Крупное промышленное
предприятие

Клиент
Крупное промышленное предприятие, научно-производственный холдинг
Сегмент
Сроки реализации
Отрасль
Продукты
Авиастроение
2021-2023 гг.
Производство

Информация о проекте

Ключевые задачи проекта. Требования
к промышленному внедрению

автоматизация управления доступом и жизненным циклом УЗ
Избавить квалифицированный персонал от рутинных операций по управлению УЗ, при этом
отказаться от устаревшей ИТ-системы, которая использовалась для автоматизации отдельных
задач управления УЗ.
В 2021 г. развернуть систему Avanpost IDM, интегрировать кадровый источник и реализовать
процессы управления доступом для основных систем (Active Directory, Exchange и др.)
в продуктивном контуре.
В 2022-2023 годах реализовать управление УЗ в прикладных системах Заказчика (Система
автоматизированного проектирования, Электронный архив и др.).
комплаенс и автоматизация процессов управления рисками
Минимизировать риски, связанные с управлением полномочиями доступа, исключив
влияние человеческого фактора и организовав контроль нелегитимно выданных доступов.
Укрепить имидж организации в составе холдинга как реализующей современные практики
в области информационной безопасности

Характеристики проекта

Предпосылки проекта

Проектная команда Аванпоста
Все работы выполнены командой,
состоящей из 5 человек.
Насыщенный ИТ-ландшафт
Кадровый источник на базе 1С,
значительное количество ИС в контуре
управления, в т. ч.: различные конфигурации
1С, Active Directory и Exchange, LDAP-каталог,
ИС собственной разработки Заказчика,
производственные ИС).
Период 2021 — 2023 г.
Система IDM запущена в эксплуатацию
в 2021 г., в 2022—2023 годах выполнено
расширение функционала и охвата проекта,
на данный момент внедренная система
находится на поддержке Аванпост.
2024 год
Реализуется доработка системы,
направленная на организацию массового
управления паролями.
Более 20 000 пользователей
Рост высококвалифицированного
и дорогостоящего штата
Большой объем рутинных операций
по управлению учетными записями
выполняли высококвалифицированные
специалисты, дорогостоящий
штат разрастался.
Человеческий фактор и сбои
в работе систем
Исполнение рутинных действий силами
Администраторов приводило
к человеческим ошибкам, а нередко —
и к сбоям в работе систем.
Невозможность делегирования
полномочий без нарушения
политик ИБ
Делегировать привилегированные
полномочия Операторам службы сервис-
деск без нарушения политик ИБ
не представлялось возможным.

Описание проекта

Пилотный некоммерческий проект
Познакомил Заказчика с возможностями Avanpost IDM, убедил, что продукт пригоден
к работе в инфраструктуре конкретного предприятия, помог разработать требования
к промышленному внедрению.
Доверенный источник данных
Кадровая информация (справочники сотрудников, должностей, организационной
структуры) загружается из 1С «Зарплата и управление персоналом». Взаимодействие
серверных компонентов IDM с кадровой системой реализовано посредством
интерфейсного модуля (управляющего коннектора).
Интеграция с ИС
Над которыми осуществляется управляющее взаимодействие: реализовано
централизованное управление учетными записями в семи информационных
системах Заказчика:
MS Active Direсtory — применен готовый коннектор, из числа поставляемых
с продуктом;
MS Exchange – стандартные коннекторы адаптированы под особенности
использования данной ИС Заказчиком;
1С «Зарплата и управление персоналом» - стандартные коннекторы адаптированы
под особенности внедрения данной ИС Заказчиком;
1С «Документооборот» – стандартные коннекторы адаптированы под особенности
внедрения данной ИС Заказчиком;
Электронный архив – коннектор разработан с нуля;
Система автоматизированного проектирования (САПР) – коннектор разработан с нуля;
Фреймворк, являющийся средой запуска для нескольких десятков бизнес-
приложений (собственная разработка Заказчиком) – коннектор разработан с нуля,
произведена доработка API.
Аутентификация пользователей
Реализована через удобную административную консоль.
Элементы бизнес-логики
Реализация схем кадровых бизнес-процессов, заявок, шаблонов почтовых уведомлений,
шаблонов учетных записей, исчерпывающих набор отчетов.
Проектные решения
В рамках автоматизации процессов сокращения рисков:
В интеграции с 1С «Документооборот» применена расширенная модель разграничения
доступа, позволяющая выдавать многомерные полномочия. Например, одному и тому
же пользователю роль «Кладовщик» может быть выдана в сочетании с доступом
к данным только основного склада, тогда как роль «Менеджер склада» будет
назначена так, чтобы предоставить доступ к данным сразу нескольких локаций.
Реализованы делегирование полномочий от одной учетной записи к другой,
и автоматическая передача дел на руководителя при увольнениях, переводах,
длительных отпусках.
Неординарно реализована интеграция с Exchange: в зависимости от грейда
Пользователю предоставляется «внутренний» (для работы исключительно
в корпоративной сети) либо «внешний» почтовый ящик; доступно преобразование
почтового ящика из одного типа в другой с изменением основного почтового адреса,
при этом не теряется корреспонденция со старого почтового адреса.
Каждое бизнес-приложение в составе фреймворка имеет собственный набор
полномочий. Полномочия хранятся в реляционной базе данных, аутентификационная
информация же размещается в LDAP-каталоге. В случае подключения нового бизнес-
приложения Заказчик сможет организовать управление УЗ в нем без доработки
интеграционной связки.

Результаты внедрения

Система выполняет операции преимущественно сама
Преобладающая часть операций по администрированию учетных записей выполняется системой
без привлечения персонала.
Все действия проходят через новую систему
В системе реализован процесс автоматического отслеживания и обработки фактов выдачи
полномочий доступа нелегитимно, в обход IDM.
Замещение старой системы
Функции старой «квази-IDM» системы полностью замещены.
Автоматизация действий администрирования
Те действия, полная автоматизация которых не является алгоритмически возможной (1−2%),
теперь выполняются в административной консоли Avanpost IDM и переданы от Администраторов
к Операторам службы сервис-деск. Например, при необходимости выдать доступы пользователю,
не попадающему под действие автоматических алгоритмов, следует в «административной
консоли» указать предоставляемые полномочия, выбрав их из справочника. Система сама
определит, нужно ли создавать учетную запись, вычислит значения ее атрибутов, по электронной
почте уведомит уполномоченных лиц и вышлет логин и пароль.
Полностью автоматизирован
процесс управления полномочиями доступа работников предприятия Заказчика
реализована через удобную административную консоль.

Ключевые задачи проекта. Требования
к промышленному внедрению

Клиент
Крупное промышленное предприятие,
научно-производственный холдинг
Сегмент
Сроки реализации
Отрасль
Продукты
Авиастроение
2021-2023 гг.
Производство
Автоматизация управления доступом и жизненным циклом УЗ
Избавить квалифицированный персонал от рутинных операций по управлению УЗ, при этом
отказаться от устаревшей ИТ-системы, которая использовалась для автоматизации отдельных задач управления УЗ.
В 2021 г. развернуть систему Avanpost IDM, интегрировать кадровый источник и реализовать
процессы управления доступом для основных систем (Active Directory, Exchange и др.) в продуктивном контуре.
В 2022—2023 годах реализовать управление УЗ в прикладных системах Заказчика (Система
автоматизированного проектирования, Электронный архив и др.).

Информация о проекте

User Administration
and Provisioning
Комплаенс и автоматизация процессов управления рисками
Identity and Access
Governance
Минимизировать риски, связанные
с управлением полномочиями
доступа, исключив влияние
человеческого фактора
и организовав контроль нелегитимно выданных доступов.
Укрепить имидж организации
в составе холдинга как реализующей современные практики в области
информационной безопасности.

Характеристики проекта

Проектная команда Аванпоста
Все работы выполнены командой,
состоящей из 5 человек.
Насыщенный ИТ-ландшафт
Кадровый источник на базе 1С,
значительное количество ИС в контуре
управления, в т. ч.: различные конфигурации 1С, Active Directory и Exchange, LDAP-каталог,
ИС собственной разработки Заказчика, производственные ИС).
Период 2021 — 2023 г.
Система IDM запущена в эксплуатацию в 2021 г., в 2022—2023 годах выполнено расширение функционала и охвата проекта,
на данный момент внедренная система находится на поддержке Аванпост.
2024 год
Реализуется доработка системы,
направленная на организацию массового управления паролями.
Более 20 000 пользователей
Проектная команда Аванпоста
Насыщенный ИТ-ландшафт
Период 2021 — 2023 г.
2024 год
Более 20 000 пользователей
Насыщенный ИТ-ландшафт

Предпосылки проекта

Рост высококвалифицированного и дорогостоящего штата
Все работы выполнены командой,
состоящей из 5 человек.
Кадровый источник на базе 1С,
значительное количество ИС в контуре управления, в т. ч.: различные конфигурации 1С, Active Directory и Exchange, LDAP-каталог,
ИС собственной разработки Заказчика, производственные ИС).
Невозможность делегирования полномочий без нарушения политик ИБ
Делегировать привилегированные
полномочия Операторам службы
сервис-деск без нарушения политик
ИБ не представлялось возможным.
Человеческий фактор и сбои
в работе систем

Описание проекта

Пилотный некоммерческий проект
Познакомил Заказчика
с возможностями Avanpost IDM,
убедил, что продукт пригоден к работе в инфраструктуре конкретного предприятия, помог разработать требования к промышленному внедрению.
Насыщенный ИТ-ландшафт
Проектная команда Аванпоста
Насыщенный ИТ-ландшафт
Период 2021 — 2023 г.
2024 год
Более 20 000 пользователей
Доверенный источник данных
Кадровая информация (справочники
сотрудников, должностей,
организационной структуры)
загружается из 1С «Зарплата
и управление персоналом».
Взаимодействие серверных
компонентов IDM с кадровой системой реализовано посредством
интерфейсного модуля (управляющего коннектора).
Интеграция с ИС
Над которыми осуществляется
управляющее взаимодействие:
реализовано централизованное
управление учетными записями
в семи информационных системах Заказчика;
MS Active Direсtory – применен
готовый коннектор, из числа
поставляемых с продуктом;
MS Exchange – стандартные
коннекторы адаптированы под особенности использования данной ИС Заказчиком;
1С «Зарплата и управление
персоналом» - стандартные
коннекторы адаптированы под особенности внедрения данной ИС Заказчиком;
1С «Документооборот» –
стандартные коннекторы
адаптированы под особенности
внедрения данной ИС Заказчиком;
Электронный архив – коннектор
разработан с нуля;
Система автоматизированного
проектирования (САПР) – коннектор разработан с нуля;
Фреймворк, являющийся средой
запуска для нескольких десятков
бизнес - приложений (собственная разработка Заказчиком) – коннектор разработан с нуля, произведена доработка API.
Аутентификация пользователей
Реализована через удобную
административную консоль.
Элементы бизнес-логики
Реализация схем кадровых бизнес-
процессов, заявок, шаблонов почтовых уведомлений, шаблонов учетных записей, исчерпывающих набор
отчетов. Полностью автоматизирован процесс управления полномочиями доступа работников предприятия Заказчика реализована через удобную административную консоль.
Проектные решения
В рамках автоматизации процессов
сокращения рисков:
В интеграции с 1С
«Документооборот» применена
расширенная модель разграничения доступа, позволяющая выдавать
многомерные полномочия.
Например, одному и тому
же пользователю роль «Кладовщик» может быть выдана в сочетании с доступом к данным только основного склада, тогда как роль «Менеджер склада» будет назначена так, чтобы предоставить доступ к данным сразу нескольких локаций. Реализованы делегирование полномочий от одной учетной записи к другой, и автоматическая передача дел на руководителя при увольнениях, переводах, длительных отпусках.
Неординарно реализована
интеграция с Exchange:
в зависимости от грейда
Пользователю предоставляется
«внутренний» (для работы
исключительно в корпоративной
сети) либо «внешний» почтовый
ящик; доступно преобразование
почтового ящика из одного типа
в другой с изменением основного
почтового адреса, при этом
не теряется корреспонденция
со старого почтового адреса.
Каждое бизнес-приложение
в составе фреймворка имеет
собственный набор полномочий.
Полномочия хранятся
в реляционной базе данных,
аутентификационная информация
же размещается в LDAP-каталоге.
В случае подключения нового
бизнес - приложения Заказчик
сможет организовать управление
УЗ в нем без доработки
интеграционной связки.
Система выполняет операции
преимущественно сама
Преобладающая часть операций
по администрированию учетных
записей выполняется системой без привлечения персонала.

Результаты внедрения

Все действия проходят через
новую систему
В системе реализован процесс
автоматического отслеживания
и обработки фактов выдачи
полномочий доступа нелегитимно,
в обход IDM.
Замещение старой системы
Функции старой «квази-IDM» системы полностью замещены.
Автоматизация действий
администрирования
Те действия, полная автоматизация
которых не является алгоритмически возможной (1−2%), теперь выполняются
в административной консоли
Avanpost IDM и переданы
от Администраторов к Операторам
службы сервис-деск. Например, при необходимости выдать доступы
пользователю, не попадающему под действие автоматических алгоритмов, следует
в «административной консоли» указать предоставляемые полномочия, выбрав их из справочника. Система сама определит, нужно ли создавать
учетную запись, вычислит значения
ее атрибутов, по электронной почте
уведомит уполномоченных лиц
и вышлет логин и пароль.
форма для вопросов
контакты
129 085, г. Москва
ул. Годовикова, д. 9, стр. 17
Телефон
E-mail
Адрес
Сообщение
Отправить
Сообщение об успешной отправке!
Все права защищены © Avanpost 2024
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности.
Сообщение об успешной отправке!