ПОРОГ РОСТА
Динамично развивающиеся крупные компании на определённом этапе неизбежно сталкиваются с «порогом роста»: процесс регистрации новых пользователей в Информационных Системах (ИС), контроль и предоставление прав доступа к ним в IT-инфраструктуре начинает «буксовать» из-за следующих трудностей:
– сложно получить актуальные сведения об учётных записях и действующих правах доступа;
– затруднительно вести мониторинг вносимых изменений;
– невозможно оперативно выполнить аудит текущих прав, предоставленных сотруднику.
Выход в автоматизации этих функций, и на рынке существуют решения различных компаний, объединённые общим названием «Identity Manage-ment», или IdM. Основное направление деятельности компании ООО «АйДиЭм Лаб» – IdM-решения, то есть системы управления идентификационными данными и правами доступа, на базе линейки продуктов компании Microsoft. Внедрение IdM-системы позволяет преодолеть порог роста, изменив подход к самому процессу управления правами доступа:
Помимо автоматизации базовых процессов, основанных на изменении кадровых данных, для компании на основании её штатного расписания создаётся ролевая модель, исходя из которой автоматизируется предоставление прав доступа в ИС, согласно функциональным обязанностям сотрудников. Это избавляет от многочисленных обращений в службу поддержки при кадровых назначениях, когда права доступа должны быть изменены в соответствии с новой должностью, и снижает нагрузку на службу ИБ и руководителей, позволяя не контролировать доступы на уровне каждого сотрудника, а согласовывать ролевые права доступа для штатного расписания в целом.
Гибкость в предоставлении прав доступа обеспечивается интеграцией с системой электронных заявок на ИТ-ресурсы – в случае, когда сотруднику нужен доступ в ИС, не предоставляемый по ролевой модели, он может запросить его, оформив соответствующую заявку. Включение в процесс согласования заявок руководителей и службы ИБ позволяет снизить риски несанкционированного доступа в ИС.
Автоматически ведётся мониторинг изменений и формирование ретроспективных отчётов об истории изменений в правах, доступах и ролях пользователей и проведения полноценного аудита. Возможность случайных «человеческих ошибок» исключается.
СХЕМА 1. До внедрения IDM-решения
?
СХЕМА 2. После внедрения IDM-решения
ЭФФЕКТИВНОСТЬ В ЦИФРАХ И ФАКТАХ
Одним из самых ярких примеров успешного использования преимуществ IdM-системы служит опыт её внедрения в ОАО «Альфа-Банк», где система функционирует и развивается уже 8 лет. Группа специалистов, которая выделилась в 2011 году в отдельную компанию ООО «АйДиЭм Лаб», внедряли систему управления идентификационной информацией, созданную на базе решения Microsoft, поэтапно в 2006–2010 годах.
Для исходного внедрения была поставлена бизнес-цель – обеспечить значительное ускорение авторизации сотрудников Блока розничного бизнеса, который на тот момент развивался взрывными темпами – открывалось 2–3 отделения Банка в неделю, что требовало значительных трудозатрат со стороны служб сопровождения ИТ. Таким образом, на первоначальном этапе для значительной части сотрудников было автоматизировано предоставление прав доступа в корпоративную сеть Банка, АБС и систему ServiceDesk. Права предоставлялись на основе ролевой модели (матрице прав доступа в соответствии со штатным назначением сотрудника).
Затем, в процессе расширения решения, последовательно были интегрированы более 10 ИС Банка, в обработку были включены другие подразделения, увеличив количество обрабатываемых сотрудников до 8000 (из них – более 3000 внештатных). В единый контур были связаны кадровая система как источник информации о сотрудниках, базовые системы ИТ-инфраструктуры (Active Directory, Lotus) и основные бизнес-системы банка. Были реализованы бизнес-процессы и настроены рабочие сценарии управления пользователями, автоматизировано предоставление и изменение прав доступа на основании изменений кадровой информации, включающее создание, ликвидацию и реорганизацию бизнес-подразделений, приём сотрудников на работу, перевод по штатному расписанию внутри подразделения и между ними, замещения, отпуска и увольнения сотрудников.
