Специалисты «АЙТИ ЦЕНТР» реализовали проект по внедрению криптографических методов защиты информации

Заказчиком выступило крупное государственное образовательное учреждение — Корпоративный университет Санкт-Петербурга. Для организаций данного сектора критически важно не только обеспечить физическую связность филиалов, но и гарантировать юридическую чистоту процессов передачи данных.

Работа с госсектором требует от исполнителя строгого соблюдения регламентов ФСБ и ФСТЭК России, так как образовательные учреждения оперируют персональными данными и конфиденциальной информацией, подлежащей обязательной защите в соответствии с законодательством РФ.

Перед началом работ специалисты «АЙТИ ЦЕНТР» выявили серьезную проблему: обмен данными между зданиями университета и удаленными сотрудниками происходил по незащищенным каналам. Устаревшее оборудование не поддерживало актуальные криптографические методы защиты информации, что создавало риски утечек и несоответствия требованиям регуляторов.

Основной задачей стала модернизация сети и приведение ее к стандарту КС2 «под ключ».

Инженеры «АЙТИ ЦЕНТР» внедрили комплекс ViPNet, который объединил два удаленных здания в Санкт-Петербурге и обеспечил безопасный доступ для 10 дистанционных рабочих мест.

Что входило в работу специалистов

В рамках проекта реализован комплекс организационно-технических мероприятий, нацеленных на построение защищенной инфраструктуры государственного уровня. Работы проводились поэтапно, с фокусом на соблюдение нормативных требований и обеспечение стабильного функционирования всех узлов сети.

Этап 1. Проектирование и аудит

• Проведено предпроектное обследование текущей ИТ-инфраструктуры и каналов связи между объектами.
• Разработана архитектура защищенной сети с учетом территориальной распределенности (два административных здания в Санкт-Петербурге и пул из 10 удаленных сотрудников).
• Сформирована модель угроз и определены сценарии защищенного взаимодействия.
• Спроектирована схема сегментирования сети для минимизации поверхности атаки.

Этап 2. Развертывание криптографической инфраструктуры

• Выполнена инсталляция и первичная настройка программно-аппаратных комплексов ViPNet Coordinator HW 5 (модели HW1000 C и HW100).
• Произведена генерация и распределение ключевой информации согласно политикам безопасности заказчика.
• Развернуто клиентское программное обеспечение ViPNet Client for Windows 4.x (класс защиты КС2) на защищаемых автоматизированных рабочих местах.
• Развернуто ПО ViPNet Prime для централизованного управления криптографической сетью.

Этап 3. Построение защищенной VPN-сети и каналов связи

• Сформирована архитектура защищенной сети: узлы Coordinator HW1000 и HW100 настроены как шлюзы безопасности на периметрах объектов.
• Настроено штатное взаимодействие узлов: обеспечена бесшовная связь между центральным офисом и удаленным зданием через межсетевые экраны с шифрованием.
• Организованы защищенные каналы передачи данных: весь трафик между объектами и удаленными АРМ передается исключительно с использованием сертифицированных криптографических алгоритмов ГОСТ.
• Реализована сегментация сети: созданы изолированные VLAN для критичных сервисов и пользовательского сегмента. Это существенно снижает риск распространения угроз при компрометации одной из подсистем.
• Выполнена тонкая настройка маршрутизации и фильтрации трафика: на шлюзах Coordinator настроены правила межсетевого экранирования, исключающие прохождение нелегитимных пакетов.
• Обеспечено защищенное подключение удаленных АРМ: организован удаленный доступ для 10 территориально распределенных сотрудников с использованием криптографически защищенных туннелей.

Этап 4. Внедрение СКЗИ «под ключ»

• Проведена интеграция средств криптографической защиты информации в действующую доменную и сетевую инфраструктуру.
• Выполнена проверка корректности функционирования СКЗИ на всех типах устройств.
• Произведена отладка механизмов контроля целостности среды исполнения.

Этап 5. Разработка эксплуатационной и разрешительной документации

• Подготовлен полный комплект ОРД (организационно-распорядительной документации), что является критически важным фактором для успешного прохождения проверок надзорных органов.
• В состав документации вошли: инструкции по эксплуатации СКЗИ, журналы учета, формуляры на изделия, регламенты взаимодействия, заключение о готовности системы к промышленной эксплуатации.

Инфраструктура полностью готова к приемочным испытаниям, эксплуатации и контролю со стороны регуляторов (ФСТЭК/ФСБ). Решение обеспечивает надежную криптографическую защиту данных, передаваемых между двумя зданиями в Санкт-Петербурге и 10 удаленными сотрудниками, работающими вне периметра офиса. Заказчик получил масштабируемую систему, соответствующую актуальным требованиям информационной безопасности в госсекторе.

Сроки: оперативность без потери качества — от идеи до внедрения

Весь цикл внедрения, включая поставку дефицитного оборудования, пусконаладочные работы и обучение персонала заказчика, занял 3 месяца. Takой оперативный срок стал возможен благодаря четкому планированию этапов со стороны «АЙТИ ЦЕНТР» и наличию отработанных методик развертывания СКЗИ в территориально распределенных структурах.

Благодаря профессионализму команды «АЙТИ ЦЕНТР», заказчик получил инфраструктуру, готовую к любым проверкам регуляторов. Риски перехвата данных сведены к нулю, а 100% трафика теперь проходит через защищенные шлюзы. Главным итогом стало полное соответствие 21 Приказу ФСТЭК и возможность централизованно управлять всеми средствами криптографической защиты из единой консоли.