ТЕХНИЧЕСКАЯ ОРГАНИЗАЦИЯ ЗАЩИТЫ WEB – ПРИЛОЖЕНИЙ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ФЗ 152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ» Денис Александров, Ведущий инженер ЗАО «ПЕТЕР-СЕРВИС»

billing.ru О Компании ПЕТЕР-СЕРВИС МоскваНовосибирскКраснодарЕкатеринбург Самара Киев Complus Resources Limited

billing.ru География основных клиентов Samara Krasnodar Kishinev Cyprus Kemerovo Novokuznetsk

billing.ru Основные клиенты

billing.ru Много разных Web-приложений Биллинговая система Абонентская картотека Технический учет Обработка заявок и нарядов Активация оборудования И другие… Исполнителям комплексных бизнес-процессов необходимо использовать различные информационные системы:

billing.ru Зачем это нужно … Осуществлять повторную регистрацию (logon) Повторно вводить текущие параметры бизнес-процесса (номер лицевого счета, абонентский номер, код услуги…) Переключать внимание на различные «окна» В рамках сквозного бизнес-процесса при переходе из одной информационной системы в другую Исполнителю приходится: Как избавиться от избыточных операций и увеличить эффективность работы пользователей? Как унифицированным и экономичным образом защитить персональные данные абонентов, хранящиеся в различных системах?

billing.ru Тенденции в области информационной безопасности Исторические проблемы - несовместимость систем управления аутентификацией, авторизацией и аудитом в разных продуктах. Это означает для заказчиков: Трудоемкое администрирование учетных записей –Многократная регистрация пользователей в разных системах –Необходимость выдавать права в каждой системе по отдельности –Различные интерфейсы администрирования в разных системах Сложности при использование –Отсутствие единой точки входа (много разных паролей) Новые законодательные требования: Обязательность защиты персональных данных – ФЗ «О персональных данных» Для защиты персональных данных в крупных АС обязательно использование сертифицированных средств защиты billing.ru

Зачем нужно «единое окно» Выполнение требований ФЗ 152 Обзор общей схемы решения Механизмы интеграции Заключение Содержание

billing.ru Требования законодательства Постановление Правительства РФ от 17 ноября 2007 г. 781, утверждающее «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Совместный приказ ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 г. 55/86/20, утверждающий «Порядок проведения классификации информационных систем персональных данных» Приказ ФСТЭК России от 5 февраля 2010 г. 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Федеральный закон РФ от ФЗ

billing.ru Необходимые мероприятия Антивирусная защита Обнаружение вторжений Контроль защищенности Регистрация и учет Управление доступом Обеспечение целостности Криптозащита Межсетевое взаимодействие

billing.ru Необходимые мероприятия Антивирусная защита Обнаружение вторжений Контроль защищенности Регистрация и учет HASAM Управление доступом HASAM Обеспечение целостности HASAM Криптозащита TOKEN_INT Межсетевое взаимодействие

billing.ru Продукт HAS ACCESS MANАGER Наличие сертификата на средство защиты информации Можно применять данное средство защиты в Web и мобильных приложениях Масштабируемость и высокая производительность 10 мил. пользователей Мультиплатформенность (HP-UX, Linux, Sun Solaris, Windows)

billing.ru PETER-SERVICE SECURITY MANAGER

billing.ru Состав сертифицированное средство защиты информации от несанкционированного доступа, предназначенное для защиты информации в решениях, построенных на базе трехзвенной архитектуры PETER-SERVICE HAS ACCESS MANAGER web-сервер Apache c модулем XSLT-трансформации и WAF (mod_security) высокопроизводительный сервер приложений (HAS-сервер) web интерфейс для управления атрибутами доступа в HAS-сервер СУБД Oracle (Oracle Database 10g Express Edition) инсталлятор под все поддерживаемые операционные системы Скрипы миграции

billing.ru Подробная схема решения

billing.ru Схема решения: Пример PETER-SERVICE WBMS Обработка абонентской картотеки PETER-SERVICE RMS Работа с должниками PETER-SERVICE CMS_WEB Автоматизация бизнес- процессов Различные Web-продукты от Петер-Сервис уже работают в «Едином окне»

billing.ru Варианты интеграции партнерских web-приложений Минимальная интеграция без передачи параметров бизнес– процессов Необходимо зарегистрировать служебную информацию – мнемоническое имя формы, адрес и, опционально, набор передаваемых и возвращаемых значений. Интеграция с передачей параметров бизнес–процессов Дополнительно требуется описать правила получения и преобразования типовых параметров для каждой связки приложений и создать интеграционные скрипты на языке программирования JavaScript для передачи параметров между вызываемыми формами. Полная интеграция внешних форм (WebX) Может понадобиться в случае необходимости передачи дополнительных параметров в другие приложения, которые не могут быть переданы без изменения кода формы.

billing.ru Интеграция на основе WebX billing.ru WebX представляет собой технологию работы Web-форм, регламентирующую способ оформления их программного интерфейса. В настоящее время: Описания интерфейсов (API) Механизмы запуска WebX-форм (включая внешние) Различные инициаторы запуска Работа с несколькими рабочими областями Обмена параметров бизнес–процессов между формами

billing.ru Интегрируемые партнерские web- приложения: редактирование параметров 19 Редактирование параметров внешней системы в интерфейсе администратора

billing.ru Пример подключения партнерских web-приложений 20 Раздел «Маркетинговые кампании» в Управление каналами доставки маркетинговых предложений

billing.ru Пример подключения партнерских web-приложений 21 Раздел «Пополнение счета банковской картой» в Сервис-Гид

billing.ru Конструирование бизнес-процессов

billing.ru Бизнес–процессы облегчают жизнь

billing.ru TMForum Customer Management Service Management Resource Management Supplier/Partner Management Enterprise Management Security Management

billing.ru Заключение Выполнение требований ФЗ 152 «О персональных данных» (HASAM) Единые окно Web-приложений с механизмами единой аутентификацию, авторизацию и аудита Проработанные механизмы интеграции (WebX) Открытые интерфейсы взаимодействия (API) Поддержка механизмов построения бизнес–процессов (WorkFlow)

© 2007, PETER-SERVICE© 2010, PETER-SERVICE Спасибо за внимание ! Денис Александров Ведущий инженер URL: