Система защищенного удаленного доступа

Заказчик
Калининградский Государственный Научно-Исследовательский Центр (КГНИЦ)
Руководитель проекта со стороны заказчика
ИТ-поставщик
ООО "КРИПТО-ПРО"
Год завершения проекта
2021
Сроки выполнения проекта
Февраль, 2021 - Сентябрь, 2021
Масштаб проекта
6000 автоматизированных рабочих мест
Цели

Обеспечить защищенный удаленный доступ сотрудников органов власти и подведомственных им организаций Калининградской области к внутренним/корпоративным ресурсам и ресурсам государственных и муниципальных информационных систем:

  • с современных типов устройств (стационарных, мобильных, в т.ч. со смартфонов и планшетов, как служебных, так и личных) и наиболее распространенных ОС (Windows, Linux, macOS, Android, iOS, Аврора)

  • из любых географических локаций (в т. ч. из офисов, мест проживания, отпусков, командировок и т.д.)

  • как с использованием VPN-клиента на стороне пользователя, так и через веб-браузер (без установки VPN-клиента)

  • c применением многофакторной аутентификации с использованием аппаратных токенов

  • с применением российских криптографических алгоритмов и в соответствии с требованиями законодательства РФ по информационной безопасности

  • с возможностью применения зарубежных криптографических алгоритмов, в частности, при удаленном доступе из-за границы (во время отпусков и командировок).

Уникальность проекта

Реализованное решение представляет собой уникальный универсальный набор инструментов, позволяющих реализовать практически любой сценарий защищенного удаленного доступа с соблюдением требований законодательства РФ по информационной безопасности и тем самым обеспечить удобство, непрерывность и безопасность как локальной, так и удаленной работы сотрудников органов власти Калининградской области и подведомственных им организаций, что особенно актуально в период пандемии (распространения) коронавирусной инфекции (COVID-19).
Проект решает задачи импортозамещения
Нет
Использованное ПО

  • Сертифицированный ФСБ России универсальный шлюз удаленного доступа и VPN КриптоПро NGate, совмещающий в себе функционал TLS-сервера доступа к веб-ресурсам и VPN-сервера.

  • Корпоративный Удостоверяющий Центр КГНИЦ на базе ПАК КриптоПро УЦ, используемый для выдачи персональных сертификатов для пользователей и шлюзов NGate для организации двухсторонней аутентификации по протоколу TLS

  • Аппаратные ключевые носители, используемые для обеспечения многофакторной аутентификации пользователей при удаленном доступе к ресурсам

Сложность реализации

Решение реализовано в географически распределенном исполнении (метрокластер) и предоставляет защищенный доступ нескольким тысячам пользователей к внутренним/корпоративным ресурсам и ресурсам государственных и муниципальных информационных систем, размещенных в нескольких центрах обработки данных на территории г. Калининграда.

В зависимости от точки доступа, типа целевого ресурса и группы, к которой принадлежит пользователь –решение применяет соответствующий режим удаленного доступа, политику безопасности, методы аутентификации и криптографические алгоритмы.

Решение используется совместно с Удостоверяющим центром КГНИЦ

Описание проекта

В рамках проекта реализован защищенный удаленный доступ сотрудников органов власти и подведомственных им организаций Калининградской области к внутренним/корпоративным ресурсам и ресурсам государственных и муниципальных информационных систем:

  • с современных типов устройств (стационарных, мобильных, в т.ч. со смартфонов и планшетов, как служебных, так и личных) и наиболее распространенных ОС (Windows, Linux, macOS, Android, iOS, Аврора)

  • из любых географических локаций (в т. ч. из офисов, мест проживания, отпусков, командировок и т.д.)

  • как с использованием VPN-клиента на стороне пользователя, так и через веб-браузер (без установки VPN-клиента)

  • c применением многофакторной аутентификации с использованием аппаратных токенов

  • с применением российских криптографических алгоритмов и в соответствии с требованиями законодательства РФ по информационной безопасности

  • с возможностью применения зарубежных криптографических алгоритмов, в частности, при удаленном доступе из-за границы (во время отпусков и командировок).

География проекта

Защищенный удаленный доступ обеспечивается к ресурсам, географически распределенным по нескольким центрам обработки данных, размещенным на территории г. Калининграда. Подключающиеся пользователи могут размещаться в любой точке мира, в том числе за границей (т.к. на клиентскую часть NGate есть соответствующая нотификация ФСБ)

Коментарии: 18
  • Вадим Королев
    Рейтинг: 344
    ПАО Банк «ФК Открытие»
    Руководитель проектов Управления автоматизации внутрибанковских процессов
    24.12.2021 18:06

    Добрый день! Могли бы Вы более подробно описать схему доступа с личных мобильных устройств и указать, какие есть ограничения и как обеспечена защита от потери защищаемой информации (пересылка, скрин-шоты, снятие видео с экранов) в данном случае?

    • Роман Печенигин Вадим
      Рейтинг: 318
      Калининградский Государственный Научно-Исследовательский Центр (КГНИЦ)
      Руководитель группы «Удостоверяющий центр»
      28.12.2021 11:36

      Добрый день! Спасибо за вопрос! Внедренная система обеспечивает защиту от перехвата передаваемой в том числе с мобильных устройств информации. Для этого используется несколько механизмов защиты, в том числе двухфакторная аутентификация и криптографическая защита передаваемой информации. В качестве развития проекта рассматриваем возможность внедрения системы защиты (класса MDM) информации, хранящейся на мобильных устройствах в случаях хищения или утери мобильных устройств.

  • Лидия Мельникова
    Рейтинг: 530
    ПАО ВТБ
    Начальник Управления "Голосовой ассистент"
    27.12.2021 21:22

    Добрый вечер, Роман! Подскажите, как вы оценивали результаты по завершению проекта? Собирали ли обратную связь от пользователей и если да, то в таком формате и в каком объеме? И подскажите, если возможно, какое количество у вас пользователей Автора?

    • Роман Печенигин Лидия
      Рейтинг: 318
      Калининградский Государственный Научно-Исследовательский Центр (КГНИЦ)
      Руководитель группы «Удостоверяющий центр»
      28.12.2021 11:33

      Лидия, добрый день! Совокупно количество пользователей системы в проекте 6000. Главным результатом проекта стала возможность работать на «удалёнке» для госслужащих из любой точки и фактически с любого устройства, с соблюдением требований законодательства по защите передаваемых персональных данных. У пользователей есть возможность направить в любое время свои мнения и пожелания по работе системы и мы стараемся их учитывать.

  • Виталий Гатин
    Рейтинг: 408
    АО «Ижевский Радиозавод»
    Заместитель ИТ-Директора
    27.12.2021 21:55

    Добрый вечер!
    Рассматривались Вами альтернативные решения, кроме КриптоПро NGate?
    Если да, то какие преимущества у выбранного решения?

    • Роман Печенигин Виталий
      Рейтинг: 318
      Калининградский Государственный Научно-Исследовательский Центр (КГНИЦ)
      Руководитель группы «Удостоверяющий центр»
      28.12.2021 13:05

      Добрый день! Да, альтернативные решения рассматривали и тестировали. Выбор делали по результатам тестирования по нескольким параметрам – цена, функциональность (особенно богатый выбор методов аутентификации), производительность. По этим ключевым параметрам NGate оказался лучше остальных решений.

  • Олег Винтовкин
    Рейтинг: 118
    АО КантриКом
    CIO
    28.12.2021 11:32

    Добрый день!
    Расскажите побольше про организационные моменты. То, что выбрано определенное сертифицированное ПО, выполнены технические работы, закрыты вопросы регуляторики - это понятно. Но проект довольно масштабный, судя по количеству рабочих мест. Как вы организовывали установку и разворачивание ПО на конечные устройства?

    • Роман Печенигин Олег
      Рейтинг: 318
      Калининградский Государственный Научно-Исследовательский Центр (КГНИЦ)
      Руководитель группы «Удостоверяющий центр»
      28.12.2021 13:11

      Добрый день! Для большей части рабочих мест пользователей дополнительная установка ПО не потребовалась, т.к. во многих случаях решение позволяет получать удаленный доступ с использованием уже имеющегося на рабочем месте веб-браузера и криптопровайдера КриптоПро CSP, который также во многих случаях уже имеется на рабочих станциях. А на мобильные устройства пользователи установили необходимое ПО самостоятельно, скачав его из магазинов приложений.

