Банковское обозрение

Финансовая сфера

  • Централизованное управление доступом
05.02.2019 Best-practice
Централизованное управление доступом

Как внедрение единой системы управления учетными записями и правами доступа пользователей помогли Россельхозбанку оптимизировать ключевые бизнес-процессы



Россельхозбанк (РСХБ) — один из крупнейших российских банков, работающий с юридическими и физическими лицами. По ключевым показателям деятельности и активам он входит в топ-5 российских банков. При этом визитной карточкой РСХБ являются не только продуманная стратегия, профессионализм сотрудников, но и четкость, а также клиентоориентированность бизнес-процессов. Еще одно его отличие от многих других финансово-кредитных организаций — особое внимание к вопросам информационной безопасности, в частности к управлению доступом и его контролю.

Работу сотрудников Банка поддерживают десятки информационных систем (ИС) различного назначения, среди которых есть централизованные и децентрализованные, используемые всеми подразделениями или только определенными региональными офисами, массовые или предназначенные лишь для ограниченного количества ответственных лиц. Многие ИС активно развиваются, в них появляются новые функции, они становятся нужны новым группам пользователей. При этом подход РСХБ отличается даже не числом и разнообразием ИС, а тщательностью проработки ролевой модели и регламентов управления доступом, охватывающих все ИС и все аспекты управления доступом. Стратегия активного развития Банка (особенно его розничного направления) потребовала ускорения технологии управления и контроля доступом, проведения ее глубокой автоматизации на основе современного IDM-решения, и при этом сохранения и использования всего ценного, что имелось в нормативных документах, методических наработках и практиках работы предшествующего периода.

Управление доступом по-новому

Технической основой новой системы управления доступом РСХБ стал российский программный продукт Avanpost IDM, разработчиком которого стала компания «Аванпост». В результате его внедрения в РСХБ была создана единая централизованная система, контролирующая управление доступом в централизованных и децентрализованных ИС, включая массово используемые и критические для всего Банка: автоматизированную банковскую систему, корпоративную почту, лес доменов Microsoft Active Directory, ряд доменов Lotus Domino (объединяют решения класса groupware и различные базы данных для работы со слабо структурированной информацией). Также к системе управления доступом подключены десятки ИС, применяемых во всех регионах России. При этом IDM-решение работает как в полностью автоматическом режиме, так и в режиме ручного исполнения — в зависимости от категории конкретной управляемой ИС. Выбор режима исполнения определяется экономической целесообразностью, оцениваемой в соответствии с регламентами Банка. В настоящее время Avanpost IDM управляет правами большинства пользователей информационных систем Россельхозбанка, а это — десятки тысяч человек и свыше 80 тыс. учетных записей.

Как работает новая система управления доступом

В Avanpost IDM применяется сразу три подхода к автоматизации выдачи и отзыва прав пользователей в различных ИС:

• автоматическая обработка кадровых событий (на основе ролевой модели и за счет интеграции IDM с источниками кадровых событий и с управляемыми системами);

• автоматизация процессов формирования запросов полномочий самими пользователями и дальнейшей обработки этих запросов по сложным регламентам;

• автоматическое предотвращение недопустимых сочетаний ролей (SOD-конфликтов).

Интеграция IDM с источником кадровых событий и управляемыми ИС — важнейшее преимущество нашего решения. За такую интеграцию в IDM отвечают так называемые модули сопряжения (коннекторы). Обилие и разнообразие ИС, с которыми работают пользователи банка, а также сложность IT-ландшафта привели к тому, что в данном проекте проявилось три важных преимущества Avanpost IDM:

• обилие готовых коннекторов к различному системному, инфраструктурному и прикладному ПО;

• относительная простота создания новых модулей сопряжения;

• возможность после настройки коннекторов проводить автоматические аудиты прав доступа, которые выявляют отклонения фактических прав доступа от нормативных, причем во всех подключенных к IDM управляемых системах.

В ходе внедрения Avanpost IDM в РСХБ не только произведена вся необходимая настройка коннекторов и запущен аудит прав доступа, но и настроены отчеты, необходимые для контроля процессов и расследования инцидентов ИБ.

Ролевая модель реализована на бумаге и в IDM. Она задает нормативные наборы прав различных категорий пользователей в информационных системах предприятия. В Avanpost IDM имеется полный набор встроенных инструментов и средств автоматизации для создания ролевой модели и поддержания ее в актуальном состоянии, но несмотря на это, для многих организаций методически корректная работа с ролевыми моделями оказывается сложнейшей, а зачастую и неразрешимой задачей. Однако в РСХБ этой проблемы не возникло, поскольку, приступая к внедрению Avanpost IDM, он уже имел актуальную ролевую модель, технологию ее актуализации (в виде неукоснительно соблюдаемых административных регламентов) и четко описанные процессы предоставления доступа для каждой из своих информационных систем. Эти наработки позволили полностью раскрыть потенциал Avanpost IDM и провести внедрение методически корректно. Процессы запроса полномочий в Avanpost IDM позволяют пользователям самостоятельно создавать заявки на получение / отзыв прав, а также организовать их согласование по сценариям любой сложности. При этом списки визирующих лиц, маршруты согласования заявок, правила делегирования полномочий и другие аспекты гибко настраиваются. Для управления процессами в Avanpost IDM имеются визуальный конструктор процессов и полнофункциональная система управления workflow, достаточно гибкая, чтобы оперировать сложными регламентами из сотен шагов.

