один ПИН-код от ключевого носителя. Все это значительно повысило уровень информационной безопасности, существенно ускорило и упростило управление парольной аутентификацией сотрудников банка.
В свою очередь, модули управления ключевыми носителями, сертификатами и средствами криптографической защиты информации (PKI (public key infrastructure) и SLS (self-service)) полностью автоматизировали управление инфраструктурой открытых ключей, учет ключевых носителей, учет и распределение лицензий на средства криптографической защиты информации и ряд других операций. При этом интеграция ПК Avanpost с системой ДБО избавила от множества выполняемых вручную операций при инициализации ключевых носителей, печати ПИН-кодов в ПИН-конвертах, выпуске технологических ключей, отслеживании срока действия сертификатов, приостановке, возобновлении и отзыве сертификатов с одновременным переводом ключа в системе банк-клиент в заблокированное состояние. В частности, система автоматически экспортирует поступившие от клиентов запросы на сертификаты, передает их в удостоверяющий центр, выпускает сертификаты и импортирует их в систему банк-клиент для последующей передачи клиенту. Особо подчеркнем, что при этом создаются все необходимые документы и формируется полный комплект отчетных форм и журналов, согласно требованиям российского законодательства и регулирующих органов (отечественных и зарубежных).
Кроме того, ПК Avanpost позволил оперативно управлять выпуском сертификатов для сотрудников банка, существенно снизив нагрузку на администраторов по управлению инфраструктурой открытых ключей. Теперь сотрудник, заблаговременно получив уведомление об окончании срока действия сертификата, может на специальном внутреннем сайте самообслуживания самостоятельно перегенерировать устаревающий ключ и провести разблокировку ключевого носителя.
Наконец, благодаря использованию модуля IPsec (internet security protocol) ПК Avanpost, отвечающего за построение VPN-соединений, удаленные и мобильные пользователи получили возможность безопасно подключаться к корпоративной сети через недоверенную среду и полноценно работать с внутренними ресурсами. При этом используются шифрование соединений по протоколу ГОСТ, а также сертификаты, выданные удостоверяющим центром банка.
«Новая система управляет одной из ключевых функций ИБ и очень сильно влияет на работу буквально каждого сотрудника банка. Кроме того, она автоматизирует множество процессов, которые ранее создавали огромную нагрузку на персонал отдела информационной безопасности. Естественно, мы скрупулезно выбирали технологическую платформу для этой системы, требуя от нее масштабируемости, функциональности, надежности и высокой степени интеграции функций. Не менее тщательно мы подошли к выбору интегратора, который должен был создать отвечающее всем нашим требованиям комплексное техническое решение и провести внедрение так, чтобы это не нарушило работу банка, – отмечает Лев Шумский, Начальник управления информационной безопасности Связного Банка. – Мы удовлетворены характеристиками решения и технологией ведения проекта».
«Любой добросовестный интегратор знает, насколько продуктивнее идет внедрение, если заказчик заинтересован в бескомпромиссном выполнении требований к системе, активно вовлечен в проект и поддерживает в нем атмосферу требовательности и делового сотрудничества, – говорит Александр Малявкин, генеральный директор компании LETA. – Именно в таких условиях создавалось данное решение, которое, на мой взгляд, сделает работу сотрудников банка более комфортной, содержательной и продуктивной. Внедренная система не только решила все поставленные задачи, у нее есть большой потенциал развития».
«Традиционная однофакторная аутентификация, ручное управление паролями и правами доступа уже не отвечают уровню угроз, которые существуют на современном рынке. При этом динамично развивающийся банк всегда особенно привлекателен для злоумышленников и поэтому попадает в группу особого риска, – говорит Андрей Конусов, генеральный директор компании Аванпост. – Поэтому так важны проекты, в которых создаются современные системы управления идентификацией, аутентификацией, сертификатами и ключами пользователей. Ведь от этого не только возрастает защищенность доверенных банку средств, но и резко сокращается поле, на котором могут успешно действовать злоумышленники. Важно и то, что такие проекты показывают вектор развития всей банковской отрасли. Уверен, что ПК Avanpost будет не один год верой и правдой служить Связному Банку, поможет ему сохранить и укрепить лидерство в таком важном аспекте, как информационная безопасность».