АО «Россельхозбанк» — один из наиболее эффективных и респектабельных российских банков, работающий с юридическими и физическими лицами. По ключевым показателям деятельности и активам он входит в ТОП-5 российских банков.
При этом визитной карточкой Россельхозбанка являются не только продуманная стратегия, профессионализм сотрудников, но и чёткость и клиентоориентированность бизнес-процессов. Еще одно его отличие от многих других финансово-кредитных организаций — это особое внимание к вопросам информационной безопасности и, в частности, к управлению доступом и его контролю.
Работу сотрудников банка поддерживают многие десятки информационных систем (ИС) различного назначения, среди которых есть централизованные и децентрализованные, используемые всеми подразделениями или только определенными региональными офисами, массовые или предназначенные лишь для ограниченного количества ответственных лиц. Многие ИС активно развиваются, в них появляются новые функции, они становятся нужны новым группам пользователей. При этом главным отличием подхода Россельхозбанка является даже не число и разнообразие ИС, а тщательность проработки ролевой модели и регламентов управления доступом, охватывающих все ИС и все аспекты управления доступом. Стратегия активного развития Россельхозбанка (и особенно его розничного направления) потребовала ускорения всей технологии управления и контроля доступом, проведения её глубокой автоматизации на основе современного IDM-решения. И при этом сохранить и использовать всё ценное, что имелось в нормативных документах, методических наработках и практиках работы предшествующего периода.
Управление доступом по-новому
Технической основой новой системы управления доступом Россельхозбанка стал российский программный продукт Avanpost IDM (разработчик: компания Аванпост).
Результатом его внедрения стало создание в РСХБ единой централизованной системы, контролирующей управление доступом в централизованных и децентрализованных ИС, включая массово используемые и критические для всего банка: автоматизированную банковскую систему, корпоративную почту, лес доменов Microsoft Active Directory, ряд доменов Lotus Domino (объединяют решения класса groupware и различные базы данных для работы со слабо структурированной информацией). Также к системе управления доступом подключены десятки ИС, применяемых во всех регионах РФ. При этом IDM-решение работает как в полностью автоматическом режиме, так и в режиме ручного исполнения — в зависимости от категории конкретной управляемой ИС. Выбор режима исполнения определяется экономической целесообразностью, оцениваемой в соответствии с регламентами Россельхозбанка. В настоящее время (сентябрь 2018 года) Avanpost IDM управляет правами большинства пользователей информационных систем Россельхозбанка, а это — десятки тысяч человек и свыше 80 тыс. учетных записей.
Как работает новая система управления доступом?
В Avanpost IDM применяется сразу три подхода к автоматизации выдачи и отзыва прав пользователей в различных ИС. Это:
автоматическая обработка кадровых событий (на основе ролевой модели и за счет интеграции IDM с источниками кадровых событий и с управляемыми системами);
автоматизация процессов формирования запросов полномочий самими пользователями и дальнейшей обработки этих запросов по сложным регламентам;
автоматическое предотвращение недопустимых сочетаний ролей (SOD-конфликтов).
Интеграция IDM с источником кадровых событий и управляемыми ИС. За такую интеграцию в IDM отвечают т.н. модули сопряжения (коннекторы). Обилие и разнообразие ИС, с которыми работают пользователи Россельхозбанка, а также сложность ИТ-ландшафта привели к тому, что в данном проекте проявилось три важных преимущества Avanpost IDM:
обилие готовых коннекторов к различному системному, инфраструктурному и прикладному ПО;
относительная простота создания новых модулей сопряжения;
возможность после настройки коннекторов проводить автоматические аудиты прав доступа, которые выявляют отклонения фактических прав доступа от нормативных, причем во всех подключенных к IDM управляемых системах.
В ходе внедрения Avanpost IDM в Россельхозбанке не только произведена вся необходимая настройка коннекторов и запущен аудит прав доступа, но и настроены отчеты, необходимые для контроля процессов и расследования инцидентов ИБ.
Ролевая модель — на бумаге и в IDM. Ролевая модель задает нормативные наборы прав различных категорий пользователей в информационных системах предприятия. В Avanpost IDM имеется полный набор встроенных инструментов и средств автоматизации для создания ролевой модели и поддержания её в актуальном состоянии. Но даже несмотря на это, для многих организаций методически корректная работа с ролевыми моделями оказывается сложнейшей, а зачастую и неразрешимой задачей.
Однако в Россельхозбанке этой проблемы не возникло, поскольку, приступая к внедрению Avanpost IDM, он уже имел актуальную ролевую модель, технологию её актуализации (в виде неукоснительно соблюдаемых административных регламентов) и чётко описанные процессы предоставления доступа для каждой из своих информационных систем. Эти наработки позволили полностью раскрыть потенциал Avanpost IDM и провести внедрение методически корректно. Процессы запроса полномочий в Avanpost IDM позволяют пользователям самостоятельно создавать заявки на получение / отзыв прав, а также организовать их согласование по сценариям любой сложности. При этом списки визирующих лиц, маршруты согласования заявок, правила делегирования полномочий и другие аспекты гибко настраиваются. Для управления процессами в Avanpost IDM имеется визуальный конструктор процессов и полнофункциональная система управления workflow, достаточно гибкая, чтобы оперировать сложными регламентами из сотен шагов.
Предотвращение SOD-конфликтов
Встроенная в Avanpost IDM функция предотвращения SOD-конфликтов (из арсенала решений класса IGA) позволила уже при оформлении заявок полностью предотвратить наделение сотрудников потенциально опасными сочетаниями прав, совмещение которых запрещено действующими регламентами Россельхозбанка.
Еще до внедрения IDM в банке была выработана целая система запретов на совмещение ролей, которая предотвращала или существенно снижала многие риски, но была трудоемкой. Поскольку механизм работы с SOD-конфликтами был реализован еще в 5-м релизе Avanpost IDM, при внедрении круг проверок был даже расширен, а все рутинные операции — полностью автоматизированы. Более того, внедренная система выявляет конфликты превентивно, еще при формировании заявки, не позволяя отправить конфликтные заявки на согласование. При этом система предлагает возможные корректирующие действия, а также позволяет пользователю задать свой вариант устранения конфликта.
Как развивался проект
Подготовка к внедрению IDM-решения началась в 2013 году. За несколько лет в Россельхозбанке был выполнен целый ряд полноценных пилотных проектов, к которым привлекались фокус-группы, состоявшие из представителей бизнес-, ИТ- и ИБ-подразделений. В проектах было задействовано порядка 1500 пользователей, при этом банк сравнивал IDM-решения разных производителей (Oracle, IBM, Microsoft, Avanpost, КУБ и др.).
С началом санкций против РФ работы по IDM были временно приостановлены, т. к. нужно было выработать стратегию в новых условиях. В 2016 году работы вновь стартовали — на основе продукта Avanpost IDM 5.0. Фаза активного внедрения IDM-решения пришлась на период с мая по август 2016, а с сентября (после успешного тестирования предлагаемого IDM-решения в пилотной зоне) было произведено масштабирование на все подразделения банка с целью подтверждения производительности и отказоустойчивости решения. Успешное тестирование и положительные отзывы подразделений, осуществляющих основную деятельность заказчика, закрепили Avanpost IDM как целевое решение для создания централизованной системы управления доступом в Россельхозбанке.
Дальнейшее развитие системы началось в мае 2017-го года и проходило в два этапа. На первом этапе были доработаны, упрощены и стандартизованы процессы управления доступом, построенные в рамках пилотного проекта. Создавались инструменты администрирования процессов (включая автоматизацию), проводилась оптимизация и доработка компонентов пользовательского интерфейса и интеграционных решений. Также, в продукте были реализованы гибкие настройки исключительных правил обработки кадровых событий и внесено множество других изменений, призванных облегчить эксплуатацию и использование системы в банке.
На втором этапе (с сентября по декабрь 2017 года) проведено масштабирование с точки зрения количества управляемых систем и ролей пользователей ИС, а также был запущен аудит прав доступа и разработаны отчеты.
Что же получил «Россельхозбанк»?
Упростилась работа пользователей, оформляющих заявки на получение прав доступа и участвующих в их визировании. Здесь стоит отметить не только штатные функции Avanpost IDM, но и доработки, выполненные по требованию заказчика (например, так был кастомизирован и упрощен интерфейс управления доступом для групп работников, позволяющий массово задавать и менять права доступа), а также автоматизацию реагирования на различные задержки процессов по разным причинам (например, делегирование для заявок, которые должен был обработать сотрудник, находящийся в командировке или отпуске). И, конечно, выявление и предотвращение SOD-конфликтов.
Внедрение Avanpost IDM снизило нагрузку на сотрудников Россельхозбанка, участвующих в процессах создания, согласования и предоставления доступа. Особую роль здесь сыграли: максимальное использование классических функций IDM для автоматизации реагирования на кадровые события, обработка исключений из правил обработки кадровых событий, гибкость описания регламентов процессов в Avanpost IDM, а также большое число готовых и простота разработки новых модулей сопряжения (коннекторов) к управляемым системам.
Россельхозбанку были переданы знания и инструментарий, позволяющие самостоятельно сопровождать и развивать IDM-решение. В настоящее время специалисты банка успешно эксплуатируют IDM-систему, развивают ролевую модель и процессы согласования.
Теперь сотрудники, отвечающие за развитие, интегрируют в уже автоматизированный процесс управления доступом всё новые информационные системы, массово используемые в банке. И еще, этот проект позволил Россельхозбанку снизить санкционные риски и на практике оценить качество российского ПО. Банк смотрит в будущее и верит в перспективы отечественного ПО. Проекты, подобные внедрению Avanpost IDM, помогают банку отслеживать состояние и векторы развития ведущих российских системообразующих программных продуктов и вырабатывать сбалансированную техническую политику.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных