Журнал "Information Security/ Информационная безопасность" #4, 2021

В последние годы к ритейлу не менее пристальное внимание со стороны регуляторов. Примерами тому служат такие законодательные про- екты, как ЕГАИС. Я думаю, что ритейл самостоятельно должен выбирать, стоит ли ему экономить на ИБ. Особенно остро мы про- чувствовали проблему при старте ЕГАИС, когда за несколько месяцев нам нужно было выпустить порядка 12 тыс. цифровых сертификатов для торговых объектов, подключенных к ЕГАИС. ние законодателей и регу- ляторов к этой сфере? – В последние годы к ритей- лу не менее пристальное вни- мание со стороны регуляторов. Примерами тому служат такие законодательные проекты, как ЕГАИС – контроль оборота алкогольной продукции, мар- кировка товаров, Меркурий – контроль учета ветеринарных свидетельств, реформа 63-ФЗ "Об электронной подписи" и т.д. Это очень масштабные проекты, заставившие пере- строить большинство процес- сов компаний. – Как вы думаете, к чему может привести усиление законодательства в сфере ИБ в отношении ритейла? – Все зависит от позиции регулятора. Совместными сила- ми и экспериментами можно создавать качественные реше- ния, если, конечно, регулятор открыт для взаимодействия с бизнесом. На самом деле я думаю, что ритейл самостоя- тельно должен выбирать, стоит ли ему экономить на ИБ, где это допустимо, где является необходимой мерой. Риски доступа к сети компа- нии, хакерские атаки, утечка конфиденциальной информа- ции или персональных данных могут повлечь серьезные убыт- ки, поставить под угрозу репу- тацию и положение на рынке, потерю покупателей. – Почему вашей органи- зации потребовалась автоматизация управле- ния жизненным циклом цифровых сертификатов? Что послужило толчком к поиску решения и реали- зации проекта? – В нашей компании около 20 тыс. цифровых сертифика- тов, перевыпускаемых ежегод- но. Такие объемы – это серьез- ный вызов для внутренней служ- бы ИТ. А когда речь заходит об управлении ключами электрон- ной подписи, выданными внеш- ним аккредитованным удосто- веряющим центром, сложность существенно возрастает. Особенно остро мы прочув- ствовали проблему при старте ЕГАИС, когда за несколько месяцев нам нужно было выпу- стить порядка 12 тыс. цифровых сертификатов для торговых объектов, подключенных к ЕГАИС. Сотрудникам прихо- дилось работать круглосуточно, их ошибки при вводе ПИН-кода приводили к блокировке токе- нов, как следствие затягивались сроки подключения торговых объектов к ЕГАИС, поэтому воз- никала необходимость поставки новых устройств. Не будем забывать и об обя- зательных требованиях со сто- роны ФСБ в части эксплуатации ключей квалифицированной электронной подписи и их носи- телей. Особую сложность вызы- вают требования по ведению соответствующих журналов учета СКЗИ. Поэтому мы искали решение, которое не только оптимизирует операции с сертификатами и их учет, но и позволит мониторить весь объем и сроки действия сертификатов, выданных удо- стоверяющим центром. – Внедрена ли такая система в розничной сети "Магнит"? По каким ключевым критериям осу- ществляли поиск реше- ния? – Да, мы приобрели и внед- рили такое решение в 2018 г. В первую очередь нам требо- валось автоматизировать управление несколькими десят- ками тысяч токенов и цифровых сертификатов, поддержка рабо- ты с самыми распространенны- ми в нашей стране моделями токенов (SafeNet eToken, JaCarta, Rutoken и т.д.) и компонентами ИТ-инфраструктуры (Active Directory, КриптоПРО УЦ, Windows CA и т.п.), мы внима- тельно изучали функциональ- ные возможности различных решений, представленных на рынке. Вторым ключевым критерием была возможность доработки решения под наши требования. За время эксплуатации мы активно участвовали в развитии решения, важнейшей доработ- кой для нас были журналы учета средств криптографиче- ской защиты и цифровых сер- тификатов, управление различ- ными параметрами СКЗИ на уровне политик, разработка дашборда. Если говорить о дополнитель- ных опциях, нам было интерес- но подобрать решения, делаю- щие упор не только на задачи администраторов и операторов PKI, но и упрощающие типовые задачи рядовых пользователей. Как я упоминала ранее, у нас в обороте находится около 20 тыс. сертификатов, чрезвы- чайно сложно следить за ними даже при наличии специализи- рованных и эффективных средств мониторинга. Очевид- но, что мониторинг собственных сертификатов отвечает интере- сам рядовых сотрудников. Соот- ветственно, наличие полноцен- ного и качественного пользо- вательского интерфейса (для отслеживания тех же сроков действия сертификатов) отве- чает интересам всей компании. – Как проходило внед- рение системы? – Для начала мы провели пилотное тестирование всех рассматриваемых решений. В рамках тестирования мы не только проверяли возможности автоматизации и оптимизации рутинных операций по обслу- живанию PKI, нам важно было убедиться в готовности решения работать со спецификой "Маг- нита": например, не все точки были в домене, у одного поль- зователя мог быть "зоопарк" токенов и сертификатов, кото- рые нужно было взять под управление. По итогам тестирования при содействии вендоров мы оце- нили результаты и смогли при- нять взвешенное решение и выбрать продукт, обладающий наилучшим соотношением "цена/качество", разумеется, с нашей точки зрения потенци- ального потребителя. Весь процесс внедрения и масштабирования решения, учитывая опыт, полученный при тестировании и поддержке вен- дора, занял несколько месяцев. Хочется отдельно отметить важ- ность этапа пилотного тестиро- вания. Мы смогли намного лучше понять возможности всех продуктов и особенности их функционирования, что значи- тельно упростило промышлен- ное внедрение. Более того, как раз на этапе пилотного тести- рования были выявлены все подводные камни построения процесса централизованного управления и мониторинга клю- чей электронной подписи, а также их носителей. Разуме- ется, к этапу внедрения все эти подводные камни были благо- получно нейтрализованы. – Как оцениваете результаты внедрения? – Признаюсь, система цент- рализованного управления и мониторинга ключей электрон- ной подписи, а также их носи- • 11 ПЕРСОНЫ www.itsec.ru