Мария Дордий, начальник отдела ИБ, ГК “Магнит”, рассказала корреспонденту журнала “Информационная безопасность” о том, как повысить эффективность обеспечения безопасности крупного ритейла с помощью решений «Индид».

Отрывок из интервью, полную версию которого вы найдете в файле PDF.

– Почему вашей организации потребовалась автоматизация управления жизненным циклом цифровых сертификатов? Что послужило толчком к поиску решения и реализации проекта?

– В нашей компании около 20 тыс. цифровых сертификатов, перевыпускаемых ежегодно. Такие объемы – это серьезный вызов для внутренней службы ИТ. А когда речь заходит об управлении ключами электронной подписи, выданными внешним аккредитованным удостоверяющим центром, сложность существенно возрастает. Особенно остро мы прочувствовали проблему при старте ЕГАИС, когда за несколько месяцев нам нужно было выпустить порядка 12 тыс. цифровых сертификатов для торговых объектов, подключенных к ЕГАИС. Сотрудникам приходилось работать круглосуточно, их ошибки при вводе ПИН-кода приводили к блокировке токенов, как следствие затягивались сроки подключения торговых объектов к ЕГАИС, поэтому возникала необходимость поставки новых устройств. Не будем забывать и об обязательных требованиях со стороны ФСБ в части эксплуатации ключей квалифицированной электронной подписи и их носителей. Особую сложность вызывают требования по ведению соответствующих журналов учета СКЗИ. Поэтому мы искали решение, которое не только оптимизирует операции с сертификатами и их учет, но и позволит мониторить весь объем и сроки действия сертификатов, выданных удостоверяющим центром.

– Внедрена ли такая система в розничной сети "Магнит"? По каким ключевым критериям осуществляли поиск решения?

– Да, мы приобрели и внедрили такое решение в 2018 г. В первую очередь нам требовалось автоматизировать управление несколькими десятками тысяч токенов и цифровых сертификатов, поддержка работы с самыми распространенными в нашей стране моделями токенов (SafeNet eToken, JaCarta, Rutoken и т.д.) и компонентами ИТ-инфраструктуры (ActiveDirectory, КриптоПРО УЦ, Windows CA и т.п.), мы внимательно изучали функциональные возможности различных решений, представленных нарынке. Вторым ключевым критерием была возможность доработки решения под наши требования. За время эксплуатации мы активно участвовали в развитии решения, важнейшей доработкой для нас были журналы учета средств криптографической защиты и цифровых сертификатов, управление различными параметрами СКЗИ на уровне политик, разработка дашборда. Если говорить о дополнительных опциях, нам было интересно подобрать решения, делающие упор не только на задачи администраторов и операторов PKI, но и упрощающие типовые задачи рядовых пользователей. Как я упоминала ранее, у нас в обороте находится около 20 тыс. сертификатов, чрезвычайно сложно следить за ними даже при наличии специализированных и эффективных средств мониторинга. Очевидно, что мониторинг собственных сертификатов отвечает интересам рядовых сотрудников. Соответственно, наличие полноценного и качественного пользовательского интерфейса (для отслеживания тех же сроков действия сертификатов) отвечает интересам всей компании.

– Как проходило внедрение системы?

– Для начала мы провели пилотное тестирование всех рассматриваемых решений. В рамках тестирования мы не только проверяли возможности автоматизации и оптимизации рутинных операций по обслуживанию PKI, нам важно было убедиться в готовности решения работать со спецификой "Магнита": например, не все точки были в домене, у одного пользователя мог быть "зоопарк" токенов и сертификатов, которые нужно было взять подуправление. По итогам тестирования при содействии вендоров мы оценили результаты и смогли принять взвешенное решение и выбрать продукт, обладающий наилучшим соотношением "цена/качество", разумеется, с нашей точки зрения потенциального потребителя. Весь процесс внедрения и масштабирования решения, учитывая опыт, полученный при тестировании и поддержке вендора, занял несколько месяцев. Хочется отдельно отметить важность этапа пилотного тестирования. Мы смогли намного лучше понять возможности всех продуктов и особенности их функционирования, что значительно упростило промышленное внедрение. Более того, как раз на этапе пилотного тестирования были выявлены все подводные камни построения процесса централизованного управления и мониторинга ключей электронной подписи, а также их носителей. Разумеется, к этапу внедрения все эти подводные камни были благополучно нейтрализованы.