20 января, 2015, BIS Journal №4(15)/2014

IDM-решения: выигрывают все


Петров Сергей

генеральный директор (ООО «АйДиЭм Лаб»)

Оптимизируя работу специалистов ИТ, повышая информационную безопасность, автоматизация управления правами доступа изменяет сам подход к организации информационной инфраструктуры

По мере укрупнения и расширения бизнеса растёт количество сотрудников (как внутренних, так и внешних), и корпоративной IT-инфраструктуре требуется всё больше ресурсов для управления правами доступа персонала. Достигая определённого уровня, компания неизбежно сталкивается с необходимостью оптимизировать работу своей информационной инфраструктуры и службы ИТ. Как это лучше сделать?

 

ПОРОГ РОСТА

Динамично развивающиеся крупные компании на определённом этапе неизбежно сталкиваются с «порогом роста»: процесс регистрации новых пользователей в Информационных Системах (ИС), контроль и предоставление прав доступа к ним в IT-инфраструктуре начинает «буксовать» из-за следующих трудностей:

  • работа технической поддержки сильно тормозится частыми обращениями, как при первоначальном предоставлении права доступа, так и при последующих изменениях;
  • увеличивается количество ошибок при изменении учетных записей и предоставлении прав доступа;
  • большое количество учётных записей в различных ИС никак не связаны друг с другом, что приводит к следующим трудностям:

– сложно получить актуальные сведения об учётных записях и действующих правах доступа;
– затруднительно вести мониторинг вносимых изменений;
– невозможно оперативно выполнить аудит текущих прав, предоставленных сотруднику.

Выход в автоматизации этих функций, и на рынке существуют решения различных компаний, объединённые общим названием «Identity Manage-ment», или IdM. Основное направление деятельности компании ООО «АйДиЭм Лаб» – IdM-решения, то есть системы управления идентификационными данными и правами доступа, на базе линейки продуктов компании Microsoft. Внедрение IdM-системы позволяет преодолеть порог роста, изменив подход к самому процессу управления правами доступа:

  • автоматизированные сценарии, исполняемые системой, позволяют избавиться от рутинных операций регистрации учетных записей новых сотрудников в ИС;
  • автоматическое блокирование и удаление прав доступа при увольнении сотрудников закрывает задачи информационной безопасности (ИБ) в части несанкционированного доступа в ИС под учётными записями уволенных сотрудников;
  • сопровождение изменений на протяжении времени работы сотрудника сокращает трудозатраты службы сопровождения ИТ.

Помимо автоматизации базовых процессов, основанных на изменении кадровых данных, для компании на основании её штатного расписания создаётся ролевая модель, исходя из которой автоматизируется предоставление прав доступа в ИС, согласно функциональным обязанностям сотрудников. Это избавляет от многочисленных обращений в службу поддержки при кадровых назначениях, когда права доступа должны быть изменены в соответствии с новой должностью, и снижает нагрузку на службу ИБ и руководителей, позволяя не контролировать доступы на уровне каждого сотрудника, а согласовывать ролевые права доступа для штатного расписания в целом.

Гибкость в предоставлении прав доступа обеспечивается интеграцией с системой электронных заявок на ИТ-ресурсы – в случае, когда сотруднику нужен доступ в ИС, не предоставляемый по ролевой модели, он может запросить его, оформив соответствующую заявку. Включение в процесс согласования заявок руководителей и службы ИБ позволяет снизить риски несанкционированного доступа в ИС.

Автоматически ведётся мониторинг изменений и формирование ретроспективных отчётов об истории изменений в правах, доступах и ролях пользователей и проведения полноценного аудита. Возможность случайных «человеческих ошибок» исключается.

СХЕМА 1. До внедрения IDM-решения

?

СХЕМА 2. После внедрения IDM-решения

ЭФФЕКТИВНОСТЬ В ЦИФРАХ И ФАКТАХ

Одним из самых ярких примеров успешного использования преимуществ IdM-системы служит опыт её внедрения в ОАО «Альфа-Банк», где система функционирует и развивается уже 8 лет. Группа специалистов, которая выделилась в 2011 году в отдельную компанию ООО «АйДиЭм Лаб», внедряли систему управления идентификационной информацией, созданную на базе решения Microsoft, поэтапно в 2006–2010 годах.

Для исходного внедрения была поставлена бизнес-цель – обеспечить значительное ускорение авторизации сотрудников Блока розничного бизнеса, который на тот момент развивался взрывными темпами – открывалось 2–3 отделения Банка в неделю, что требовало значительных трудозатрат со стороны служб сопровождения ИТ. Таким образом, на первоначальном этапе для значительной части сотрудников было автоматизировано предоставление прав доступа в корпоративную сеть Банка, АБС и систему ServiceDesk. Права предоставлялись на основе ролевой модели (матрице прав доступа в соответствии со штатным назначением сотрудника).

