Подписаться
Читать в телеграм
Система IdM: опыт эксплуатации
Дата публикации:
26.04.2016
Посетителей:
176
Просмотров:
144
Время просмотра:
2.3
Система управления правами доступа эксплуатируется в Банке Москвы уже больше двух лет. Об опыте ее использования рассказывают Евгений Горбачев, начальник Управления информационной безопасности и Андрей Петрусевич, эксперт Управления информационной безопасности Банка Москвы.
Имея уже немалый опыт использования IdM-системы, как бы вы оценили эффект от ее внедрения? Оказалась ли система по-настоящему полезной?
Е.Г.: Отвечу так: если бы мне пришлось работать в банке, где IdM-системы нет, я постарался бы ее внедрить. Это необходимый инструмент.
С одной стороны, мы сократили время согласования заявок на предоставление сотрудникам прав доступа к информационным ресурсам. С другой, получили полный контроль за правами доступа – кому, какие и на основании чего эти права даны.
Как раньше сотрудник получал права на доступ? Готовилась заявка на бумаге, ставилась подпись непосредственного руководителя, и дальше заявка «шла по инстанциям», проходя полный цикл согласований. Процесс занимал 3-4 дня. В этот период новый сотрудник не мог приступить к полноценному выполнению своих обязанностей. Где в данный момент находится его заявка, на каком этапе согласования, сотрудник тоже не знал. Начинались многочисленные звонки по телефону и хождение по кабинетам.
Теперь согласование и выдача прав происходит в среднем за полдня. При этом мы видим, какую заявку нужно выполнить быстро, а какие не являются срочными. Мы избавились от кучи бумаг, ответственные лица быстрее реагируют на запрос, а если заявка по каким-то причинам «застряла», человек видит, где.
Появилась возможность контролировать действия администраторов. Теперь предоставление прав доступа администраторами в обход процедуры согласования контролируется с нашей стороны.
Мы реализовали в системе дополнительный и весьма полезный функционал – пересмотр прав доступа. Если когда-то сотруднику были предоставлены расширенные права, это не значит, что они нужны ему постоянно. В IdM-системе с определенной периодичностью запускается процедура пересогласования – к руководителю вновь поступает заявка на получение прав, которые он должен подтвердить или ограничить исходя из текущих задач сотрудника. При этом руководитель получает напоминание об ответственности за действия подчиненных, поэтому относится к вопросу более внимательно, обосновывает свои решения. В рамках процедур пересогласования избыточных прав лишались от 30 до 50% сотрудников.
Повысилась дисциплина в области ИБ и со стороны самих сотрудников.
А.П.: В целом повысилась организованность, контролируемость и управляемость работы подразделений. Для организации с большим штатом это очень серьезное преимущество.
Пришлось ли столкнуться с какими-то трудностями при эксплуатации системы?
А.П.: Пришлось преодолевать инерцию части пользователей – есть люди, которые привыкли к «бумажным технологиям» и не хотели от них уходить. Впрочем, подобные проблемы возникают всегда при внедрении новых технологий, и мы к ним были готовы. Мы подготовили для пользователей инструкции и презентации, в которых в кратко и доступно описывается порядок выполнения каждой операции – подготовки запроса на права доступа, отправки, согласования, отзыва. В этом нам помогали сотрудники компании «Инфосистемы Джет». Все эти материалы были опубликованы на корпоративном портале. За полгода мы проблему решили.
Справедливости ради отмечу, что были и другие пользователи – те, которые буквально рвались работать в новой системе, как только узнали о планах ее запуска. И большинство достаточно быстро оценило ее преимущества – скорость и прозрачность прохождения заявок.
А технические сложности возникали?
Е.Г.: Технические вопросы мы решили на этапе внедрения и тестовой эксплуатации. Другое дело, что в ходе промышленной эксплуатации возникали дополнительные пожелания по функционалу – с нашей стороны либо со стороны бизнес-подразделений. Этот функционал разрабатывался и внедрялся в рамках сопровождения системы. Но это часть стандартного жизненного цикла любой автоматизированной системы.
При интеграции IdM с каждым из бизнес-приложений тоже возникали свои нюансы, иногда требовалось сделать доработки и на стороне IdM, и со стороны приложения. Но, опять же, это нормальный процесс.
Какой именно дополнительный функционал вы реализовали в системе?
А.П.: Исходный продукт у нас кастомизирован процентов на 80. Помимо базового функционала IdM – собственно контроля прав доступа – у нас реализован ряд «надстроек». Одна из них – уже упомянутый пересмотр прав доступа. Он запускается, во-первых, с периодичностью, заданной для конкретного подразделения, во-вторых, на основании информации из кадровой системы. Так мы смогли блокировать доступ на время отпуска сотрудника и пересматривать его права по мере должностных перемещений. Алгоритмы работы системы для тех или иных сценариев гибко настраиваются. В зависимости от того, как изменяется должностная позиция человека или в какое подразделение он переходит, система обеспечивает либо полный отзыв прав, либо инициирует процедуру пересогласования.
Вообще, интеграция IdM с кадровой системой – неоценимая вещь. Коллеги из департамента информационных технологий это тоже оценили. Пока такой интеграции не было, сотрудники ДИТ вручную блокировали учетные записи уволенных сотрудников на основании отчета, который поступал из кадровой службы раз в месяц. Теперь этот процесс выполняется автоматически – быстро и без ошибок.
