Константин Зимин
Сергей Лосев

Создание в МТС единой системы управления идентификацией пользователей внутренних информационных систем позволило автоматизировать процессы управления жизненным циклом соответствующей информации, а также обеспечить быструю генерацию отчетов для анализа и аудита привилегий доступа и действий сотрудников компании.

Проблемы
индентификации

МТС — географически распределенная компания с большим количеством сотрудников и множеством разнообразных приложений (ERP, биллинговые системы, системы документооборота, автоматизации маркетинговой деятельности и т. д.). Такая ситуация влечет за собой множество проблем, касающихся управления этими ИТ-ресурсами. Одна из них — управление идентификацией пользователей и их доступом к ИТ-ресурсам.

В корпоративном центре и регионах МТС эксплуатируется более ста информационных систем, и каждый пользователь в среднем имеет доступ к восьми — десяти из них. Существование десятка различных учетных записей каждого пользователя в разных системах приводило к многочисленным проблемам. Добавление и изменение учетных записей выполнялось вручную, разными подразделениями и по разным регламентам, при этом возникали неточности и задержки. По данным, имеющимся у администратора какой-либо системы, нельзя было с точностью сказать, что активная учетная запись принадлежит действующему сотруднику компании и верны ли его полномочия по доступу к ИТ-ресурсам. Значительное время (до нескольких дней) уходило на предоставление доступа к необходимым ИТ-ресурсам при приеме сотрудника на работу или его перемещении, а также на прекращение доступа в случае увольнения. Поскольку в МТС около 20 тысяч сотрудников, то легко понять, какие временные потери возникали при этом, не говоря уже о рисках в области информационной безопасности, связанных с вероятностью доступа неавторизованного персонала к ресурсам и недостаточно надежной аутентификацией пользователей в ИС из-за отсутствия возможности применять единую и жесткую политику в управлении паролями.

Важно отметить, что для того чтобы оптимально и эффективно предоставлять сотрудникам права на работу в сложной гетерогенной информационной системе, необходимо в первую очередь внедрить процессы управления доступом, которые позволяли бы предоставлять пользователям права на базе четко определенной ролевой модели в соответствии с их положением в иерархии компании, а в случае изменения этого положения — автоматически изменять привилегии. Не менее важна необходимость обеспечивать надежную и достоверную идентификацию пользователя как действующего сотрудника компании, занимающего определенное место в иерархии управления, то есть постоянная синхронизация с реальным статусом кадровой базы данных.
Кроме того, сложная ситуация с учетными записями создавала большую нагрузку на администраторов информационных систем: приходилось многократно вводить в разные системы частично дублирующиеся данные, пользователи довольно часто меняли, теряли или забывали пароли и обращались к администраторам за новыми. Всего в масштабах компании вопросами управления доступом в той или иной мере занималось более сотни администраторов. Соответственно стояла задача снижения операционных расходов на поддержку этих процессов.

Наконец, в начале 2004 года в МТС начали подготовку к выходу на Нью-Йоркскую фондовую биржу. В компании было проведено несколько аудитов, в том числе и на соответствие акту Сарбейнса — Оксли (SOX; исполнение его условий является обязательным для компаний, чьи акции размещаются на американском фондовом рынке). «Аудиторы постоянно указывали нам, что вот в этой системе неправильное управление паролями, здесь пароли не менялись уже больше года и т. д., — говорит Михаил Миньковский, директор департамента технологической архитектуры МТС. — Конечно, эту проблему можно было решить за счет приема большего количества системных администраторов. Однако мы решили ее более рационально и открыли проект по внедрению автоматизированной системы управления доступом [АСУД]».

Выбор решения

Итак, в конце 2004 года был инициирован проект по созданию системы управления полным жизненным циклом персональных данных и доступа пользователей к информационным системам. Система идентификации должна интегрироваться с информационными системами МТС, такими, например, как кадровая и бухгалтерская, биллинговые, системы электронной почты и документооборота и др.
«Мы рассмотрели немало решений, существующих на рынке управления учетными записями пользователя, — рассказал Сергей Прадедов, начальник отдела ИТ-безопасности МТС. — В июне 2005 года мы пригласили консультантов, которые провели большую исследовательскую работу и предложили концепцию внедрения системы управления доступом в МТС. В её рамках тестировались и сравнивались различные решения по реализации системы управления индентификацией. По результатам этой работы был сделан вывод, что для МТС наиболее эффективным будет решение Java System Indentity Manager корпорации Sun».

Помимо того, что продукт Sun Microsystems является одним из лидеров на мировом рынке и полностью соответствует функциональным требованиям МТС, выбор этого решения был обусловлен еще тремя факторами. Первый — большая база установленного оборудования и программного обеспечения Sun Microsystems в МТС и в силу этого большой опыт работы с решениями Sun, наличие в компании специалистов, которые уже имеют необходимую квалификацию для поддержки данных решений. Второй — наличие большого пула подготовленных специалистов как в компании Sun Microsystems, так и у ее партнеров в России. Кроме того, Сергей Прадедов особо отметил, что одним из ключевых моментов было то, что Java System Indentity Manager реализует архитектуру безагентных адаптеров, позволяя тем самым внедрить решение с минимальным воздействием на информационную систему и существующие приложения.

Михаил Миньковский, директор
департамента технологической архитектуры МТС

Надо сказать, что в мировой практике подобные системы довольно часто внедряются в рамках более общего решения по управлению теми или иными аспектами ИТ-инфраструктуры. Продукты по управлению индентификацией пользователей есть и в пакетах HP OpenView (Select Indentity) и IBM Tivoly (Indentity Manager). И преимущества такого подхода очевидны: задачи управления идентификацией тесно связаны как с задачами в области обеспечения информационной безопасности (управление доступом, каталогами пользователей и защитой ИТ-инфраструктуры), так и с другими задачами управления ИТ-ресурсами — управлением конфигурациями, мониторингом производительности и доступности сервисов и т. д. Предварительно интегрированные системы в подобных пакетах должны избавить от последующей интеграции Indentity Management System с другими системами управления ИТ-ресурсами. Однако здесь стоит отметить, что HP OpenView Select Identity не является оригинальной разработкой HP — этот продукт включен в бренд OpenView в результате покупки решений компании TruLogica. Аналогичная ситуация и с IBM Tivoly Indentity Manager: это также решение купленной компании — Access 360. И с точки зрения их интеграции с другими системами у специалистов MTC возникли серьезные вопросы.

«Мы рассматривали все варианты, и Java System Indentity Manager показался нам наиболее приемлемым, — вспоминает Михаил Миньковский. — Все большие пакеты типа IBM Tivoly и HP OpenView имеют достоинства в каком-то одном функционале, но они хуже в другом. Специализированные пакеты часто превосходят интегрированные в своих специфических областях. В данном случае Java System Indentity Manager оказался наилучшим решением для задач именно Identity Management, при том что его можно было внедрить очень быстро. Кроме того, при внедрении большого интегрированного пакета решений для управления ИТ-инфраструктурой мы попали бы в зависимость от поставщика, а мы не хотим этого.

С другой стороны, мы как телекоммуникационная компания не боимся интеграции. У нас масса разных приложений, которые успешно интегрированы, и значительный опыт в этой области. Например, для мониторинга ИТ-инфраструктуры у нас используется около десятка различных приложений (в том числе IBM Tivoly и HP OpenView), которые потом передают данные в систему BMC Patrol, служащую общим консолидирующим концентратором для этой информации. Мы не боимся разнородных приложений, не боимся интеграции, это наша постоянная работа, и мы можем позволить себе внедрять лучшие в своих классах решения от разных производителей. В конечном итоге это оказывается дешевле».

Реализация проекта

Проект разработки стратегии и выбора платформы стартовал в декабре 2004 года. Сроки были очень жесткими, поскольку с 2007-го за несоответствие акту Сарбейнса — Оксли руководителей компаний, чьи акции котируются на бирже, могут привлекать к ответственности. Партнером МТС в этом проекте выступила Sun Microsystems. «Мы поставили перед Sun очень жесткие условия по срокам, — комментирует Михаил Миньковский. — Исключительно положительный опыт взаимодействия с сотрудниками корпорации состоит в том, что они выполнили проект в срок».

Сергей Прадедов,
начальник отдела ИТ-безопасности МТС

Была образована совместная команда, в которую входило около пяти специалистов Sun Microsystems и столько же со стороны МТС. На первом этапе был проведен анализ ИТ-инфраструктуры и разработано единое архитектурное решение для корпоративного центра и для макрорегионов. Затем в конце 2005 года начался второй этап — собственно внедрение Java System Identity Manager в корпоративном центре. Была построена единая система управления идентификацией пользователей внутренних информационных систем, автоматизированы процессы управления жизненным циклом информации о пользователях, настроены ролевые модели доступа к системам в зависимости от должностного статуса соответствующего пользователя, внедрены средства генерации отчетов, облегчающие дальнейший анализ и аудит привилегий доступа и действий пользователей, а также подготовлены комплекты нормативных документов, регламентирующих вопросы эксплуатации Java System Identity Manager. Кроме того, программное обеспечение Java System Identity Manager было интегрировано с основными информационными системами МТС.

В ходе проекта существенно изменились бизнес-процессы управления доступом к ИТ-ресурсам. «Многие функции системы идентификации пользователей были адаптированы под бизнес-процессы МТС, — уточняет Михаил Миньковский. — Первоначально специалисты Sun предложили типовое решение по процессам индентификации и первичную ролевую модель. После чего процессы и ролевая модель были доработаны под специфику МТС. В рамках проекта был довольно длительный и сложный период согласования модели процесса внутри компании. При этом в него были вовлечены не только ИТ-службы, но, например, и кадровые подразделения. Одним словом, работа проделана серьезная».

