Система централизованного управления учетными записями пользователей (IdM) в одной из ведущих газодобывающих компаний

О Заказчике

Основные виды производственной деятельности компании – добыча газа, газового конденсата и их подготовка к транспорту, проведение геолого-разведочных работ, обустройство и разработка новых газовых, газоконденсатных и нефтяных месторождений.

Задачи

Компания насчитывает более 10 тысяч работников, и процесс предоставления прав доступа занимал значительное количество времени. Руководство компании приняло решение о внедрении системы централизованного управления учетными записями пользователей с использованием Identity Manager (IdM).

В проекте были заинтересованы бизнес-подразделения, управление информационных технологий и подразделение безопасности. С точки зрения бизнеса необходимо было добиться сокращения затрат на администрирование и снижения издержек, связанных с ожиданием предоставления прав доступа и рисками ИБ. Для пользователей нужно было повысить удобство при работе с корпоративными системами; с точки зрения ИТ – ускорить и структурировать процессы предоставления доступа; для подразделения безопасности система должна стать удобным инструментом контроля прав доступа.

«Для нас очень важно повышение прозрачности процессов управления доступом и их автоматизация, – комментирует представитель компании. – Внедрение IdM-системы было доверено компании “Инфосистемы Джет”, специалисты которой предложили решение, наиболее соответствующее нашим целям. Мы выбрали компанию, у которой сложилась положительная репутация на рынке и накоплен значительный опыт развертывания IdM-решений с использованием как продуктов ведущих вендоров, так и собственных наработок».

Система должна была, во-первых, ускорить обработку заявок на доступ (оформление заявок в электронном виде), во-вторых, позволить постепенно перейти к электронному согласованию заявок за счёт использования юридически значимой электронной цифровой подписи (ЭЦП), в-третьих, существенно снизить нагрузку на администраторов. Ожидалось значительное повышение уровня безопасности за счёт установленных регламентов предоставления прав доступа.

Специалисты компании «Инфосистемы Джет» предложили использовать итерационный подход к внедрению системы, который позволяет постепенно автоматизировать процессы предоставления прав доступа, избегая инертности системы.

В качестве IdM-системы была выбрана система Oracle WaveSet (ранее Sun Java System Identity Manager), которая дорабатывалась в соответствии с требованиями заказчика и спецификой его бизнеса.

Специалисты компании «Инфосистемы Джет» совместно с заинтересованными структурами компании детально проработали проектную документацию, сформировали техническое решение. Поскольку функционал создаваемой системы является неотъемлемой частью работы ИТ, ИБ и бизнес-подразделений компании, этап детализации и формирования требований к системе занял несколько месяцев. Проектирование осуществлялось с учетом 100% отказоустойчивости архитектуры (все программные и аппаратные компоненты задублированы).

Евгений Акимов, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»: «На всех этапах проекта работники компании участвовали в формировании решений, согласовании и корректировке результатов. Это позволило координировать наши действия и прогнозировать результаты работ. Поэтому нам не приходилось в ходе проекта менять изначальный план действий, предусмотренный проектом функционал системы. Мы работали в неразрывном тандеме с отделами администрирования и программирования, совместно писали скрипты, дорабатывали функционал системы. В результате мы уложились в изначально запланированные сроки».

Система внедрялась поэтапно: функционал Identity Management был разделен на блоки.

На первом этапе (в июне 2010 года) запущен первый релиз системы: подключен кадровый источник информационно-аналитическая система «ЕИС-Кадры» и такие бизнес-процессы как «прием на работу» и «увольнение».

По информации из кадровой системы изменения вносились в Active Directory (AD, система, представляющая собой глобальный каталог учетных записей пользователей, обеспечивающий централизованное управление компьютерами) и в корпоративную почту Exchange 2003.

На втором этапе (в августе 2010 года) система была значительно расширена.

Включены такие бизнес-процессы, как «перевод по штатному расписанию», «предоставление отпуска», «согласование назначения ролей/продления срока действия ролей» и другие. Реализована функция формирования системой pdf-заявок на доступ к ресурсам AD и SAP R/3 (имеет более 5 модулей таких как бухгалтерский учет, производство, финансы и т.д.).

Для экономии рабочего времени сотрудников проведена интеграция с удостоверяющим центром КриптоПро, что позволяет использовать юридически значимую ЭЦП при утверждении заявок.

На третьем этапе (в ноябре 2010 года) внесены локальные изменения в пользовательские формы системы, шаблоны заявок и интерфейс, добавлен бизнес-процесс «смена ФИО» и новые аудит-отчеты для подразделения безопасности. Организован процесс предоставления прав доступа к корпоративной почте Exchange 2010.

На четвертом этапе (в январе 2011 года) в качестве управляемой системы присоединена ИАС «ЕИС-Кадры».

Таким образом, к настоящему моменту система охватывает основные бизнес-процессы компании, подключена к основному источнику кадровой информации и к 4 управляемым системам SAP R/3, AD,ИАС «ЕИС-Кадры», Exchange 2010 (схема работы системы проиллюстрирована на рис.).

В компании организован централизованный подход к управлению учетными записями пользователей и правами доступа. При приеме на работу нового сотрудника ему автоматически создаются учетные записи в тех системах, доступ к которым ему необходим для выполнения своих служебных обязанностей. При изменении должности или подразделения права также автоматически меняются, при увольнении блокируются учетные записи пользователя. Заявка проходит несколько этапов согласования, что позволяет избежать ошибочного предоставления прав доступа.

В настоящее время система находится в промышленной эксплуатации и передана на техническую поддержку компании «Инфосистемы Джет». На данный момент зарегистрировано более 3000 заявок на доступ, что свидетельствует о высокой востребованности системы. Она охватывает 12 бизнес-процессов компании («прием на работу нового сотрудника», «перемещение по штатному расписанию», «блокировка/разблокировка учетных записей» и т.д.).

«В компании используется инновационный подход к внедрению ИТ-технологий, что является одним из факторов, обеспечивающих устойчивое развитие компании, – комментирует Игорь Ляпунов, директор Центра информационной безопасности компании “Инфосистемы Джет”. – Решение о внедрении IdM-системы – стратегически верный шаг руководства компании, учитывая такие факторы, как время окупаемости системы, стоимость администрирования информационных систем, поддержки пользователей и удобства сотрудников при ожидании предоставления прав доступа. По нашему опыту, сейчас это направление активно набирает обороты, появляется все больше компаний, осознающих необходимость внедрения IdM».

Представитель компании: «Пока еще рано оценивать результаты проекта, однако уже сейчас мы ощутили, насколько повысилась производительность работы подразделений ИТ и ИБ. Работающая IdM-система в совокупности с действующими в нашей компании регламентами и процедурами позволяет обеспечить удобство пользователей при работе в корпоративных системах. Значительно ускорился процесс предоставления прав доступа. Компоненты системы дорабатывались специально под наши задачи и в настоящее время активно используются».

Скачать (pdf, 152.52 Кб)

Система централизованного управления учетными записями пользователей (IdM) в одной из ведущих газодобывающих компаний