© 1995-2021 Компания «Инфосистемы Джет»
Интервью с Василием Окулесским, начальником управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы
Информационная безопасность

Интервью с Василием Окулесским, начальником управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы

№3 (247) / 2014

03.04.2014

Посетителей: 48

Просмотров: 39

Время просмотра: 6.2 мин.

Сегодня мы беседуем с Василием Окулесским, к. т. н., начальником управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы, о причинах и нюансах внедрения в банке IdM-решения.

  

Василий Андреевич, как Банк пришел к пониманию необходимости внедрения IdM?

Каждый день мы сталкиваемся с вопросами о том, к каким ресурсам имеет доступ тот или иной сотрудник и в каком объеме. На сегодняшний день в Банке параллельно существует и исполняется множество бизнес-процессов, реализованных в различных автоматизированных системах управления. ИТ-инфраструктура Банка представляет собой сложный и распределенный комплекс, включающий в себя большой парк оборудования и масштабный набор используемого программного обеспечения.

Зачастую, чтобы получить, казалось бы, простые ответы на вопросы «Кто имеет доступ к данному ресурсу?», «В каком объеме сотруднику предоставлен доступ к конкретному ресурсу?», «Какие риски имеют место, если сотрудник обладает доступом к нему?», требуется масса усилий и времени специалистов всех автоматизированных систем Банка. Процесс представляет собой множество бумажных и электронных запросов администраторам систем, затем каждый администратор собирает внутри своей системы информацию о правах доступа интересующего наше Управление сотрудника, после чего отправляет необходимые сведения по почте. Такое положение дел приводит к тому, что много времени тратится на сбор нужной информации, ее приходится агрегировать вручную. Это лишь вершина айсберга. Есть более важные вопросы: «Когда и на каком основании были выданы те или иные права сотруднику?», «Кто согласовал необходимость иметь такие права?». В Банке существует система управления заявками, которая построена по схеме: бумажная заявка–сканированная копия–система управления заявками–бумажное подтверждение. Бумажный документооборот позволяет более привычным образом составлять заявки на исполнение, но, к сожалению, отслеживать процессы назначения прав при этом крайне сложно, а в некоторых случаях практически невозможно, так как информация в бумажной заявке и фактически назначенные права могут отличаться.

 

В первый раз понимание необходимости внедрения единой системы, которая сможет управлять заявками, выдавать права доступа, а самое главное, контролировать процессы выдачи этих прав, возникло еще в 2006 году, когда проводилось первое крупное расследование, причиной которого было нанесение значительного ущерба из-за избыточности прав доступа. За последние несколько лет количество систем в Банке значительно выросло, а вместе с тем возрос и уровень угроз. Если раньше было бы достаточно иметь такую систему, чтобы сделать процесс выдачи прав более прозрачным, то сейчас это просто необходимость. С одной стороны, бизнес понимал необходимость иметь такую систему, а с другой – были разногласия в вопросах, кто будет владельцем системы, какие риски несет в себе это внедрение, будет ли какая-то явная выгода от использования решения такого класса, кроме получения ответов на вопросы безопасности. Длительное время доводы против, риски и опасения перевешивали. В течение пяти лет Банк рассматривал возможные варианты усеченных систем управления доступом, частично автоматизировал бизнес-процессы контроля прав доступа, пытался оценить целесообразность разработки своей узкоспециализированной IdM-системы. После взвешивания всех «за» и «против» Банк принял решение начать проект по внедрению полноценной системы управления правами доступа сотрудников к ресурсам.

Какие цели ставил Банк перед внедрением?

После окончательно принятого решения о том, что проекту по внедрению системы класса управления доступом – быть, были сформулированы задачи и расставлены приоритеты их решения. В первую очередь система IdM для Банка – это комплексная система с полным циклом управления правами доступа пользователей, автоматизированными процессами согласования заявок на предоставление прав доступа и системой отчетности. Выбирая такую автоматизацию, мы планировали получить возможность стандартизировать, унифицировать и, самое главное, контролировать процессы управления правами доступа пользователей в информационных системах путем их полной или частичной интеграции с IdM. Нам было важно сократить объем бумажной работы по согласованию и время на предоставление прав доступа, снизить нагрузку на подразделения ИТ. Другим важным аспектом использования IdM является снижение угроз нарушения ИБ, связанных с процессами управления правами доступа пользователей в информационных системах, рисков, связанных с наличием в системах активных учётных записей уволенных сотрудников, а также рисков несанкционированного доступа к информационным ресурсам.

Как вы выбирали вендора и интегратора?

Внедрение системы управления правами доступа – это серьезный шаг для компании такого уровня и масштаба, как наш Банк. В ходе длительных прений о необходимости иметь такую систему мы рассматривали варианты ПО различных вендоров: КУБ, IBM Tivoli, Oracle Identity Manager. Чтобы принять решение о том, какое программное обеспечение использовать как платформу для IdM, были проведены пилотные проекты, их результатами стала демонстрация работы каждого из продуктов. Выяснилось, что все они требуют значительной адаптации под потребности и бизнес-процессы Банка. Также рассматривался вариант собственной разработки аналогичной системы, но расчетная стоимость такого проекта оказалась слишком высокой, требовала найма большого количества специалистов и сильно отодвигала сроки внедрения.

 

В итоге мы остановили свой выбор на IdM-продукте компании Oracle. Во-первых, в Банке использовался широкий спектр решений указанного вендора, во-вторых, выбранный продукт предоставлял наиболее гибкие инструменты для доработки штатного функционала под требования бизнеса, в-третьих, лучшие практики крупных российских организаций также говорили об использовании именно Oracle Identity Manager как платформы, на базе которой строится система управления правами доступа пользователей.

 

Внедрение IdM-системы было доверено компании «Инфосистемы Джет», которая давно зарекомендовала себя одним из лидеров в области внедрения систем такого уровня, а также имеет большой опыт и базу решений, максимально удовлетворяющих потребностям и специфике банковской деятельности.

Как шёл проект, в чем состояли проблемы и каковы были их решения? Как Вы можете охарактеризовать эффективность внедрения IdM и сроки проекта?

Изначально реализация проекта планировалась в два этапа. Первый этап включал автоматизацию ключевых бизнес-процессов: прием на работу, увольнение и перевод по должности, а также работы по интеграции с Microsoft Active Directory и Microsoft Exchange. В качестве доверенного источника данных выступила кадровая система БОСС-Кадровик. Второй этап предполагал работы по интеграции IdM с двумя ключевыми бизнес-системами Банка. Ожидания по срокам внедрения оценивались в 10 месяцев.

 

В ходе проекта мы столкнулись с тем, что автоматизировать существующие сложные бизнес-процессы не так просто, как мы ожидали. Разное видение процессов согласования доступов ключевыми специалистами различных подразделений Банка привело к увеличению сроков сбора и формализации требований к системе. В ходе реализации проекта корректировалось видение работы IdM, сформировавшееся внутри Банка первоначально, на этапе обсуждения проекта. На протяжении первой стадии проходило тесное знакомство с IdM, прояснялись вопросы управления правами доступа в срезе этой системы, стали более прозрачными процессы согласования и управления правами доступа. Была построена тесная взаимосвязь между кадровыми данными, которые ведутся в Банке, и реальными процессами, которые должны срабатывать в зависимости от имеющейся в кадровом источнике информации. Зачастую отсутствие каких-либо данных, которые не отслеживались в БОСС-Кадровике за ненадобностью, приводило к повторному обследованию и более глубокому изучению процессов.

 

Первый этап внедрения показал хорошие результаты. Статистика использования системы говорит о том, что ее применяют. Время выдачи минимальных прав – создание учетной записи в Active Directory и почтового ящика при приеме на работу нового сотрудника – занимает минуты. Непосредственный руководитель участвует в формировании запроса дополнительных прав и в процессе согласования, если запросы инициированы самими пользователями. Время согласования предоставления прав сократилось в несколько раз на каждом шаге согласования. Управление информационной безопасности является финальным согласующим и контролирует процессы предоставления/отъема прав. Не дожидаясь окончания проекта, мы приняли решение расширить его на всех пользователей головного офиса.

 

В данный момент внедрение IdM подошло к завершающей стадии, система переведена в промышленную эксплуатацию, и ею активно пользуются бизнес-пользователи. Хочется перечислить, какие основные результаты были достигнуты в процессе внедрения IdM:

 

  1. Мы получили единую точку управления доступом. Это дало нам возможность в любой момент времени понимать, кто, куда и какой доступ имеет. Автоматическое создание учетных записей при заведении новых сотрудников и их удаление при увольнении позволило не иметь бесхозных учетных записей. Теперь мы обладаем актуальной информацией о сотрудниках и их статусах как в Active Directory, так и в интегрируемых бизнес-системах.
  2. Мы имеем в своем распоряжении эффективный инструмент контроля соответствия запрошенных и текущих прав доступа.
  3. Автоматическое назначение базового (или необходимого) набора прав сотруднику при приеме на работу позволяет сократить фактическое время организации ему технического доступа и снизить затраты на администрирование специалистов ИТ-службы.
  4. В ходе обследования проведен аудит существующих, подчас не регламентированных бизнес-процессов Банка. Специалисты Банка провели большую работу по их документированию и оптимизации, затем последовала их автоматизация в системе IdM силами экспертов «Инфосистемы Джет». Как следствие, были обеспечены описание и автоматизация фактических процессов Банка, которые не расходятся с действительностью.
  5. В рамках внедрения системы были выявлены некоторые недостатки текущих бизнес-процессов Банка, в результате чего были разработаны и приняты меры по их улучшению, которые уже привели к положительным результатам. Например, решен вопрос организации работы сотрудника, который замещает референта VIP-руководителя. Если раньше процесс ухода референта в отпуск сопровождался техническими трудностями, то сейчас его заместителю по факту ухода референта в отпуск выдается новый пароль, а старому ставится признак «изменить пароль при первой авторизации».

