Интервью с Василием Окулесским, начальником управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы

Зачастую, чтобы получить, казалось бы, простые ответы на вопросы «Кто имеет доступ к данному ресурсу?», «В каком объеме сотруднику предоставлен доступ к конкретному ресурсу?», «Какие риски имеют место, если сотрудник обладает доступом к нему?», требуется масса усилий и времени специалистов всех автоматизированных систем Банка. Процесс представляет собой множество бумажных и электронных запросов администраторам систем, затем каждый администратор собирает внутри своей системы информацию о правах доступа интересующего наше Управление сотрудника, после чего отправляет необходимые сведения по почте. Такое положение дел приводит к тому, что много времени тратится на сбор нужной информации, ее приходится агрегировать вручную. Это лишь вершина айсберга. Есть более важные вопросы: «Когда и на каком основании были выданы те или иные права сотруднику?», «Кто согласовал необходимость иметь такие права?». В Банке существует система управления заявками, которая построена по схеме: бумажная заявка–сканированная копия–система управления заявками–бумажное подтверждение. Бумажный документооборот позволяет более привычным образом составлять заявки на исполнение, но, к сожалению, отслеживать процессы назначения прав при этом крайне сложно, а в некоторых случаях практически невозможно, так как информация в бумажной заявке и фактически назначенные права могут отличаться.

В первый раз понимание необходимости внедрения единой системы, которая сможет управлять заявками, выдавать права доступа, а самое главное, контролировать процессы выдачи этих прав, возникло еще в 2006 году, когда проводилось первое крупное расследование, причиной которого было нанесение значительного ущерба из-за избыточности прав доступа. За последние несколько лет количество систем в Банке значительно выросло, а вместе с тем возрос и уровень угроз. Если раньше было бы достаточно иметь такую систему, чтобы сделать процесс выдачи прав более прозрачным, то сейчас это просто необходимость. С одной стороны, бизнес понимал необходимость иметь такую систему, а с другой – были разногласия в вопросах, кто будет владельцем системы, какие риски несет в себе это внедрение, будет ли какая-то явная выгода от использования решения такого класса, кроме получения ответов на вопросы безопасности. Длительное время доводы против, риски и опасения перевешивали. В течение пяти лет Банк рассматривал возможные варианты усеченных систем управления доступом, частично автоматизировал бизнес-процессы контроля прав доступа, пытался оценить целесообразность разработки своей узкоспециализированной IdM-системы. После взвешивания всех «за» и «против» Банк принял решение начать проект по внедрению полноценной системы управления правами доступа сотрудников к ресурсам.

После окончательно принятого решения о том, что проекту по внедрению системы класса управления доступом – быть, были сформулированы задачи и расставлены приоритеты их решения. В первую очередь система IdM для Банка – это комплексная система с полным циклом управления правами доступа пользователей, автоматизированными процессами согласования заявок на предоставление прав доступа и системой отчетности. Выбирая такую автоматизацию, мы планировали получить возможность стандартизировать, унифицировать и, самое главное, контролировать процессы управления правами доступа пользователей в информационных системах путем их полной или частичной интеграции с IdM. Нам было важно сократить объем бумажной работы по согласованию и время на предоставление прав доступа, снизить нагрузку на подразделения ИТ. Другим важным аспектом использования IdM является снижение угроз нарушения ИБ, связанных с процессами управления правами доступа пользователей в информационных системах, рисков, связанных с наличием в системах активных учётных записей уволенных сотрудников, а также рисков несанкционированного доступа к информационным ресурсам.

Внедрение системы управления правами доступа – это серьезный шаг для компании такого уровня и масштаба, как наш Банк. В ходе длительных прений о необходимости иметь такую систему мы рассматривали варианты ПО различных вендоров: КУБ, IBM Tivoli, Oracle Identity Manager. Чтобы принять решение о том, какое программное обеспечение использовать как платформу для IdM, были проведены пилотные проекты, их результатами стала демонстрация работы каждого из продуктов. Выяснилось, что все они требуют значительной адаптации под потребности и бизнес-процессы Банка. Также рассматривался вариант собственной разработки аналогичной системы, но расчетная стоимость такого проекта оказалась слишком высокой, требовала найма большого количества специалистов и сильно отодвигала сроки внедрения.

В итоге мы остановили свой выбор на IdM-продукте компании Oracle. Во-первых, в Банке использовался широкий спектр решений указанного вендора, во-вторых, выбранный продукт предоставлял наиболее гибкие инструменты для доработки штатного функционала под требования бизнеса, в-третьих, лучшие практики крупных российских организаций также говорили об использовании именно Oracle Identity Manager как платформы, на базе которой строится система управления правами доступа пользователей.

Внедрение IdM-системы было доверено компании «Инфосистемы Джет», которая давно зарекомендовала себя одним из лидеров в области внедрения систем такого уровня, а также имеет большой опыт и базу решений, максимально удовлетворяющих потребностям и специфике банковской деятельности.

Изначально реализация проекта планировалась в два этапа. Первый этап включал автоматизацию ключевых бизнес-процессов: прием на работу, увольнение и перевод по должности, а также работы по интеграции с Microsoft Active Directory и Microsoft Exchange. В качестве доверенного источника данных выступила кадровая система БОСС-Кадровик. Второй этап предполагал работы по интеграции IdM с двумя ключевыми бизнес-системами Банка. Ожидания по срокам внедрения оценивались в 10 месяцев.

В ходе проекта мы столкнулись с тем, что автоматизировать существующие сложные бизнес-процессы не так просто, как мы ожидали. Разное видение процессов согласования доступов ключевыми специалистами различных подразделений Банка привело к увеличению сроков сбора и формализации требований к системе. В ходе реализации проекта корректировалось видение работы IdM, сформировавшееся внутри Банка первоначально, на этапе обсуждения проекта. На протяжении первой стадии проходило тесное знакомство с IdM, прояснялись вопросы управления правами доступа в срезе этой системы, стали более прозрачными процессы согласования и управления правами доступа. Была построена тесная взаимосвязь между кадровыми данными, которые ведутся в Банке, и реальными процессами, которые должны срабатывать в зависимости от имеющейся в кадровом источнике информации. Зачастую отсутствие каких-либо данных, которые не отслеживались в БОСС-Кадровике за ненадобностью, приводило к повторному обследованию и более глубокому изучению процессов.

Первый этап внедрения показал хорошие результаты. Статистика использования системы говорит о том, что ее применяют. Время выдачи минимальных прав – создание учетной записи в Active Directory и почтового ящика при приеме на работу нового сотрудника – занимает минуты. Непосредственный руководитель участвует в формировании запроса дополнительных прав и в процессе согласования, если запросы инициированы самими пользователями. Время согласования предоставления прав сократилось в несколько раз на каждом шаге согласования. Управление информационной безопасности является финальным согласующим и контролирует процессы предоставления/отъема прав. Не дожидаясь окончания проекта, мы приняли решение расширить его на всех пользователей головного офиса.

В данный момент внедрение IdM подошло к завершающей стадии, система переведена в промышленную эксплуатацию, и ею активно пользуются бизнес-пользователи. Хочется перечислить, какие основные результаты были достигнуты в процессе внедрения IdM:

1. Мы получили единую точку управления доступом. Это дало нам возможность в любой момент времени понимать, кто, куда и какой доступ имеет. Автоматическое создание учетных записей при заведении новых сотрудников и их удаление при увольнении позволило не иметь бесхозных учетных записей. Теперь мы обладаем актуальной информацией о сотрудниках и их статусах как в Active Directory, так и в интегрируемых бизнес-системах.
2. Мы имеем в своем распоряжении эффективный инструмент контроля соответствия запрошенных и текущих прав доступа.
3. Автоматическое назначение базового (или необходимого) набора прав сотруднику при приеме на работу позволяет сократить фактическое время организации ему технического доступа и снизить затраты на администрирование специалистов ИТ-службы.
4. В ходе обследования проведен аудит существующих, подчас не регламентированных бизнес-процессов Банка. Специалисты Банка провели большую работу по их документированию и оптимизации, затем последовала их автоматизация в системе IdM силами экспертов «Инфосистемы Джет». Как следствие, были обеспечены описание и автоматизация фактических процессов Банка, которые не расходятся с действительностью.
5. В рамках внедрения системы были выявлены некоторые недостатки текущих бизнес-процессов Банка, в результате чего были разработаны и приняты меры по их улучшению, которые уже привели к положительным результатам. Например, решен вопрос организации работы сотрудника, который замещает референта VIP-руководителя. Если раньше процесс ухода референта в отпуск сопровождался техническими трудностями, то сейчас его заместителю по факту ухода референта в отпуск выдается новый пароль, а старому ставится признак «изменить пароль при первой авторизации».

Сейчас, оглядываясь назад и вспоминая, какие цели ставились перед внедрением IdM, мы понимаем, что не все задуманное удалось на 100%. Например, планировалась полная интеграция и автоматизация управления критичными бизнес-системами. Но в силу архитектурных особенностей решений интеграция была проведена частично. Также удалось реализовать только частичное ролевое управление в этих системах, так как процесс совершенствования ролевых моделей требует длительного времени. Но хочется отметить, что появление системы управления доступом в Банке позволило поменять существующие акценты. Те аспекты, на которые при обычных и привычных процессах в Банке мы вообще бы не обратили внимания, сейчас обрели большую значимость. Если раньше сама процедура управления заявками пугала своей сложностью и бесконтрольностью (напомню, бумага, скан, электронная версия, опять бумага), то сейчас она полностью автоматизирована. Проект по ходу своего выполнения потребовал от нас усовершенствования бизнес-процессов, повысился уровень компетенций специалистов в части методики управления правами, а также произошло качественное изменение отношения к процессу управления доступом.

Хочется отметить, что внедрение IdM позволило выявить другой класс проблем, которые по значимости превосходят трудности, с которыми пришлось столкнуться в ходе проекта. Например, сама организация бизнес-процессов в части их непрерывности: отсутствие на месте ключевого согласующего не должно привести к остановке процесса выдачи прав доступа. В ходе проекта было замечено, что максимальный эффект от использования IdM достигается при формировании и использовании ролевой модели. Те бизнес-системы, где существует ролевая модель предоставления доступа, позволяют четко реализовать правила разграничения прав в IdM и гибко настраивать процессы согласования. В ходе обследования также были выявлены те бизнес-процессы, уровня детализации и глубины описания которых не достаточно для ролевого управления. Подчеркну, что только благодаря IdM эти вопросы стали рассматривать и решать.

При этом основные задачи, которые ставились перед системой, решены. А именно: сотрудники получают права автоматически, согласно бизнес-процессам Банка, этот процесс контролируется, и сейчас время для поиска ответов на вопросы о доступе того или иного сотрудника занимает несколько минут. Более того, электронный документооборот по заявкам на права доступа позволяет хранить историю и в последующем использовать ее для расследования инцидентов нарушения безопасности.

Подводя итог, хочется отметить, что продукт в Банке нужен. Можно сделать однозначные выводы о внедрении IdM: да, это достаточно дорого по причине сложной и узкоспециализированной кастомизации, долго, так как, по сути, в рамках проекта проводятся аудит и оптимизация всех бизнес-процессов Банка, относящихся к управлению правами доступа, и не просто. Но оно того стоит. Сейчас системой активно пользуются более шести тысяч сотрудников Банка. Раньше мы не обладали никакой информацией о текущих правах доступа сотрудника, но зато имели большое количество рисков и мирились с этим, как следствие, сегодня мы понимаем, что IdM – это не роскошь, а необходимая информационная система. В современном мире автоматизации ИТ-процессов одной из главных отличительных особенностей после функциональности является безопасность информационной системы, так как появляется возможность уменьшения рисков влияния человеческого фактора.