От культуры мировых брендов к проверенным отечественным платформам. Автоматизация управления правами доступа в банке от одного из ведущих российских разработчиков IDM-систем

BIS Journal №2(45)/2022

31 мая, 2022

От культуры мировых брендов к проверенным отечественным платформам. Автоматизация управления правами доступа в банке от одного из ведущих российских разработчиков IDM-систем

Мартовские анонсы прессы о «мировых» ИТ-брендах, выстроившихся в очередь для заявлений о своём разрыве с рынком России, переместили решение задач импортозамещения в число первоочередных мер безопасности «оцифрованных» отечественных компаний. При этом маркетплейсы и ДБО приходят и уходят, а краеугольные «камни» цифровой инфраструктуры должны быть защищены, особенно от политкапризов рыночной конъюнктуры.

В числе ИТ-систем, включаемых в обязательном порядке в экзоскелет информационной безопасности современных средних и крупных банков, – системы автоматизированного управления учётными данными (Identity Management или IDM). За рубежом для обозначения этого класса систем широко используется аббревиатура IGA (Identity Governance & Administration). Их разработка и внедрение приобрели актуальность в начале 2000-х после выявления ряда подделок отчётности крупных западных корпораций. Это оказалось возможным в том числе из-за неправомерного доступа к «чувствительной» финансовой и иной деловой информации.

 

ЭКСКУРС В ИСТОРИЮ

«Промсвязьбанк» (ПСБ) внедрил систему IDM, отвечающую самым современным требованиям, более 10 лет назад. Это внедрение было осуществлено на базе решения от Oracle, что на тот момент полностью соответствовало представлениям о корпоративной ИТ-культуре организации, имеющей широкие международные связи. Ведь встречают по одёжке, а IDM Oracle – признанный лидер «магического квадранта Gartner».

Развёрнутая тогда система позволила в полной мере решить предъявленные службой ИБ и стратегией банка задачи: консолидировать в едином хранилище учётные данные сотрудников; автоматически создавать и изменять их в соответствии с должностными обязанностями и политиками безопасности во всех целевых системах на основе данных от кадровых ИТ-систем. За эти годы были отработаны автоматизированный быстрый сервис согласования заявок на доступ к корпоративным системам и сервис «самообслуживания» для кастомизации выбора требуемых ресурсов сотрудником.

 

ЭПОХА ПЕРЕМЕН

Эксплуатация системы IDM на базе решения Oracle была практически безоблачной до того момента, когда вендор сделал своим заказчикам предложение о переходе на обновлённую платформу. Предложение, от которого, как выяснилось, нельзя было отказаться. При этом, когда необходимые ресурсы на предложенный переход были подсчитаны, выяснилось, что такой переход, по сути, подразумевал проведение нового проекта по обновлению IDM-системы с теми же стоимостными и временными характеристиками миграции, что и проект первоначального развёртывания системы IDM.

Взяв тайм-аут для принятия решения, ИТ-служба ПСБ некоторое время вела эксплуатацию «старой» системы без помощи вендора и его аккредитованного системного интегратора.

Точкой бифуркации в создавшейся ситуации стал момент, когда внутренние требования к обеспечению доступности системы IDM банка и к её функциональному масштабированию уже не позволяли рассчитывать исключительно на собственные Oracle-компетенции и ресурсы ИТ-службы банка.

Этот момент совпал также с чётко артикулированным требованием регуляторов к переходу на политику импортозамещения в критической информационной инфраструктуре банков.

Опираясь на стандартные конкурсные процедуры, банк пришёл к решению об использовании IDM-платформы от одного из ведущих отечественных разработчиков таких продуктов —для переноса на неё уже отработанной функциональности своей предыдущей системы автоматизации управления «учётками» и правами доступа с намерением последующего развития её возможностей.

К моменту победы в конкурсной процедуре ПСБ компания-разработчик уже около 5 лет присутствовала на рынке. И в число критериев, обеспечивших эту победу, входило не только её присутствие в Реестре отечественного ПО, но и ряд успешных внедрений в организациях, сопоставимых с ПСБ по размерам бизнеса и масштабам цифровизации.

 

ВСЁ ЧТО НУЖНО ДЛЯ УДОБНОЙ И БЕЗОПАСНОЙ РАБОТЫ

Сегодня отечественная IDM-система, внедрённая в ПСБ, позволяет работать с различными типами учётных записей (персональные, сервисные, привилегированные), а встроенный инструмент автоматического аудита обеспечивает полное устранение «бесхозных» учётных записей, оперативно контролирует соответствие текущих прав доступа с согласованным состоянием, в удобной для анализа форме предоставляет информацию о том, что было изменено, каким образом, кем и в какое время. Фиксация всех событий изменения прав позволяет получить ИТ-специалистам банка полную картину по имеющимся привилегиям пользователя на любую дату.

В IDM-системе ПСБ используется комбинированная ролевая модель доступа, где каждому пользователю присваивается базовый набор прав доступа в зависимости от должности, а все остальные права добавляются по заявке самого сотрудника. Заявка подтверждается владельцами ИТ-ресурсов, к которым запрошен дополнительный допуск. В ближайшем будущем банк планирует внедрить предусмотренный в системе механизм контроля «конфликта полномочий» (прав доступа, которые не могут находиться одновременно у одного сотрудника). Всё это позволяет избегать ошибок, вызываемых человеческим фактором.

Развёрнутая сегодня в ПСБ IDM-система позволяет реализовать идеологию «моментального предоставления доступа» сотрудникам в соответствии с утверждённой ролевой моделью, сократить время обработки заявок на расширение доступа с предоставлением пользователю в реальном времени информации о текущем статусе согласования и исполнения заявки.

Использование отечественной платформы позволило в полной мере реализовать планы ИТ-службы ПСБ по сокращению затрат на выполнение операций по управлению учётными записями пользователей в информационных системах банка.

С точки зрения информационной безопасности система автоматизации управления правами доступа позволила банку не только минимизировать риски неправомерного доступа, связанные с так называемым человеческим фактором, но и упростить аудит текущих доступов пользователей.

 

ФУНДАМЕНТ БЕЗОПАСНОСТИ

IDM-система ПСБ имеет внутри «коробки» все необходимые интеграционные механизмы, поддерживающие популярные ОС, СУБД и браузеры, что обеспечило высокую скорость внедрения и кастомизации.

Используемая в ПСБ отечественная IDM-система сочетает в себе законченность «коробочного» решения и возможности кастомизации и развития даже силами самой организации. И этих сил требуется не так уж и много – несколько человек. При этом банк получает от разработчика регулярные обновления, включая коннекторы к ИТ-ресурсам банка, инцидентную поддержку и индивидуальное обслуживание. 

Открытый исходный код внедрённой программы даёт ИТ-специалистам ПСБ возможность самостоятельно производить кастомизацию конечного решения в ходе конкретного проекта и оперативно актуализировать возможности уже работающей IDM-системы по мере появления новых потребностей.

Смотрите также

24.09.2022
Эволюция технологий, единство людей. Открыта регистрация на SOC-Форум 2022
24.09.2022
«Стать перед зеркалом, признаться и покаяться»
23.09.2022
Узбекистан приостановил обслуживание карт «Мир». Не всех и временно
23.09.2022
«Чтобы финансовая система продолжила работать бесперебойно»
23.09.2022
Хакеры по сравнению с производителями зарубежного ПО — это безобидная история
23.09.2022
ФСТЭК России в ближайшее время выпустит методики оценки критичности уязвимостей и тестирования обновлений
23.09.2022
«Газпромбанк» на очереди?
22.09.2022
Целью HR-мошенников может быть включение устройства соискателя в ботнет-сеть
22.09.2022
В Турции обсудят перспективы платёжной системы «Мир»
22.09.2022
«Чтобы обеспечивать киберустойчивость государства и бизнеса, необходимо больше специалистов по ИБ»