На третьем этапе в контур интеграции была включена система ИТ-заявок, что позволило расширить набор автоматизируемых процессов предоставления правил доступа сотрудникам, предоставив им возможность запрашивать доступ в требуемую ИС по заявке, а руководителям и сотрудникам ИБ включаться в процесс согласования этих доступов.
После того, как IdM-система наглядно продемонстрировала удобства и эффективность управления доступом и учётной информацией, система стала корпоративным стандартом – согласно разработанным в банке «Требованиям к Информационным Системам в части управления учетными записями пользователя» внедряемые системы должны предоставлять свои интерфейсы для интеграции с IdM-системой. С 2012 года и по настоящее время система управления идентификационной информацией банка активно развивается компанией ООО «АйДиЭм Лаб» и уже объединяет более 20 самостоятельных информационных систем и более 50 подключённых к каталогу Active Directory.
Контрольные показатели эффективности внедрения IdM-системы ОАО «Альфа-Банк» таковы: автоматизированным управлением правами доступа удалось обеспечить свыше 100 000 со-трудников, штатных и внештатных. Общее время регистрации и предоставления прав доступа во все системы сократилось до 2-х часов в среднем, в то время как ранее на предоставление прав доступа сотруднику в каждую целевую систему требовалось 4–6 часов – а в среднем каждому сотруднику их требуется более 10-ти.
Автоматическая обработка существенно сэкономила рабочее время различных подразделений, в рабочих часах за месяц:
Проект был особо выделен среди других и удостоен диплома на международной выставке-конференции Info-Security Russia 2012.
ПУТИ РАЗВИТИЯ
Основным феноменом внедрения IdM-решения оказалось не столько эффективность автоматизации рутинных операций по сопровождению авторизации в информационных системах, сколько появившиеся возможности синхронизации различных данных, имеющих отношение к сотрудникам. Это позволило реализовать интересные с точки зрения бизнес-процессов сценарии замещения сотрудников на время отпуска, а также уведомление руководителей и включение их в процессы согласования. Отдельно стоит упомянуть систему функциональных переводов, когда сотрудникам – под контролем службы ИБ и руководителей – без изменения кадровых назначений могут назначаться функциональные должности, для которых автоматически предоставляется доступ к тем или иным системам.
В конечном счёте, после внедрения IdM-решения изменилось само понимание информационной инфраструктуры – она становится действительно средой, объединяющей информационные системы не только общими каналами связи, но и общими процессами в части управления пользователями и их правами доступа. Появляется консолидирующее ядро – система IdM – и при включении в контур интеграции новой системы данные о её пользователях попадают в общее хранилище, и автоматически для неё становится доступен весь накопленный массив данных.
Немаловажным является интеграция с такими базовыми для ИТ-службы системами ITSM, как ServiceDesk и система заявок – возможность реализовать автоматическое исполнение большинства заявок на предоставление доступов к тем или иным системам освобождает руки сотрудников службы HelpDesk и администраторов ИС, тогда как автоматическое назначение им задач позволяет по новому построить и ускорить процессы управления рабочими местами.
BIS-КОММЕНТАРИЙ
А.В. МАЛАНЬИН,
первый заместитель директора Дирекции сопровождения информационных систем
ОАО «Альфа-Банк»:
– IdM-решение, ставшее базисом для ИТ-инфраструктуры Банка, зарекомендовало себя как действительно эффективное, надёжное и мощное средство, облегчающее жизнь не только ИТ-специалистов, но и бизнеса, сотрудников безопасности, конечных сотрудников Банка – словом, всех, кто в своей работе использует ИТ-инфраструктуру или от нее зависит. В ближайших планах развития – расширение системы на всю банковскую группу.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных