В Банке Москвы построена комплексная IdM-система с полным циклом управления правами доступа на базе Oracle Identity Governance 11g R2. Система сократила время предоставления прав доступа сотрудникам к информационным системам банка с нескольких дней до минут, значительно снизила объём избыточных полномочий в ИС и обеспечила эффективный инструмент контроля предоставленных прав и расследования инцидентов информационной безопасности. Исполнителем проекта стала компания «Инфосистемы Джет», Oracle Platinum Partner со специализацией Oracle Identity Analytics 11g.
«Прикладная среда банка включает около 150 информационных систем. На первом этапе мы выбрали наиболее критичные системы, на которые приходится основная масса заявок на предоставление доступа. Так на 5 основных систем банка в наиболее загруженные периоды приходилось порядка 15 тыс. запросов в месяц. Их мы и выбрали для автоматизации в первую очередь, поскольку это давало банку наибольший эффект. Нам было важно сократить объем бумажной работы по согласованию и время на предоставление прав доступа, снизить нагрузку на ИТ-подразделения, обеспечить высокий уровень оперативности и прозрачности управления заявками, — комментирует Василий Окулесский, начальник управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы. — Еще одной предпосылкой для старта проекта послужила задача снижения рисков ИБ, связанных с процессами управления правами доступа».
На первом этапе проекта были проанализированы существующие в банке процессы управления доступом и сопряженные с ними производственные процессы и по итогам — предложены варианты оптимизации, выработаны подходы к автоматизации согласования и предоставления прав доступа в соответствии с ролевой моделью, разработанной специалистами банка.
Затем в головном офисе банка была развернута инфраструктура Oracle Identity Manager и интегрирована с наиболее критичными информационными системами — HR-системой «БОСС-Кадровик», Microsoft Active Directory и Microsoft Exchange, что позволило автоматизировать процессы приема на работу, увольнения, перевода по должности. Также с помощью специально разработанных коннекторов к централизованной системе управления правами доступа подключены АБС «М-Банк», процессинговая платформа Way4.
В результате была реализована тесная взаимосвязь между событиями, происходящими в кадровой системе, и реальными бизнес-процессами, принятыми в банке, появилась возможность обеспечить контроль полномочий каждого сотрудника на основе его положения в организационной структуре и должностных обязанностей из единой точки управления. Время выдачи минимальных прав новому сотруднику — создание учетной записи в Active Directory и почтового ящика — сокращено до нескольких минут.
Внедрение системы IDM — это масштабный проект, требующий активного участия специалистов заказчика и решения большого числа административных задач. Это взаимодействие с кадровой службой по вопросам организации кадрового документооборота, с ИТ-службой — в части оптимизации процессов управления учётными записями и разделения границ ответственности, с бизнес-подразделениями — для оптимизации соответствующих производственных процессов. Высокий уровень зрелости и культуры процессов правления в Банке Москвы позволили решить необходимые для реализации проекта задачи, и построить эффективную систему управления правами доступа.
«В сегодняшних условиях повсеместной автоматизации ИТ-процессов одним из главных приоритетов современного банка является безопасность информационных систем. Мы получили в свое распоряжение эффективный инструмент контроля, дающий актуальную картину того, кто, куда и какой доступ имеет. Автоматизация процесса управления правами доступа полностью решила проблему неучтенных или избыточных полномочий сотрудников банка», — рассказывает Василий Окулесский, начальник управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы.