Система Avanpost IDM для централизованного управления доступом в информационных системах

11 декабря, 2018

Система Avanpost IDM для централизованного управления доступом в информационных системах

АО «Россельхозбанк» — один из наиболее эффективных и респектабельных российских банков, работающий с юридическими и физическими лицами. По ключевым показателям деятельности и активам он входит в ТОП-5 российских банков.

При этом визитной карточкой Россельхозбанка являются не только продуманная стратегия, профессионализм сотрудников, но и чёткость и клиентоориентированность бизнес-процессов. Еще одно его отличие от многих других финансово-кредитных организаций — это особое внимание к вопросам информационной безопасности и, в частности, к управлению доступом и его контролю.

Работу сотрудников банка поддерживают многие десятки информационных систем (ИС) различного назначения, среди которых есть централизованные и децентрализованные, используемые всеми подразделениями или только определенными региональными офисами, массовые или предназначенные лишь для ограниченного количества ответственных лиц.  Многие ИС активно развиваются, в них появляются новые функции, они становятся нужны новым группам пользователей. При этом главным отличием подхода Россельхозбанка является даже не число и разнообразие ИС, а тщательность проработки ролевой модели и регламентов управления доступом, охватывающих все ИС и все аспекты управления доступом. Стратегия активного развития Россельхозбанка (и особенно его розничного направления) потребовала ускорения всей технологии управления и контроля доступом, проведения её глубокой автоматизации на основе современного IDM-решения. И при этом сохранить и использовать всё ценное, что имелось в нормативных документах, методических наработках и практиках работы предшествующего периода.

Управление доступом по-новому

Технической основой новой системы управления доступом Россельхозбанка стал российский программный продукт Avanpost IDM (разработчик: компания Аванпост).

Результатом его внедрения стало создание в РСХБ единой централизованной системы, контролирующей управление доступом в централизованных и децентрализованных ИС, включая массово используемые и критические для всего банка: автоматизированную банковскую систему, корпоративную почту, лес доменов Microsoft Active Directory, ряд доменов Lotus Domino (объединяют решения класса groupware и различные базы данных для работы со слабо структурированной информацией). Также к системе управления доступом подключены десятки ИС, применяемых во всех регионах РФ. При этом IDM-решение работает как в полностью автоматическом режиме, так и в режиме ручного исполнения — в зависимости от категории конкретной управляемой ИС. Выбор режима исполнения определяется экономической целесообразностью, оцениваемой в соответствии с регламентами Россельхозбанка. В настоящее время (сентябрь 2018 года) Avanpost IDM управляет правами большинства пользователей информационных систем Россельхозбанка, а это — десятки тысяч человек и свыше 80 тыс. учетных записей.

Как работает новая система управления доступом?

В Avanpost IDM применяется сразу три подхода к автоматизации выдачи и отзыва прав пользователей в различных ИС. Это:

автоматическая обработка кадровых событий (на основе ролевой модели и за счет интеграции IDM с источниками кадровых событий и с управляемыми системами);
автоматизация процессов формирования запросов полномочий самими пользователями и дальнейшей обработки этих запросов по сложным регламентам;
автоматическое предотвращение недопустимых сочетаний ролей (SOD-конфликтов).

Интеграция IDM с источником кадровых событий и управляемыми ИС. За такую интеграцию в IDM отвечают т.н. модули сопряжения (коннекторы). Обилие и разнообразие ИС, с которыми работают пользователи Россельхозбанка, а также сложность ИТ-ландшафта привели к тому, что в данном проекте проявилось три важных преимущества Avanpost IDM:

обилие готовых коннекторов к различному системному, инфраструктурному и прикладному ПО;
относительная простота создания новых модулей сопряжения;
возможность после настройки коннекторов проводить автоматические аудиты прав доступа, которые выявляют отклонения фактических прав доступа от нормативных, причем во всех подключенных к IDM управляемых системах.

В ходе внедрения Avanpost IDM в Россельхозбанке не только произведена вся необходимая настройка коннекторов и запущен аудит прав доступа, но и настроены отчеты, необходимые для контроля процессов и расследования инцидентов ИБ.

Ролевая модель — на бумаге и в IDM. Ролевая модель задает нормативные наборы прав различных категорий пользователей в информационных системах предприятия. В Avanpost IDM имеется полный набор встроенных инструментов и средств автоматизации для создания ролевой модели и поддержания её в актуальном состоянии. Но даже несмотря на это, для многих организаций методически корректная работа с ролевыми моделями оказывается сложнейшей, а зачастую и неразрешимой задачей.

Однако в Россельхозбанке этой проблемы не возникло, поскольку, приступая к внедрению Avanpost IDM, он уже имел актуальную ролевую модель, технологию её актуализации (в виде неукоснительно соблюдаемых административных регламентов) и чётко описанные процессы предоставления доступа для каждой из своих информационных систем. Эти наработки позволили полностью раскрыть потенциал Avanpost IDM и провести внедрение методически корректно. Процессы запроса полномочий в Avanpost IDM позволяют пользователям самостоятельно создавать заявки на получение / отзыв прав, а также организовать их согласование по сценариям любой сложности. При этом списки визирующих лиц, маршруты согласования заявок, правила делегирования полномочий и другие аспекты гибко настраиваются. Для управления процессами в Avanpost IDM имеется визуальный конструктор процессов и полнофункциональная система управления workflow, достаточно гибкая, чтобы оперировать сложными регламентами из сотен шагов.

Предотвращение SOD-конфликтов

Встроенная в Avanpost IDM функция предотвращения SOD-конфликтов (из арсенала решений класса IGA) позволила уже при оформлении заявок полностью предотвратить наделение сотрудников потенциально опасными сочетаниями прав, совмещение которых запрещено действующими регламентами Россельхозбанка.

Еще до внедрения IDM в банке была выработана целая система запретов на совмещение ролей, которая предотвращала или существенно снижала многие риски, но была трудоемкой.  Поскольку механизм работы с SOD-конфликтами был реализован еще в 5-м релизе Avanpost IDM, при внедрении круг проверок был даже расширен, а все рутинные операции — полностью автоматизированы. Более того, внедренная система выявляет конфликты превентивно, еще при формировании заявки, не позволяя отправить конфликтные заявки на согласование. При этом система предлагает возможные корректирующие действия, а также позволяет пользователю задать свой вариант устранения конфликта.

Как развивался проект

Подготовка к внедрению IDM-решения началась в 2013 году. За несколько лет в Россельхозбанке был выполнен целый ряд полноценных пилотных проектов, к которым привлекались фокус-группы, состоявшие из представителей бизнес-, ИТ- и ИБ-подразделений. В проектах было задействовано порядка 1500 пользователей, при этом банк сравнивал IDM-решения разных производителей (Oracle, IBM, Microsoft, Avanpost, КУБ и др.).

С началом санкций против РФ работы по IDM были временно приостановлены, т. к. нужно было выработать стратегию в новых условиях. В 2016 году работы вновь стартовали — на основе продукта Avanpost IDM 5.0. Фаза активного внедрения IDM-решения пришлась на период с мая по август 2016, а с сентября (после успешного тестирования предлагаемого IDM-решения в пилотной зоне) было произведено масштабирование на все подразделения банка с целью подтверждения производительности и отказоустойчивости решения. Успешное тестирование и положительные отзывы подразделений, осуществляющих основную деятельность заказчика, закрепили Avanpost IDM как целевое решение для создания централизованной системы управления доступом в Россельхозбанке.

Дальнейшее развитие системы началось в мае 2017-го года и проходило в два этапа. На первом этапе были доработаны, упрощены и стандартизованы процессы управления доступом, построенные в рамках пилотного проекта. Создавались инструменты администрирования процессов (включая автоматизацию), проводилась оптимизация и доработка компонентов пользовательского интерфейса и интеграционных решений. Также, в продукте были реализованы гибкие настройки исключительных правил обработки кадровых событий и внесено множество других изменений, призванных облегчить эксплуатацию и использование системы в банке.

На втором этапе (с сентября по декабрь 2017 года) проведено масштабирование с точки зрения количества управляемых систем и ролей пользователей ИС, а также был запущен аудит прав доступа и разработаны отчеты.

Что же получил «Россельхозбанк»?

Упростилась работа пользователей, оформляющих заявки на получение прав доступа и участвующих в их визировании. Здесь стоит отметить не только штатные функции Avanpost IDM, но и доработки, выполненные по требованию заказчика (например, так был кастомизирован и упрощен интерфейс управления доступом для групп работников, позволяющий массово задавать и менять права доступа), а также автоматизацию реагирования на различные задержки процессов по разным причинам (например, делегирование для заявок, которые должен был обработать сотрудник, находящийся в командировке или отпуске). И, конечно, выявление и предотвращение SOD-конфликтов.

Внедрение Avanpost IDM снизило нагрузку на сотрудников Россельхозбанка, участвующих в процессах создания, согласования и предоставления доступа. Особую роль здесь сыграли: максимальное использование классических функций IDM для автоматизации реагирования на кадровые события, обработка исключений из правил обработки кадровых событий, гибкость описания регламентов процессов в Avanpost IDM, а также большое число готовых и простота разработки новых модулей сопряжения (коннекторов) к управляемым системам.

Россельхозбанку были переданы знания и инструментарий, позволяющие самостоятельно сопровождать и развивать IDM-решение. В настоящее время специалисты банка успешно эксплуатируют IDM-систему, развивают ролевую модель и процессы согласования.

Теперь сотрудники, отвечающие за развитие, интегрируют в уже автоматизированный процесс управления доступом всё новые информационные системы, массово используемые в банке. И еще, этот проект позволил Россельхозбанку снизить санкционные риски и на практике оценить качество российского ПО. Банк смотрит в будущее и верит в перспективы отечественного ПО. Проекты, подобные внедрению Avanpost IDM, помогают банку отслеживать состояние и векторы развития ведущих российских системообразующих программных продуктов и вырабатывать сбалансированную техническую политику.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку
10.10.2024
Эксперты UserGate обнаружили критическую уязвимость в Zangi
10.10.2024
«Вне зависимости от мотивации преступников успешная атака на крупный бизнес выглядит привлекательнее всего»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных