ЗАДАЧА
Разработка платформы доверенных сервисов, для управления электронными ключами пользователей и средствами криптографической защиты информации (СКЗИ) c учётом всех требований регуляторов.

АО «Гринатом» — аккредитованный удостоверяющий центр (УЦ), также обеспечивающий сервисы электронной подписи всем информационным системам Госкорпорации «Росатом». Изначально УЦ «Гринатом» выпускал сертификаты квалифицированной электронной подписи (УКЭП), но позже возникла задача выпускать также сертификаты неквалифицированной электронной подписи (УНЭП), специалисты ITFB Group приняли участие в реализации идеи творческой команды отдела криптографической защиты информации и цифрового доверия АО «Гринатом» и помогли создать единую платформу доверенных сервисов (ПДС). Платформа имеет возможность выпускать сертификаты всех видов, автоматизировать их оборот, а также предоставлять другим информационным системам простые и удобные API для работы с электронными подписями.

РЕШЕНИЕ

Команда реализовала платформу, позволяющую выпускать, учитывать и использовать сертификаты всех видов: квалифицированной и неквалифицированной электронной подписи. Совместно с заказчиком мы формализовали, а затем автоматизировали бизнес-процессы, связанные с учётом и оборотом сертификатов, провели интеграцию с кадровыми системами Корпорации и реализовали необходимое взаимодействие с государственными информационными системами посредством СМЭВ, в частности ЕСИА.

Одной из основных сложностей проекта была интеграция с CryptoPro, выбор оптимальных настроек и режимов работы, которые используются в ПДС и предоставляются другим ИТ-системам через удобное REST API. Мы высвободили разработчиков заказчика от взаимодействия со сложными API CryptoPro, чтобы они могли сосредоточиться на создании бизнес-функциональности и легко интегрировали электронную подпись в свои системы, не погружаясь в тонкости криптографии.
Значительные усилия команда ITFB приложила для уточнения бизнес-логики. Ряд положений нормативной базы по электронным подписям и сертификатам допускают разное прочтение, например регламент публикации сертификатов квалифицированной электронной подписи в ЕСИА.

Технологический стек во многом обусловлен требованиями по сертификации компонентов: отсюда Astra Linux, сертифицированная PostgresSQL Pro и стандарты криптографии.

С учётом географически распределённой архитектуры серверов потребовался механизм синхронизации, обеспечивающий нужные катастрофоустойчивость и скорость работы, а также предотвращающий запуск дублирующих друг друга бизнес-процессов на разных серверах. Поэтому понадобился брокер очередей. Наша команда применила RabbitMQ.

«Благодаря внедрению Платформы доверенных сервисов, в атомной отрасли стал доступен кадровый юридически значимый электронный документооборот, появилась возможность работать с электронными подписями в других корпоративных информационных системах. Помимо этого, использование Платформы сократило затраты на бумагу и хранение бумажных документов, на оргтехнику и её обслуживание, на персонал поддержи кадрового администрирования, бухгалтерского учёта и документоведов. Теперь сотрудники Госкорпорации «Росатом» и других организаций отрасли могут использовать электронный документооборот как внутри отрасли, так и при работе с внешними контрагентами» — комментирует Чернышёв Сергей Александрович, начальник отдела криптографической защиты информации и цифрового доверия АО «Гринатом».

РЕЗУЛЬТАТ

Внедрение ПДС ускорило документооборот во внутренних и внешних процессах. ПДС позволяет обеспечить сотрудников сертификатами электронной подписи для работы в государственных информационных системах, на электронных торговых и других площадках, вести централизованный учет и распространение средств криптографической защиты информации. Применение ПДС в документообороте позволило, например, внедрить витрины данных налогового мониторинга с ФНС.

При помощи ПДС сотрудники АО «Гринатом» контролируют более 15 000 средств криптографической защиты информации. Cертификатами УНЭП обеспечены более 100 000 пользователей, причем платформа позволяет им получать и продлевать сертификаты удалённо – без посещения удостоверяющего центра. Подача заявки на получение электронной подписи требует одного шага вместо пяти, а сертификат перевыпускается автоматически в рамках действующей подписки на сервис.
Работа специалистов УЦ значительно упростилась, благодаря минимизации «бумажных» процессов (реже требуется проверка бумажного комплекта документов).

Развитие системы в партнёрстве с заказчиком продолжается, например, запланирована интеграция с Единой Биометрической Системой, сервисом Госключа и др

ЦИФРЫ

• более 100 000 зарегистрированных пользователей;
• более 20 000 одновременно работающих пользователей;
• более 15 000 средств криптографической защиты информации на контроле;
• на 85% снизились трудозатраты администраторов безопасности ОКЗ и операторов УЦ на все бумажные процессы;
• более 2 000 000 документов, подписанных усиленными электронными подписями ежегодно;
• 1 шаг вместо 5 для подачи заявки на сертификат.