Ключевые задачи проекта. Требования
к промышленному внедрению
автоматизация управления доступом и жизненным циклом УЗ
Избавить квалифицированный персонал от рутинных операций по управлению УЗ, при этом
отказаться от устаревшей ИТ-системы, которая использовалась для автоматизации отдельных
задач управления УЗ.
В 2021 г. развернуть систему Avanpost IDM, интегрировать кадровый источник и реализовать
процессы управления доступом для основных систем (Active Directory, Exchange и др.)
в продуктивном контуре.
В 2022-2023 годах реализовать управление УЗ в прикладных системах Заказчика (Система
автоматизированного проектирования, Электронный архив и др.).
комплаенс и автоматизация процессов управления рисками
Минимизировать риски, связанные с управлением полномочиями доступа, исключив
влияние человеческого фактора и организовав контроль нелегитимно выданных доступов.
Укрепить имидж организации в составе холдинга как реализующей современные практики
в области информационной безопасности
Характеристики проекта
Предпосылки проекта
Проектная команда Аванпоста
Все работы выполнены командой,
состоящей из 5 человек.
Кадровый источник на базе 1С,
значительное количество ИС в контуре
управления, в т. ч.: различные конфигурации
1С, Active Directory и Exchange, LDAP-каталог,
ИС собственной разработки Заказчика,
производственные ИС).
Система IDM запущена в эксплуатацию
в 2021 г., в 2022—2023 годах выполнено
расширение функционала и охвата проекта,
на данный момент внедренная система
находится на поддержке Аванпост.
Реализуется доработка системы,
направленная на организацию массового
управления паролями.
Более 20 000 пользователей
Рост высококвалифицированного
и дорогостоящего штата
Большой объем рутинных операций
по управлению учетными записями
выполняли высококвалифицированные
специалисты, дорогостоящий
штат разрастался.
Человеческий фактор и сбои
в работе систем
Исполнение рутинных действий силами
Администраторов приводило
к человеческим ошибкам, а нередко —
и к сбоям в работе систем.
Невозможность делегирования
полномочий без нарушения
политик ИБ
Делегировать привилегированные
полномочия Операторам службы сервис-
деск без нарушения политик ИБ
не представлялось возможным.
Описание проекта
Пилотный некоммерческий проект
Познакомил Заказчика с возможностями Avanpost IDM, убедил, что продукт пригоден
к работе в инфраструктуре конкретного предприятия, помог разработать требования
к промышленному внедрению.
Доверенный источник данных
Кадровая информация (справочники сотрудников, должностей, организационной
структуры) загружается из 1С «Зарплата и управление персоналом». Взаимодействие
серверных компонентов IDM с кадровой системой реализовано посредством
интерфейсного модуля (управляющего коннектора).
Над которыми осуществляется управляющее взаимодействие: реализовано
централизованное управление учетными записями в семи информационных
системах Заказчика:
MS Active Direсtory — применен готовый коннектор, из числа поставляемых
с продуктом;
MS Exchange – стандартные коннекторы адаптированы под особенности
использования данной ИС Заказчиком;
1С «Зарплата и управление персоналом» - стандартные коннекторы адаптированы
под особенности внедрения данной ИС Заказчиком;
1С «Документооборот» – стандартные коннекторы адаптированы под особенности
внедрения данной ИС Заказчиком;
Электронный архив – коннектор разработан с нуля;
Система автоматизированного проектирования (САПР) – коннектор разработан с нуля;
Фреймворк, являющийся средой запуска для нескольких десятков бизнес-
приложений (собственная разработка Заказчиком) – коннектор разработан с нуля,
произведена доработка API.
Аутентификация пользователей
Реализована через удобную административную консоль.
Реализация схем кадровых бизнес-процессов, заявок, шаблонов почтовых уведомлений,
шаблонов учетных записей, исчерпывающих набор отчетов.
В рамках автоматизации процессов сокращения рисков:
В интеграции с 1С «Документооборот» применена расширенная модель разграничения
доступа, позволяющая выдавать многомерные полномочия. Например, одному и тому
же пользователю роль «Кладовщик» может быть выдана в сочетании с доступом
к данным только основного склада, тогда как роль «Менеджер склада» будет
назначена так, чтобы предоставить доступ к данным сразу нескольких локаций.
Реализованы делегирование полномочий от одной учетной записи к другой,
и автоматическая передача дел на руководителя при увольнениях, переводах,
длительных отпусках.
Неординарно реализована интеграция с Exchange: в зависимости от грейда
Пользователю предоставляется «внутренний» (для работы исключительно
в корпоративной сети) либо «внешний» почтовый ящик; доступно преобразование
почтового ящика из одного типа в другой с изменением основного почтового адреса,
при этом не теряется корреспонденция со старого почтового адреса.
Каждое бизнес-приложение в составе фреймворка имеет собственный набор
полномочий. Полномочия хранятся в реляционной базе данных, аутентификационная
информация же размещается в LDAP-каталоге. В случае подключения нового бизнес-
приложения Заказчик сможет организовать управление УЗ в нем без доработки
интеграционной связки.
Результаты внедрения
Система выполняет операции преимущественно сама
Преобладающая часть операций по администрированию учетных записей выполняется системой
без привлечения персонала.
Все действия проходят через новую систему
В системе реализован процесс автоматического отслеживания и обработки фактов выдачи
полномочий доступа нелегитимно, в обход IDM.
Функции старой «квази-IDM» системы полностью замещены.
Автоматизация действий администрирования
Те действия, полная автоматизация которых не является алгоритмически возможной (1−2%),
теперь выполняются в административной консоли Avanpost IDM и переданы от Администраторов
к Операторам службы сервис-деск. Например, при необходимости выдать доступы пользователю,
не попадающему под действие автоматических алгоритмов, следует в «административной
консоли» указать предоставляемые полномочия, выбрав их из справочника. Система сама
определит, нужно ли создавать учетную запись, вычислит значения ее атрибутов, по электронной
почте уведомит уполномоченных лиц и вышлет логин и пароль.
Полностью автоматизирован
процесс управления полномочиями доступа работников предприятия Заказчика
реализована через удобную административную консоль.