Проект

Россельхозбанк внедрил Avanpost IDM для централизованного управления доступом в ИС

Заказчики: Россельхозбанк (РСХБ)

Москва; Финансовые услуги, инвестиции и аудит

Подрядчики: Avanpost (Аванпост)
Продукт: Avanpost IDM Access System
Второй продукт: Avanpost PKI

Дата проекта: 2015/03 — 2018/09
Технология: ИБ - Аутентификация
подрядчики - 317
проекты - 994
системы - 483
вендоры - 288
Технология: ИБ - Средства шифрования
подрядчики - 277
проекты - 849
системы - 474
вендоры - 246
Технология: СКУД - Системы контроля и управления доступом
подрядчики - 143
проекты - 308
системы - 261
вендоры - 183

2018: Внедрение Avanpost IDM для централизованного управления доступом в ИС

Компания «Аванпост» 6 декабря 2018 года сообщила о том, что Россельхозбанк внедрил единую систему управления учетными записями и правами доступа пользователей к корпоративным ресурсам организации (IDM) на базе системы Avanpost IDM.

Предпосылки

Стратегия активного развития Россельхозбанка (и особенно его розничного направления) потребовала ускорения всей технологии управления и контроля доступом, проведения её глубокой автоматизации на основе современного IDM-решения. И при этом было необходимо сохранить и использовать всё ценное, что имелось в нормативных документах, методических наработках и практиках работы предшествующего периода. Необходимо было обеспечить высокое качество управления доступом к информационным ресурсам банка с широкой филиальной сетью.

Технической основой системы управления доступом Россельхозбанка стал российский программный продукт Avanpost IDM.

Ход проекта

В Avanpost IDM применяется сразу три подхода к автоматизации выдачи и отзыва прав пользователей в различных ИС. Это:

  • автоматическая обработка кадровых событий (на основе ролевой модели и за счет интеграции IDM с источниками кадровых событий и с управляемыми системами);
  • автоматизация процессов формирования запросов полномочий самими пользователями и дальнейшей обработки этих запросов по сложным регламентам;
  • автоматическое предотвращение недопустимых сочетаний ролей (SOD-конфликтов).

Интеграция IDM с источником кадровых событий и управляемыми ИС. За такую интеграцию в IDM отвечают так называемые модули сопряжения (коннекторы). Обилие и разнообразие ИС, с которыми работают пользователи Россельхозбанка, а также сложность ИТ-ландшафта привели к тому, что в данном проекте проявилось три важных преимущества Avanpost IDM:

  • обилие готовых коннекторов к различному системному, инфраструктурному и прикладному ПО;
  • относительная простота создания новых модулей сопряжения;
  • возможность после настройки коннекторов проводить автоматические аудиты прав доступа, которые выявляют отклонения фактических прав доступа от нормативных, причем во всех подключенных к IDM управляемых системах.

В ходе внедрения Avanpost IDM в Россельхозбанке не только произведена вся необходимая настройка коннекторов и запущен аудит прав доступа, но и настроены отчеты, необходимые для контроля процессов и расследования инцидентов ИБ.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft Ролевая модель — на бумаге и в IDM. Ролевая модель задает нормативные наборы прав различных категорий пользователей в информационных системах предприятия. В Avanpost IDM имеется полный набор встроенных инструментов и средств автоматизации для создания ролевой модели и поддержания её в актуальном состоянии. Но даже несмотря на это, для многих организаций методически корректная работа с ролевыми моделями оказывается сложнейшей, а зачастую и неразрешимой задачей.

Однако в Россельхозбанке этой проблемы не возникло, поскольку, приступая к внедрению Avanpost IDM, он уже имел актуальную ролевую модель, технологию её актуализации (в виде неукоснительно соблюдаемых административных регламентов) и чётко описанные процессы предоставления доступа для каждой из своих информационных систем. Эти наработки позволили полностью раскрыть потенциал Avanpost IDM и провести внедрение методически корректно, рассказали в «Аванпост». Процессы запроса полномочий в Avanpost IDM позволяют пользователям самостоятельно создавать заявки на получение / отзыв прав, а также организовать их согласование по сценариям любой сложности. При этом списки визирующих лиц, маршруты согласования заявок, правила делегирования полномочий и другие аспекты гибко настраиваются. Для управления процессами в Avanpost IDM имеется визуальный конструктор процессов и полнофункциональная система управления workflow, достаточно гибкая, чтобы оперировать сложными регламентами из сотен шагов.

Встроенная в Avanpost IDM функция предотвращения SOD-конфликтов (из арсенала решений класса IGA) позволила уже при оформлении заявок полностью предотвратить наделение сотрудников потенциально опасными сочетаниями прав, совмещение которых запрещено действующими регламентами Россельхозбанка.

Еще до внедрения IDM в банке была выработана целая система запретов на совмещение ролей, которая предотвращала или существенно снижала многие риски, но была трудоемкой. Поскольку механизм работы с SOD-конфликтами был реализован еще в 5-м релизе Avanpost IDM, при внедрении круг проверок был даже расширен, а все рутинные операции — полностью автоматизированы. Более того, внедренная система выявляет конфликты превентивно, еще при формировании заявки, не позволяя отправить конфликтные заявки на согласование. При этом система предлагает возможные корректирующие действия, а также позволяет пользователю задать свой вариант устранения конфликта.

Итоги проекта

Результатом внедрения системы Avanpost IDM стало создание в РСХБ единой централизованной системы, контролирующей управление доступом в централизованных и децентрализованных ИС, включая массово используемые и критические для всего банка: автоматизированную банковскую систему, корпоративную почту, лес доменов Microsoft Active Directory, ряд доменов Lotus Domino (объединяют решения класса groupware и различные базы данных для работы со слабо структурированной информацией). Также к системе управления доступом подключены десятки ИС, применяемых во всех регионах РФ. При этом IDM-решение работает как в полностью автоматическом режиме, так и в режиме ручного исполнения — в зависимости от категории конкретной управляемой ИС. Выбор режима исполнения определяется экономической целесообразностью, оцениваемой в соответствии с регламентами Россельхозбанка. На сентябрь 2018 года Avanpost IDM управляет правами большинства пользователей информационных систем Россельхозбанка, а это — десятки тысяч человек и свыше 80 тыс. учетных записей.

В целом решение позволило банку оптимизировать и ускорить процессы доступа сотрудников к информационным системам. Данный проект также позволил Россельхозбанку снизить санкционные риски и на практике оценить качество российского ПО. По отзыву представителей банка, упростилась работа пользователей, оформляющих заявки на получение прав доступа и участвующих в их визировании.

В «Аванпост» отметили не только штатные функции Avanpost IDM, но и доработки, выполненные по требованию заказчика (например, так был кастомизирован и упрощен интерфейс управления доступом для групп работников, позволяющий массово задавать и менять права доступа), а также автоматизацию реагирования на различные задержки процессов по разным причинам (например, делегирование для заявок, которые должен был обработать сотрудник, находящийся в командировке или отпуске). И, конечно, выявление и предотвращение SOD-конфликтов.

«
С помощью российского программного продукта мы не просто многократно ускорили процессы управления доступом, но перешли в качественно новое состояние, когда процессы информационной безопасности и другие технические моменты перестали сдерживать развитие основной деятельности банка, — отметила заместитель Председателя Правления Россельхозбанка Екатерина Романькова. — Технологии Avanpost IDM позволили повысить эффективность применения наработок банка в сфере управления доступом и продвинуться вперед».
»

Внедрение Avanpost IDM снизило нагрузку на сотрудников Россельхозбанка, участвующих в процессах создания, согласования и предоставления доступа. Особую роль сыграли: использование классических функций IDM для автоматизации реагирования на кадровые события, обработка исключений из правил обработки кадровых событий, гибкость описания регламентов процессов в Avanpost IDM, а также большое число готовых и простота разработки новых модулей сопряжения (коннекторов) к управляемым системам.

Россельхозбанку были переданы знания и инструментарий, позволяющие самостоятельно сопровождать и развивать IDM-решение. На сентябрь 2018 года специалисты банка успешно эксплуатируют IDM-систему, развивают ролевую модель и процессы согласования. Сотрудники, отвечающие за развитие, интегрируют в уже автоматизированный процесс управления доступом всё новые информационные системы, массово используемые в банке.