Какие ожидания оправдались, а какие – нет?

Сейчас, оглядываясь назад и вспоминая, какие цели ставились перед внедрением IdM, мы понимаем, что не все задуманное удалось на 100%. Например, планировалась полная интеграция и автоматизация управления критичными бизнес-системами. Но в силу архитектурных особенностей решений интеграция была проведена частично. Также удалось реализовать только частичное ролевое управление в этих системах, так как процесс совершенствования ролевых моделей требует длительного времени. Но хочется отметить, что появление системы управления доступом в Банке позволило поменять существующие акценты. Те аспекты, на которые при обычных и привычных процессах в Банке мы вообще бы не обратили внимания, сейчас обрели большую значимость. Если раньше сама процедура управления заявками пугала своей сложностью и бесконтрольностью (напомню, бумага, скан, электронная версия, опять бумага), то сейчас она полностью автоматизирована. Проект по ходу своего выполнения потребовал от нас усовершенствования бизнес-процессов, повысился уровень компетенций специалистов в части методики управления правами, а также произошло качественное изменение отношения к процессу управления доступом.

 

Хочется отметить, что внедрение IdM позволило выявить другой класс проблем, которые по значимости превосходят трудности, с которыми пришлось столкнуться в ходе проекта. Например, сама организация бизнес-процессов в части их непрерывности: отсутствие на месте ключевого согласующего не должно привести к остановке процесса выдачи прав доступа. В ходе проекта было замечено, что максимальный эффект от использования IdM достигается при формировании и использовании ролевой модели. Те бизнес-системы, где существует ролевая модель предоставления доступа, позволяют четко реализовать правила разграничения прав в IdM и гибко настраивать процессы согласования. В ходе обследования также были выявлены те бизнес-процессы, уровня детализации и глубины описания которых не достаточно для ролевого управления. Подчеркну, что только благодаря IdM эти вопросы стали рассматривать и решать.

 

При этом основные задачи, которые ставились перед системой, решены. А именно: сотрудники получают права автоматически, согласно бизнес-процессам Банка, этот процесс контролируется, и сейчас время для поиска ответов на вопросы о доступе того или иного сотрудника занимает несколько минут. Более того, электронный документооборот по заявкам на права доступа позволяет хранить историю и в последующем использовать ее для расследования инцидентов нарушения безопасности.

Какие выводы после внедрения IdM можно сделать?

Подводя итог, хочется отметить, что продукт в Банке нужен. Можно сделать однозначные выводы о внедрении IdM: да, это достаточно дорого по причине сложной и узкоспециализированной кастомизации, долго, так как, по сути, в рамках проекта проводятся аудит и оптимизация всех бизнес-процессов Банка, относящихся к управлению правами доступа, и не просто. Но оно того стоит. Сейчас системой активно пользуются более шести тысяч сотрудников Банка. Раньше мы не обладали никакой информацией о текущих правах доступа сотрудника, но зато имели большое количество рисков и мирились с этим, как следствие, сегодня мы понимаем, что IdM – это не роскошь, а необходимая информационная система. В современном мире автоматизации ИТ-процессов одной из главных отличительных особенностей после функциональности является безопасность информационной системы, так как появляется возможность уменьшения рисков влияния человеческого фактора.

Василий Андреевич, большое спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

«Хотите защититься? Заведите «сейф» для мобильного банковского приложения»

Евгений Горбачев, начальник управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы

А нам много и не надо, или IdM для среднего бизнеса

Ситуация на современном рынке IdM такова, что все основные вендоры ориентированы на компании Large Enterprise как на наиболее типового заказчика подобных решений последних лет

А слона в кустах и не заметил...

Компании, оказывающие услуги физическим или юридическим лицам, т.е. имеющие большую клиентскую базу, сталкиваются с мошенничеством практически каждый день

Вопрос полномочий: как выстроить процесс управления доступом в компании

Любая современная информационная система (ИС) имеет встроенные средства контроля доступа

Система подготовки банковской отчетности JFRS: новый подход к решению старой проблемы

За последнее время сотрудничество нашей Компании с предприятиями финансового сектора стало более тесным, что привело к акцентированию внимания на трудностях их повседневной действительности

Платежная система как способ «держать дистанцию»

Как внедрить и эксплуатировать платежную систему без ущерба для производства и клиентов

Защита персональных данных в бизнес-приложениях средствами Oracle Identity Management и смежными решениями

Нормативные документы по информационной безопасности, в том числе по защите персональных данных, рекомендуют использование прошедших в установленном порядке процедуру оценки соответствия (сертифицированных) средств защиты информации (СЗИ) для обеспечения информационной безопасности автоматизированной системы (АС) предприятия.

И заборы «истончились», и мошенники наловчились

Звонит мне как-то представитель одного из банков, клиентом которого я являюсь. Сперва просит полностью представиться, затем – назвать дату рождения и наконец – кодовое слово.

Аналитическая информация без человеческого фактора

Рассматриваются варианты подготовки аналитической информации для руководства компании до и после внедрения BI-решения

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня