Меньше рутины, больше контроля. Как IDM помог оптимизировать процессы контроля и выдачи доступов

Крупной банковской группе с большой сетью подразделений потребовалось автоматизировать управление доступами: уйти от ручной обработки заявок разными специалистами, ускорить выдачу прав и усилить контроль за уже выданными правами.

Эксперты УЦСБ оптимизировали процессы согласования и предоставления доступа, подключили IDM к кадровым и целевым ИТ-системами Заказчика, реализовали автоматизацию запроса и отзыва прав, а также процедуру аттестации для проверки предоставленных привилегий.

Кроме того, были разработаны формы отчетной документации о ролях пользователей и других аспектах доступа и настроен портал самообслуживания для оперативных согласований и изменений прав.

В итоге время обработок заявок сократилось с нескольких дней до двух часов, а базовые доступы стали выдаваться за минуты.

Компания управляет кадрами в 1С ЗУП и ЦФТ, а учетными записями — с помощью автоматизированных сценариев, которые поддерживают администраторы кадровых и целевых информационных систем.

Доступ к ИТ-системам возможен только после обучения в WebTutor. При этом доступ выдается только по заявкам, и в этом процессе много ручных действий. Специалисты техподдержки, ИБ и администраторы проверяют легитимность предоставления доступа, подтверждают факт прохождения обучения, составляют список согласующих и назначают права.

Основные факторы, усложняющие выдачу доступа и управление им:

• отсутствует инструмент для своевременного отслеживания корректности предоставленных прав и отключения доступа;
• необходимо поддерживать актуальность большого количества документации, регламентирующей порядок согласования и предоставления доступа;
• рост числа пользователей увеличивает трудозатраты на согласование и назначение доступа;
• из-за человеческого фактора и отсутствия контроля за процессом пользователю могут предоставить некорректные права или необоснованно расширить доступ.

В результате выдача доступа затягивались на срок до 5 дней. Вместе с этим было сложно контролировать уже выданные права, так как без специального инструмента невозможно было быстро определить, кому и куда предоставлен доступ, а также  определить некорректность предоставленных прав, что могло привести к инцидентам информационной безопасности (ИБ).

Перед внедрением IDM эксперты УЦСБ подробно проработали процесс выдачи доступа: оптимизировали и унифицировали процессы согласования и формализовали порядок запроса и предоставления доступа. Также был разработан базовый набор прав, который позволяет управлять назначением, пересмотром и отзывом доступов к ИТ-системам.

Для сквозной автоматизации управления доступом IDM подключили к следующими системами Заказчика:

• 1С ЗУП и ЦФТ — для получения кадровых данных и событий. Обмен данными с 1С ЗУП настроили через программный интерфейс (API), а с ЦФТ — через корпоративную шину IBM WebSphere MQ;
• WebTutor — для проверки прохождения обучения;
• MS ActiveDirectory и MS Exchange — для управления учетными записями и правами, а также почтовыми ящиками пользователей;

Затем были настроены основные механизмы управления доступом:

• функционал автоматизации запроса, отзыва и согласования доступа, а также делегирования обязанностей через портал самообслуживания;
• процедуры автоматизированной аттестации прав доступа, во время которых отслеживаются и проверяются на актуальность и легитимность все предоставленные привилегии;
• формы отчетов о ролях пользователей, статусе прохождения аттестации прав доступа, владельцах систем, количестве выполненных внутренних процессов IDM и рисках доступа в рамках Компании и ее подразделений.

IDM стал инструментом для централизации и автоматизации управления идентификационными данными пользователей и доступом
к корпоративным информационным ресурсам. По итогам проекта можно выделить несколько ключевых результатов:

• до 2 часов сократилось время обработки заявок благодаря автоматизации процесса управления доступом и его согласованием. Кроме того, снизилась  нагрузка на сотрудников первой линии техподдержки и администраторов ИБ;
• не более 3 минут занимает автоматическое предоставление базового доступа на основании кадровых событий;
• права пользователей контролируются с помощью регулярной аттестации — она запускается автоматически или по запросу администратора ИБ и помогает эффективно выявлять некорректные привилегии.

Помимо этого, IDM формирует детализированные отчеты, которые позволяют анализировать риски ИБ, связанные с предоставлением доступа. Дополнительно был создан портал самообслуживания: он упростил запрос, изменение, отзыв и согласование прав, а также позволил быстро делегировать полномочия — все это заметно сократило сроки предоставления доступа.