Затем, в процессе расширения решения, последовательно были интегрированы более 10 ИС Банка, в обработку были включены другие подразделения, увеличив количество обрабатываемых сотрудников до 8000 (из них – более 3000 внештатных). В единый контур были связаны кадровая система как источник информации о сотрудниках, базовые системы ИТ-инфраструктуры (Active Directory, Lotus) и основные бизнес-системы банка. Были реализованы бизнес-процессы и настроены рабочие сценарии управления пользователями, автоматизировано предоставление и изменение прав доступа на основании изменений кадровой информации, включающее создание, ликвидацию и реорганизацию бизнес-подразделений, приём сотрудников на работу, перевод по штатному расписанию внутри подразделения и между ними, замещения, отпуска и увольнения сотрудников.

На третьем этапе в контур интеграции была включена система ИТ-заявок, что позволило расширить набор автоматизируемых процессов предоставления правил доступа сотрудникам, предоставив им возможность запрашивать доступ в требуемую ИС по заявке, а руководителям и сотрудникам ИБ включаться в процесс согласования этих доступов.

После того, как IdM-система наглядно продемонстрировала удобства и эффективность управления доступом и учётной информацией, система стала корпоративным стандартом – согласно разработанным в банке «Требованиям к Информационным Системам в части управления учетными записями пользователя» внедряемые системы должны предоставлять свои интерфейсы для интеграции с IdM-системой. С 2012 года и по настоящее время система управления идентификационной информацией банка активно развивается компанией ООО «АйДиЭм Лаб» и уже объединяет более 20 самостоятельных информационных систем и более 50 подключённых к каталогу Active Directory.

Контрольные показатели эффективности внедрения IdM-системы ОАО «Альфа-Банк» таковы: автоматизированным управлением правами доступа удалось обеспечить свыше 100 000 со-трудников, штатных и внештатных. Общее время регистрации и предоставления прав доступа во все системы сократилось до 2-х часов в среднем, в то время как ранее на предоставление прав доступа сотруднику в каждую целевую систему требовалось 4–6 часов – а в среднем каждому сотруднику их требуется более 10-ти.

Автоматическая обработка существенно сэкономила рабочее время различных подразделений, в рабочих часах за месяц:

  • специалистов HelpDesk – 200 часов;
  • администраторов ИС – 700 часов;
  • руководителей в части запроса прав доступа для своих подчинённых и их аудита – 200 часов;
  • специалистов ИБ – 300 часов.

Проект был особо выделен среди других и удостоен диплома на международной выставке-конференции Info-Security Russia 2012.

ПУТИ РАЗВИТИЯ

Основным феноменом внедрения IdM-решения оказалось не столько эффективность автоматизации рутинных операций по сопровождению авторизации в информационных системах, сколько появившиеся возможности синхронизации различных данных, имеющих отношение к сотрудникам. Это позволило реализовать интересные с точки зрения бизнес-процессов сценарии замещения сотрудников на время отпуска, а также  уведомление руководителей и включение их в процессы согласования. Отдельно стоит упомянуть систему функциональных переводов, когда сотрудникам – под контролем службы ИБ и руководителей – без изменения кадровых назначений могут назначаться функциональные должности, для которых автоматически предоставляется доступ к тем или иным системам.

В конечном счёте, после внедрения IdM-решения изменилось само понимание информационной инфраструктуры – она становится действительно средой, объединяющей информационные системы не только общими каналами связи, но и общими процессами в части управления пользователями и их правами доступа. Появляется консолидирующее ядро – система IdM – и при включении в контур интеграции новой системы данные о её пользователях попадают в общее хранилище, и автоматически для неё становится доступен весь накопленный массив данных.

Немаловажным является интеграция с такими базовыми для ИТ-службы системами ITSM, как ServiceDesk и система заявок – возможность реализовать автоматическое исполнение большинства заявок на предоставление доступов к тем или иным системам освобождает руки сотрудников службы HelpDesk и администраторов ИС, тогда как автоматическое назначение им задач позволяет по новому построить и ускорить процессы управления рабочими местами.

 

По мере роста бизнеса, увеличения его масштабов, охвата территорий, расширения перечня и разнообразия услуг и бизнес-процессов, растут и требования к IdM системе. Со временем появляется потребность оптимизировать работу IdM-системы: устранить выявленные проблемы, убрать «узкие места», раскрыть новые возможности. Компания ООО «АйДиЭм Лаб», изначально задуманная как центр компетенции IdM, оказывает полный спектр услуг в этой сфере – осуществляет консультирование, прогнозирует результаты внедрения IdM-решения или оценивает эффективность использования существующего, и при необходимости – проводит оптимизацию и развитие IdM-решений. Деятельность компании не ограничивается только внедрением в Альфа-Банке – на протяжении нескольких лет компания внедряет и поддерживает решения в инфраструктуре других заказчиков.

 

 

BIS-КОММЕНТАРИЙ

А.В. МАЛАНЬИН,
первый заместитель директора Дирекции сопровождения информационных систем
ОАО «Альфа-Банк»:

– IdM-решение, ставшее базисом для ИТ-инфраструктуры Банка, зарекомендовало себя как действительно эффективное, надёжное и мощное средство, облегчающее жизнь не только ИТ-специалистов, но и бизнеса, сотрудников безопасности, конечных сотрудников Банка – словом, всех, кто в своей работе использует ИТ-инфраструктуру или от нее зависит. В ближайших планах развития – расширение системы на всю банковскую группу.

 

Смотрите также

Подпишись на новости!
Подписаться