Еще одна удобная функция – возможность совместить процессы согласования разных категорий доступа. Например, раньше процессы согласования доступа к базе VIP-клиентов и доступа в АБС проходили параллельно. Теперь это делается в рамках одной заявки – достаточно «поставить галочку», и к маршруту заявки добавляются необходимые шаги согласования.
С внедрением IdM-системы сильно ли изменились смежные системы и процессы?
Е.Г.: Нельзя сказать, что процессы работы в смежных системах сильно изменились – они в организации достаточно зрелые. Просто нужно было обеспечить своевременную передачу в IdM нужной информации. В ходе интеграции мы обнаруживали в смежных системах «узкие места» и устраняли их.
Наиболее критична для корректной работы IdM кадровая система – она является для IdM источником данных. Поэтому, например, пришлось провести определенную работу с кадровой службой, чтобы ускорить занесение данных о новых сотрудниках в кадровое приложение. Раньше данные по новому сотруднику заносились в кадровую систему в течение трех дней, теперь это происходит в течение одного дня. IdM-система сразу создает для новичка учетную запись, и он может приступать к работе.
Следующее по значимости приложение после кадрового – Active Directory. Опять же, серьезной перестройки не потребовалось, лишь небольшие изменения, например, на уровне карточки пользователя. Но в результате мы избавили департамент информационных технологий от массы ручного труда по заведению, блокировке/разблокировке учетных записей, созданию почтовых ящиков и пр. У сотрудников появилось больше времени для решения более сложных задач.
Можно ли говорить, что IdM-система приносит экономический эффект в виде оптимизации кадрового ресурса? Ведь на выполнение тех же задач требуется меньше времени.
Е.Г.: Если вы о сокращении штата, то такая задача не ставилась. Более того, мне вообще не известны случаи, когда внедрение автоматизированной системы вело к сокращению штата специалистов. Другое дело, что меняется характер и результативность их работы.
А.П.: Для нашего подразделения внедрение IdM привело к расширению функций. Прежде мы были вынуждены игнорировать некоторые проблемы просто потому, что не было технической возможности не то что их решить, но даже обнаружить. Система позволила вывести скрытые проблемы на поверхность и начать с ними работать.
В проектах по внедрению автоматизированных систем очень важна поддержка высшего руководства организации. А руководству нужны финансовые показатели. Чем можно аргументировать внедрение IdM?
Е.Г.: Оценить эффект от внедрения системы безопасности в деньгах всегда сложно. Скорее вы ощутите потери от ее отсутствия, когда случится критичный инцидент.
Но не надо забывать, что помимо финансовых показателей есть еще требования регуляторов и законодательства. Например в Положении Банка России № 382-П содержится много пунктов, связанных с контролем доступа. Их неисполнение может повлечь санкции со стороны ЦБ РФ.
А.П.: Недавний пример: мы подтверждали соответствие процессинга требованиям стандарта PCI DSS. При наличии IdM-системы процесс аудита прошел быстрее и гораздо проще для нас. Если бы мы не смогли продемонстрировать аудиторам работу этой системы, пришлось бы доказывать, что вопросы управления доступом закрываются организационными мерами. А это процесс долгий и ресурсоемкий.
Можете привести примеры снижения рисков или расследований, в которых помогла IdM-система?
А.П.: Однозначно можно сказать, что без IdM количество инцидентов было бы больше, а их расследование сложнее. Был пример, когда обнаружив мошенническое действие сотрудника, мы довольно быстро докопались до причин – как и почему возникла сама возможность нарушения. Кстати, именно тогда мы и создали «надстройку», позволяющую пересматривать права пользователя при перемещении по должности.
Был случай, когда мы обнаружили ошибочное действие администратора, когда тот присвоил права полному тезке сотрудника из другого филиала. Без IdM ошибка вряд ли была бы замечена.
Если к нам поступает запрос, у кого в определенный период времени были права на те или иные действия, мы можем сразу же дать ответ. А заодно и сообщить, кто и почему эти права согласовал. Прежде поиск такой информации в бумажных документах и таблицах Excel мог занимать полдня, а то и целый день. Теперь – считаные секунды.
Наконец, сотрудники банка понимают, что все их действия в информационных системах четко контролируются. Это само по себе способствует повышению уровня дисциплины и снижению рисков ИБ.
Е.Г.: Повысилась, в том числе, ответственность руководителей за те права, которые они выдают сотрудникам. Сейчас они подписывают свои решения электронной подписью. В соответствии с Федеральным законом № 63-ФЗ мы в своей нормативной документации приравняли логин и пароль к простой электронной подписи, и все сотрудники подписали соглашение о порядке ее использования.
Какие советы вы дали бы коллегам из других банков, решившим внедрять IdM?
Е.Г.: Прежде всего, нужно понять, насколько четко выстроен в организации процесс управления доступом как таковой. Существует ли документ, который его регламентирует? Нужно убедиться, что налажен кадровый учет, ведение организационной структуры предприятия и что вся информация исправно заносится в кадровое приложение. Стоит обследовать состояние кадровой системы и удостовериться, что существует техническая возможность ее интеграции с IdM.
А.П.: Планируя внедрение системы, имейте в виду, что вам понадобятся тестовые среды не только для самой IdM-системы, но и для сопрягаемых систем. Сразу обратите внимание на производительность и отказоустойчивость системы, чтобы не возникало задержек в обработке заявок, а также учтите возможность дальнейшего расширения. Эти вопросы обязательно надо проработать совместно с интегратором и подразделением информационных технологий.
Большое спасибо за интервью!