Предотвращение SOD-конфликтов

Встроенная в Avanpost IDM функция предотвращения SOD-конфликтов (из арсенала решений класса IGA) позволила уже при оформлении заявок полностью предотвратить наделение сотрудников потенциально опасными сочетаниями прав, совмещение которых запрещено действующими регламентами Банка.

Еще до внедрения IDM в Банке была выработана система запретов на совмещение ролей, которая предотвращала или существенно снижала многие риски, но была трудоемкой. Поскольку механизм работы с SOD-конфликтами был реализован еще в пятом релизе Avanpost IDM, при внедрении круг проверок был даже расширен, а все рутинные операции — полностью автоматизированы. Более того, внедренная система выявляет конфликты превентивно, на стадии формировании заявки, не позволяя отправлять конфликтные заявки на согласование. При этом система предлагает возможные корректирующие действия, а также позволяет пользователю задать свой вариант устранения конфликта.

Как развивался проект

Подготовка к внедрению IDM-решения началась в 2013 году. За несколько лет в РСХБ был выполнен ряд полноценных пилотных проектов с привлечением фокус-групп, состоявших из представителей бизнес-, IT- и ИБ-подразделений. В проектах было задействовано около 1500 пользователей, при этом Банк сравнивал IDM-решения разных производителей (Oracle, IBM, Microsoft, Avanpost, КУБ и др.).

С началом санкций работы по IDM были временно приостановлены, нужно было выработать стратегию в новых условиях. В 2016 году работы вновь стартовали — на основе продукта Avanpost IDM 5.0. Фаза активного внедрения IDM-решения пришлась на период с мая по август 2016 года, а с сентября (после успешного тестирования предлагаемого IDM-решения в пилотной зоне) было произведено масштабирование на все подразделения Банка в целях подтверждения производительности и отказоустойчивости решения. Успешное тестирование и положительные отзывы подразделений, осуществляющих основную деятельность заказчика, закрепили Avanpost IDM как целевое решение для создания централизованной системы управления доступом в РСХБ.

Дальнейшее развитие системы началось в мае 2017 года и проходило в два этапа. На первом этапе были доработаны, упрощены и стандартизированы процессы управления доступом, построенные в рамках пилотного проекта. Создавались инструменты администрирования процессов (включая автоматизацию), проводились оптимизация и доработка компонентов пользовательского интерфейса и интеграционных решений. Также в продукте были реализованы гибкие настройки исключительных правил обработки кадровых событий и внесено множество других изменений, призванных облегчить эксплуатацию и использование системы в Банке. На втором этапе (с сентября по декабрь 2017 года) проведено масштабирование по количеству управляемых систем и ролям пользователей ИС, а также запущен аудит прав доступа и разработаны отчеты.

Что получил Банк

Упростилась работа пользователей, оформляющих заявки на получение прав доступа и участвующих в их визировании. Здесь стоит отметить не только штатные функции Avanpost IDM, но и доработки, выполненные по требованию заказчика (например, так был кастомизирован и упрощен интерфейс управления доступом для групп работников, позволяющий массово задавать и менять права доступа), а также автоматизацию реагирования на задержки процессов по разным причинам (например, делегирование для заявок, которые должен был обработать сотрудник, находящийся в командировке или отпуске) и, конечно, выявление и предотвращение SOD-конфликтов.

Внедрение Avanpost IDM снизило нагрузку на сотрудников Россельхозбанка, участвующих в процессах создания, согласования и предоставления доступа. Особую роль здесь сыграли: максимальное использование классических функций IDM для автоматизации реагирования на кадровые события, обработка исключений из правил обработки кадровых событий, гибкость описания регламентов процессов в Avanpost IDM, а также большое число готовых и простых новых модулей сопряжения (коннекторов) к управляемым системам.

РСХБ были переданы знания и инструментарий, позволяющие самостоятельно сопровождать и развивать IDM-решение. В настоящее время специалисты Банка успешно эксплуатируют IDM-систему, развивают ролевую модель и процессы согласования. Сотрудники, отвечающие за развитие, интегрируют в уже автоматизированный процесс управления доступом новые информационные системы, массово используемые в Банке. А еще этот проект позволил Банку снизить санкционные риски и на практике оценить качество российского ПО. Проекты, подобные внедрению Avanpost IDM, помогают Банку отслеживать состояние и векторы развития ведущих российских системообразующих программных продуктов и вырабатывать сбалансированную техническую политику.




Присоединяйся к нам в телеграмм