2017: Дальнейшее развитие системы IDM

Дальнейшее развитие системы началось в мае 2017 года и проходило в два этапа. На первом этапе были доработаны, упрощены и стандартизованы процессы управления доступом, построенные в рамках пилотного проекта. Создавались инструменты администрирования процессов (включая автоматизацию), проводилась оптимизация и доработка компонентов пользовательского интерфейса и интеграционных решений. Также в продукте были реализованы гибкие настройки исключительных правил обработки кадровых событий и внесено множество других изменений, призванных облегчить эксплуатацию и использование системы в банке.

На втором этапе (с сентября по декабрь 2017 года) проведено масштабирование с точки зрения количества управляемых систем и ролей пользователей ИС, а также был запущен аудит прав доступа и разработаны отчеты.

2016: Возобновление работ по внедрению IDM-решения

В 2016 году работы вновь стартовали — на основе продукта Avanpost IDM 5.0. Фаза активного внедрения IDM-решения пришлась на период с мая по август 2016, а с сентября (после тестирования предлагаемого IDM-решения в пилотной зоне) было произведено масштабирование на все подразделения банка с целью подтверждения производительности и отказоустойчивости решения. Успешное тестирование и положительные отзывы подразделений, осуществляющих основную деятельность заказчика, закрепили Avanpost IDM как целевое решение для создания централизованной системы управления доступом в Россельхозбанке.

2015: Создание системы учета, управления и аудита средств аутентификации

Компания «Аванпост», российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM), объявила в начале 2016 года о завершении проекта по созданию системы учета, управления и аудита средств аутентификации и хранения ключевой информации (токенов) в Россельхозбанке. В результате решение Avanpost PKI используется в качестве централизованной базы информации о токенах, выдаваемых не только работникам банка, но и клиентам. Проект был выполнен с марта по ноябрь 2015 года.

Ранее Россельхозбанк использовал систему импортного производства для управления идентификационной информацией и электронными ключами. Переход на российское решение от «Аванпост» дает заказчику расширенные возможности по применению различных типов ключевых носителей, благодаря тому что Avanpost PKI поддерживает все токены и смарт-карты, представленные на российском рынке и обеспечивает централизованное управление ключевыми носителями более 300 тыс. пользователей.

Внедрение решения избавило клиента от множества выполняемых вручную операций при инициализации ключевых носителей, печати PIN-кодов в PIN-конвертах, выпуске технологических ключей, отслеживании срока действия сертификатов, приостановке, возобновлении и отзыве сертификатов с одновременным переводом ключа в системе банк-клиент в заблокированное состояние.

Кроме того, решение Avanpost PKI позволило оперативно управлять выпуском сертификатов для сотрудников банка, снизив нагрузку на администраторов по управлению инфраструктурой открытых ключей. Так, например, благодаря решению по истечении определенного времени разблокировка заблокированного ключевого носителя происходит автоматически. Решение «Аванпост» помогает отслеживать сроки действия полномочий и получать информацию о пользователях не только из AD, но и из кадровых систем, CRM.

«
Мы тщательно подошли к выбору разработчика системы по управлению аутентификацией, сертификатами и ключевыми носителями. Российская разработка `Аванпост` полностью соответствовала нашим требованиям. С ее помощью нам удалось автоматизировать многие рутинные операции, связанные с поддержкой PKI-инфраструктуры банка, и, как результат, сократить трудозатраты персонала. Avanpost PKI обслуживает более 300 тыс. сертификатов ключей подписи. Отдельно хочу отметить, что концепция импортозамещения в области высоких технологий приносит свои результаты и способствует появлению и бурному развитию качественных российских ИТ-систем, конкурирующих с западными аналогами по набору и полноте функций.
Начальник Управления информационной безопасности Россельхозбанка Лаврешин Геннадий
»

2013-2014: Подготовка к внедрению IDM-решения и пилоты

Подготовка к внедрению IDM-решения в Россельхозбанке началась в 2013 году. За несколько лет в банке был выполнен целый ряд полноценных пилотных проектов, к которым привлекались фокус-группы, состоявшие из представителей бизнес-, ИТ- и ИБ-подразделений. В проектах было задействовано порядка 1500 пользователей, при этом банк сравнивал IDM-решения разных производителей (Oracle, IBM, Microsoft, Avanpost, КУБ и др.).

С началом санкций против РФ работы по IDM были временно приостановлены, т.к. нужно было выработать стратегию в изменившихся условиях.