Основные возможности системы

Поскольку решения класса Indentity Management System еще в новинку для российских компаний, позволим себе небольшой рассказ о возможностях нового продукта. Решение для управления сетевой идентификацией Java System Identity Manager разработки Sun позволяет ИТ-администраторам эффективно управлять полномочиями, привилегиями и индивидуальными данными профилей пользователей через единую для всех информационных ресурсов систему администрирования.

Как это работает? Внедрение системы Java System Identity Manager в МТС тесно связано с внедрением HR-модуля Oracle e-Business Suite, в котором будет собрана вся база данных о сотрудниках компании. Если в кадровой базе данных регистрируется новый сотрудник (или изменяется его статус), то учетные данные синхронизируются и распространяются в другие информационные системы компании в соответствии с тем набором правил, который реализован и запрограммирован в Java System Identity Manager. По словам Сергея Прадедова, теперь регистрация сотрудника производится за три-пять минут, т. е. практически моментально. И сотрудник уже может иметь доступ к информационным системам. Если сотрудник увольняется и об этом фиксируется информация в кадровой базе данных, во всех информационных системах практически мгновенно прекращается его доступ к этим системам.

Интерфейсы консолей администрирования, встроенные в решение, позволяют пользователю самостоятельно управлять паролями. «Веб-консоль управления, — поясняет Сергей Прадедов, — обеспечивает самообслуживание пользователей, позволяя гибко настраивать и управлять процессом предоставления доступа. При этом пароль синхронизируется во всех информационных системах, так что во много раз снижаются траты рабочего времени на ожидание получения доступа к системам для новых сотрудников или изменения привилегий доступа в связи с переходом на новые должности.

С помощью системы Java System Identity Manager совсем не сложно проводить и аудит. Например, в любой момент времени можно узнать, кто к каким информационным системам имеет доступ и на каком основании этот доступ предоставлен, принимать меры, если доступ не санкционирован, а также создавать отчеты с одновременным анализом и аудитом привилегий доступа и действий пользователей в соответствии с требованиями российского, европейского и американского (закон Сарбейнса — Оксли) законодательства.

Итоги, оценки и перспективы

Сейчас система реализована в Москве, и для централизованных корпоративных информационных систем управление индентификацией производится с помощью Java System Identity Manager. Каков эффект от внедрения подобной системы? По словам Сергея Прадедова, существенно сократились расходы и издержки на управление учетными записями: сейчас управление записями происходит централизованно и задействовано в этом процессе всего несколько человек, в то время как ранее для этого требовались десятки администраторов. Нагрузку на администраторов удалось снизить за счет средств самообслуживания и делегирования административных полномочий.

Впрочем, основная задача проекта заключалась не в прямом сокращении расходов, а в существенном снижении рисков. Централизованное управление идентификацией на базе решения Sun снижает внутренние угрозы безопасности, связанные с неавторизованным доступом к информации и возникающие из-за неуправляемых учетных записей пользователей и отсутствия разграничения прав доступа к различным информационным ресурсам. «У нас в компании система инвестиционного планирования устроена таким образом, что проекты делятся на количественные и качественные, — говорит Михаил Миньковский. — К качественным относятся проекты, имеющие четкие измеримые ключевые показатели эффективности, которые выражаются не в деньгах или, во всяком случае, не только в деньгах. Срок окупаемости для качественных проектов мы точно пока не считаем, однако оцениваем сокращение прямых затрат на поддержку. И сейчас, по обобщении опыта реальной эксплуатации, мы видим соответствующий эффект. Но я хочу подчеркнуть, что основная задача внедрения этой системы — не только и не столько прямое сокращение эксплуатационных расходов. Система существенно снижает наши риски в области информационной безопасности. В МТС сейчас ведется большая работа по оценке стоимости рисков, в том числе и в области информационной безопасности. Часть наиболее критических рисков уже оценена, но, возможно, мы еще не на той стадии, когда можем оценить все риски. Что не менее важно, внедренная система помогает нам получить крайне необходимую аттестацию на соответствие требованиям закона Сарбейнса — Оксли. А количественный эффект от внедрения мы обязательно посчитаем».

Сергей Асланян, вице-президент по технике и информационным технологиям корпоративного центра Группы МТС, резюмирует: «В рамках повышения эффективности внутренних бизнес-процессов МТС, а также согласно условиям Нью-Йоркской биржи возникла необходимость в организации процессов управления компанией в соответствии с международными требованиями. Внедрение Java System Identity Manager позволяет значительно снизить операционные расходы на поддержку пользователей корпоративной информационной системы, повысить уровень информационной безопасности, улучшить обслуживание внутренних пользователей и обеспечить выполнение требований SOХ-404».

Развитие проекта продолжается. Следующий его этап — внедрение системы в макрорегионах. По мере тиражирования HR-модуля Oracle е-Business Suite система будет распространяться всё дальше в глубь страны. В МТС планируют завершить эту работу к концу нынешнего года. Кроме того, в настоящее время ведутся работы по повышению уровня безопасности и синхронизации паролей. При этом внедряются системы двухфакторной аутентификации c использованием биометрии, в результате чего существенно повышается надежность пароля.