  • Анатолий Рогов
    Рейтинг: 246
    ПАО Банк ВТБ
    Директор по управлению проектами
    28.12.2021 15:04

    Добрый день! Многие компании последние пару лет работают преимущественно на удаленке и подобные решения могут быть полезны как другим государственным и муниципальным органам, так и коммерческим организациям. Готовы ли вы делиться своим опытом и результатами использования решения?

    • Роман Печенигин Анатолий
      Рейтинг: 318
      Калининградский Государственный Научно-Исследовательский Центр (КГНИЦ)
      Руководитель группы «Удостоверяющий центр»
      28.12.2021 15:10

      Добрый день! Да, конечно. В личку готовы поделиться своим опытом, рассказать основные моменты по реализации проекта и по опыту использования продукта, и в том числе по сокращению существующих издержек на организацию защищенных каналов связи.

  • Андрей Кравченко
    Рейтинг: 44
    ПАО Банк ВТБ
    Директор по цифровой трансформации
    28.12.2021 22:43

    Добрый вечер! Какие аппаратные токены ваше решение поддерживает? Возможно ли на одном токене хранить ключи для российских и зарубежных криптографических алгоритмов ?

  • Роман Печенигин
    Рейтинг: 318
    Калининградский Государственный Научно-Исследовательский Центр (КГНИЦ)
    Руководитель группы «Удостоверяющий центр»
    29.12.2021 10:18

    Добрый день! Решение поддерживает практически все существующие на рынке токены, в том числе от Актива и Аладдина. Само решение поддерживает и российскую и зарубежную криптографию и если используемый токен позволяет хранить ключи для российских и зарубежных криптографических алгоритмов, то наше решение будет работать с ними.

  • Елена Парикова
    Рейтинг: 72
    ООО КНАУФ ГИПС
    Руководитель Академии КНАУФ
    30.12.2021 15:00

    Добрый день! Подскажите, пожалуйста, а для удаленного доступа могут использоваться любые мобильные устройства или только какие-то специализированные? И на сколько сложна первичная настройка устройства на стороне пользователя?

    • Роман Печенигин Елена
      Рейтинг: 318
      Калининградский Государственный Научно-Исследовательский Центр (КГНИЦ)
      Руководитель группы «Удостоверяющий центр»
      30.12.2021 15:07

      Добрый день! Да, можно использовать любые мобильные устройства на ОС Android, IOS и даже на Авроре, причем как личные, так и служебные, разницы нет. Приложение на смартфон свободно скачивается из соответствующих магазинов приложений, настройка очень простая.

  • Лев Шумский
    Рейтинг: 6
    АО Яндекс Банк
    CSO
    30.12.2021 15:40

    Добрый день. Заинтересовал Ваш проект. Подскажите, пожалуйста, для решения каких задач еще можно использовать ПАК, кроме как обеспечение безопасного удаленного доступа сотрудников Банка к корпоративным ресурсам?

    • Роман Печенигин Лев
      Рейтинг: 318
      Калининградский Государственный Научно-Исследовательский Центр (КГНИЦ)
      Руководитель группы «Удостоверяющий центр»
      30.12.2021 17:45

      Добрый день! В нашем проекте решение предоставляет доступ для госслужащих к внутренним ресурсам, а также к госинформсистемам по протоколу ГОСТ TLS. В случае с банковской сферой полагаю можно использовать такое решение для безопасного доступа к веб-порталам систем ДБО также по протоколу ГОСТ TLS.

  • Сергей Полянин
    Рейтинг: 162
    АСНА
    Технический директор
    08.01.2022 12:57

    Скажите, а чем продиктовано "с любого устройства"?
    Ведь достаточно обеспечить подготовленными ноутбуками тех, кто нужен в доступе и в командировке и в отпуске.

  • Роман Печенигин
    Рейтинг: 318
    Калининградский Государственный Научно-Исследовательский Центр (КГНИЦ)
    Руководитель группы «Удостоверяющий центр»
    08.01.2022 23:13

    Сейчас в мире и в том числе в нашей стране популярна концепция BYOD Bring Your Own Device), когда пользователь может получить необходимый ему доступ в том числе со своего личного мобильного устройства при сохранении неизменно высокого уровня информационной безопасности. Мы решили учесть эту концепцию. Да и в целом это очень удобно, когда безопасный доступ возможен из любой точки и с любого устройства.

Год
Предметная область
Отрасль
Управление