Как «Инфосистемы Джет» совершила IdM-прорыв в ЦКР

Многие крупные компании рано или поздно понимают, что процесс управления правами доступа выходит из-под контроля: администраторы перестают справляться с управлением доступом в бизнес-системы вручную, учетные записи уволенных сотрудников не блокируются годами, действующие же сотрудники могут по несколько дней ждать прав доступа, необходимых для выполнения их задач. При отсутствии инструмента автоматизации и выстроенных процессов управления доступом перечень подобных проблем, как правило, только растет.

Когда количество сотрудников переваливает за несколько тысяч, ИТ- и ИБ-службы приходят к решению внедрить систему управления правами доступа — IdM. Этот инструмент помогает не только повысить эффективность работы ИТ-службы и снизить риски ИБ, но и улучшить некоторые показатели: например, сократить время простоя сотрудников при приеме на работу и число обращений в техподдержку.

За автоматизацией управления доступом Центр корпоративных решений обратился в «Инфосистемы Джет». Рассказываем, как мы совместно создали систему на уровне, к которому многие компании стремятся годами.

До запуска проекта сотрудникам ЦКР и обслуживаемых предприятий приходилось отправлять запросы по электронной почте и просить зарегистрировать учетную запись или выдать им права доступа к информационным системам. Администраторы запрашивали согласование у руководителя сотрудника. После одобрения запрос отправляли специалисту ИБ, который искал информацию о доступных правах в Excel-таблицах и согласовывал доступы. Затем информация попадала к администратору системы для назначения конкретных полномочий. До получения необходимых прав проходило 2−3 дня.

Процесс был трудоемким и непрозрачным для пользователя — было сложно понять, на каком этапе рассмотрения находится заявка и сколько времени займет согласование. Кроме того, нельзя было исключать и человеческий фактор: ошибка могла возникнуть как на этапе согласования прав, так и на этапе их выдачи.

«У новых сотрудников ЦКР регулярно возникали сложности с доступом к информационным системам: бывали случаи, когда в первый рабочий день администраторы не успевали подготовить рабочее место новичка, оформить учетную запись и доступ к корпоративным ресурсам — все это затрудняло адаптацию», — говорит Дмитрий Назаров, начальник отдела информационной безопасности ЦКР ИТ.

Подступаться к IdM мы начали параллельно с внедрением других систем и модернизацией локальной инфраструктуры, что позволило с самого начала продумать интеграцию IdM-системы с разными сервисами.

«Как показывает практика, успех проектов по автоматизации процессов управления доступом и внедрению IdM-системы во многом зависит от грамотного консалтинга. Необходимы тщательное изучение текущих процедур заказчика и выстраивание новых целевых процессов, которые можно автоматизировать, а также подготовка регламентирующих документов. Поэтому проект в ЦКР был начат с описания существующих процессов назначения полномочий сотрудникам. Первым шагом стали анализ и корректировка процессов управления доступом, поиск мест, которые можно упростить и формализовать. Только после этого команда приступила к переносу процессов в IdM и их автоматизации», — рассказывает Алексей Гришин, директор Центра прикладных систем безопасности «Инфосистемы Джет».

В ходе проекта стало понятно, что темпы развития и масштаб компании требуют нестандартных решений: базовых функций IdM и шаблонных процессов для поддержания качества ИТ-услуг и информационной безопасности на высоком уровне было недостаточно. Росла численность персонала, у ЦКР появлялись новые клиенты, внедрялись новые системы, усложнялись бизнес-процессы внутри компании. Потребовалось детально описать более 30 бизнес-процессов, чтобы автоматизировать их в IdM.

После запуска проекта в первую очередь были автоматизированы базовые процессы управления доступом по кадровым событиям (Joiner-Mover-leaver). Учетные записи и минимально необходимые полномочия предоставляются сотрудникам автоматически сразу при выходе на работу, при увольнении также сразу все полномочия отзываются и блокируются учетные записи, а при переводе запускается процесс ресертификации (пересмотра) прав доступа. Также права доступа сотрудников изменяются в соответствии с ролевой моделью при переводе по должности / подразделению автоматически.

Следом после внедрения базовой функциональности был открыт портал самообслуживания IdM. Шаг за шагом, получая обратную связь от сотрудников, обсуждая каждую деталь и создавая макеты различных страниц, форм, кнопок и меню, мы провели редизайн портала, изменили стандартные формы обращений и согласований. В результате процесс запроса полномочий для рядового сотрудника стал понятным и прозрачным: в любой момент можно открыть портал самообслуживания IdM и заказать себе доступ к информационным системам компании, а дальше отслеживать статус выполнения заявки, задавать вопросы по процессу согласования. Также стало возможным посмотреть информацию об актуальных правах ко всем информационным системам, а при необходимости — сбросить пароль и запросить разблокировку учетной записи в любой из подключенных информационных систем.

«Единая картина по полномочиям позволяет службе безопасности анализировать права доступа как за текущий период, так и за несколько прошлых лет по разным критериям: данные можно отфильтровать по пользователям, ролям, ресурсам, компаниям и прочему. За счет этого контроль предоставляемых прав доступа стал более полным, благодаря чему существенно снизились риски информационной безопасности. Приятным бонусом является возможность контролировать соответствие количества пользователей информационных систем количеству активированных пользовательских лицензий, что позволяет экономить затраты на ИТ в компании», — говорит Арсений Ханов, руководитель отдела IdM-решений «Инфосистемы Джет».

Так, новый сотрудник в первый день выхода на работу получает данные о доступах к информационным системам на свой мобильный телефон в SMS. В этот же момент все службы компании автоматически получают сообщение о выходе нового сотрудника, что позволяет максимально быстро подготовить рабочее место.

«Мы в корне изменили подход к формированию полномочий в системах и осуществили переход к ролевой модели предоставления прав доступа на уровне информационных систем, сделали полный редизайн ролей и полномочий. В том числе провели инвентаризацию учетных записей и прав доступа, что позволило актуализировать и учетные записи, и необходимые права сотрудников. В результате мы смогли не только автоматизировать предоставление прав доступа, но и разработать понятную каждому пользователю и аудиторам ролевую модель работы в информационных системах компании», — говорит Дмитрий Назаров, начальник отдела информационной безопасности ЦКР ИТ.

В результате IdM-система стала централизованным источником информации и для других информационных систем компании: актуальная информация о пользователях и их учетных записях оперативно обновляется на корпоративном портале, в ITSM-системе и других системах. Различные справочники по обслуживаемым компаниям были консолидированы благодаря IdM, появилась единая адресная книга, что сделало коммуникацию комфортнее — в любой момент можно найти email и телефон нужного коллеги. В результате компания с более чем 60 000 сотрудников в разных городах России получила формализованный, автоматизированный процесс, который удобен всем задействованным подразделениям.

Изменения кадровой структуры стали прозрачными

Все изменения отображаются в справочниках, изменяется структура сетевых папок, списков рассылки и другого. Даже при переводе целого подразделения в другую компанию сотрудники автоматически получат доступ к необходимым ресурсам.

Внешние пользователи под контролем

Через портал самообслуживания IdM можно зарегистрировать новую компанию-контрагента и запросить для ее сотрудников доступ в системы ЦКР. IdM позволяет внешним пользователям запрашивать только те права доступа, которые допускаются договором, и только на ограниченный срок. Служба И Б в любой момент может проверить в системе наличие необходимых документов для предоставления доступа подрядчику или клиенту.

Выстроен единый процесс управления сервисными учетными записями

Доменные и локальные учетные записи на устройствах создаются только по запросу в IdM, всегда имеют конкретного владельца и строго очерченный набор полномочий. После увольнения владельца ничего не потеряется, система сама уведомит службу ИБ обо всех объектах, за которые отвечал бывший сотрудник.

Регулярно выполняется ресертификация прав доступа

Помимо ресертификации прав доступа при переводе сотрудников по должности / подразделению в IdM также реализована функциональность регулярной ресертификации. Система запускает процесс автоматически согласно настроенной периодичности и запрашивает у руководителей подразделений и специалистов ИБ подтверждение актуальности назначенных сотрудникам прав или отмену избыточных прав. IdM автоматически отзывает избыточные права и уведомляет обо всех изменениях участников процесса.

Появилась дополнительная защита от злоумышленников

Сотрудник может обратиться на горячую линию ИТ-службы с любого номера телефона, например, для сброса пароля. IdM поможет правильно аутентифицировать его и избежать утечки данных. Кроме того, IdM выполняет запросы на отзыв персональных данных, позволяет запрашивать пропуска на территорию и управлять сервисом печати.