От несогласованного ручного труда к единой автоматизированной системе.

Как навести порядок в доступах крупной компании?

Крупному металлургическому холдингу нужно было оптимизировать управление доступом к десяткам информационных систем: ускорить выдачу прав, сделать процесс контролируемым, и более удобным для пользователей.

Внедрив в компанию IDM-решение, наша команда создала единую и прозрачную для менеджмента систему управления доступом, реализующую все необходимые требования по информационной безопасности.

Компания активно росла, вместе с этим увеличивалось и количество используемых информационных систем. На момент начала проекта в компании не существовало общего порядка согласования и предоставления доступов — для разных информационных систем он был свой. Все усложнялось одновременным применением бумажного и электронного документооборота.

Основные факторы:

• более 90 систем со своими схемами предоставления доступа, регламентами и согласующими лицами;
• для внештатных сотрудников используется отдельная система заявок собственной разработки и свой порядок согласований;
• первая линия поддержки обрабатывала свыше 18 000 обращений ежемесячно, при этом ежегодный прирост оценивался в 30%;
• срок предоставления доступа мог достигать 7 дней, а средний руководитель тратил на согласование до 300 часов в год;
• отсутствовала эффективная система контроля доступов, что приводило к конфликту полномочий (Segregation of Duties, SoD-конфликты), накоплению прав при переходе сотрудников с должности на должность, несвоевременным отзывам временных доступов и неблокированию учетных записей уволенных сотрудников.

Чтобы сделать предоставление доступа прозрачным и управляемым, команда УЦСБ разработала два базовых механизма управления правами
в ИТ-системах:

• упрощенную ролевую модель;
• алгоритмизацию процесса предоставления доступа, которая определяла  последовательности действий в различных ситуациях.

Всё это было перенесено в IDM-систему, а также дополнено автоматизацией управления жизненным циклом как стандартных пользовательских,
так и привилегированных учетных записей.
IDM стал связующим звеном между системами кадрового делопроизводства, Service Desk и целевыми ИТ-системами, для этого были настроены следующие интеграции:

• с SAP GRC — для выявления SoD-конфликтов;
• с автоматизированной системой управления инцидентами SAP Solution Manager — для выявления ИТ и ИБ инцидентов, связанных с предоставлением доступа в SAP-системы;
• с SOAR — для автоматических блокировок и разблокировок учетных записей в случае инцидентов информационной безопасности;
• с SIEM — для сбора событий безопасности, связанных с управлением учетными записями и полномочиями;
• с Service Desk — для автоматического создания обращений при запросе доступа в информационные системы, которые не интегрированы с IDM, но на которые распространяются требования в части запроса, согласования и контроля доступа.

Также был создан портал с каталогом систем и ролей, с помощью которого пользователи могли запросить доступ, а владельцы информационных систем оперативно согласовать запросы.

Интеграция IDM с системами Заказчика позволила связать воедино все учетные записи и доступы сотрудника с возможностью отслеживания истории всех назначений, автоматизировать процессы предоставления, пересмотра и отзыва пользовательских прав, а также блокировки
и разблокировки учетных записей при кадровых изменениях. В итоге IDM-система стала единой точкой для управления и контроля
за предоставлением доступа.

Благодаря IDM появилась возможность оперативно делегировать полномочия, в том числе по согласованию запросов на доступ.
В результате даже при отсутствии основного согласующего процесс выдачи прав не останавливается.
За первые 2 года использования IDM-системы:

• обработано более 510 тысяч кадровых событий;
• создано 11 306 доменных учетных записи, из которых 81,8% созданы автоматически;
• на 81% снизилась нагрузка на техническую поддержку управления доступами;
• до 2 часов в среднем сократился процесс предоставления доступа, требующего согласования;
• не более 3 минут занимает процесс предоставления доступа на основании ролевой модели;
• автоматически назначаются группы доступа для новых пользователей – общие для всех сотрудников (4 группы), и 822 групп по правилам (в зависимости от компании, города, категории и иных критериев).
• все согласования доступа теперь производятся в IDM.

Также IDM-система стала удобным инструментом для мониторинга полномочий каждого сотрудника, построения матриц доступа для отдельных
ИТ-систем и расследования инцидентов ИБ.