Совершенствование контроля доступа к корпоративным ресурсам

Заказчик: ПАО «Юнипро»

ПАО «Юнипро» (до 22 июня 2016 г. – ОАО «Э.ОН Россия») – наиболее эффективная компания в секторе тепловой генерации электроэнергии в РФ. В состав ПАО «Юнипро» входят пять тепловых электрических станций общей мощностью 11 205 МВт: Сургутская ГРЭС-2 (5657 МВт), Березовская ГРЭС (2400 МВт), Шатурская ГРЭС (1493 МВт), Смоленская ГРЭС (630 МВт) и Яйвинская ГРЭС (1025 МВт). 83,73% акций ПАО «Юнипро» принадлежит Uniper Russia Holding GmbH – 100-процентному дочернему предприятию международного энергетического концерна Uniper SE. Основной вид деятельности – производство и продажа электрической энергии и мощности. ПАО «Юнипро» также представлено на рынках распределенной генерации и инжиниринга в РФ. 

Запуск в эксплуатацию новой системы управления идентификацией и контроля прав доступа пользователей (Identity and Access Managemnt – IAM) позволил ускорить процессы согласования заявок на доступ сотрудников к информационным ресурсам. Контроль правомерности предоставляемых прав доступа стал более полным, благодаря чему снизились риски информационной безопасности. Сохранение информации о согласованных, предоставленных и отозванных правах упрощает расследование случаев нарушения правил информационной безопасности.

Предпосылки проекта

«За время эксплуатации прежней системы управления идентификацией пользователей, внедренной несколько лет назад, круг требований к ней значительно расширился – это обусловлено развитием информационного ландшафта компании и появлением дополнительных задач по контролю доступа, – говорит Татьяна Побединская, начальник управления информационных технологий “Юнипро”. – Однако имеющееся решение производителем не развивалось и не позволяло реализовать определенные виды функционала. Переход на новую IAM-платформу дал возможность сделать учет и контроль прав доступа к корпоративным ресурсам более полным, уменьшить объем ручной обработки заявок, а также организовать более удобную работу пользователей». 

Изучив варианты модернизации существующей системы, эксперты ПАО «Юнипро» приняли решение перейти на IАМ-платформу SailPoint IdentityIQ.

Миграция на новую платформу

Специалисты компании «Инфосистемы Джет» провели миграцию на новую платформу без прерывания действующих процессов контроля прав доступа. 

«Чтобы обеспечить непрерывность контроля доступа, мы запустили новую систему параллельно со старой и затем в течение примерно трех месяцев перевели существующую бизнес-логику управления доступом из старой системы в новую. На сегодня все текущие IAM-функции выполняются новой системой, а прежняя используется только для получения исторических данных», – рассказывает Павел Кудрин, начальник отдела разработки и внедрения прикладных решений Центра информационной безопасности компании «Инфосистемы Джет».

Расширение функционала

«Мы расширили штатный функционал платформы SailPoint, обеспечив интеграцию IAM-решения со всеми ключевыми информационными системами ПАО “Юнипро”, а также реализовали ряд дополнительных процедур и механизмов в соответствии с поставленными требованиями», – продолжает Павел Кудрин

В результате проекта было автоматизировано управление доступом сотрудников территориально распределенных филиалов ко всем информационным ресурсам компании.

В рамках расширения стандартного функционала системы был разработан механизм интеграции SailPoint с системой документооборота Directum. Таким образом автоматизировано управление доступом к разным категориям корпоративных документов.

Эксперты компании «Инфосистемы Джет» реализовали возможность одновременной работы SailPoint с разными версиями сервера корпоративной почты. Благодаря этому появилась возможность централизованно управлять учетными записями электронной почты в разных филиалах без необходимости замены версий.

В новой системе предоставление доступа осуществляется на основе как ролевых моделей, так и более сложного комплекса критериев. Реализован ряд дополнительных процедур управления доступом: отзыва прав, контроля количества пользователей информационных систем и ряд других. В частности, были разработаны формы и процедуры согласования заявок на доступ к ERP-системе, которые позволяют автоматически предоставлять и отзывать права доступа пользователей к конкретным наборам объектов.

Интеграция SailPoint с BI-системой позволила контролировать доступ к бизнес-отчетам, содержащим конфиденциальную информацию.

Полнота контроля

Разработанные формы отчетов позволяют службе безопасности анализировать права доступа в разных разрезах: по пользователям, ролям, ресурсам, филиалам и т.д. Они дают возможность администраторам ИБ получать агрегированную информацию о правах доступа – как актуальную, так и историческую. Заказчик теперь может видеть, кто из сотрудников имеет или имел доступ к критически важной информации. Кроме того, появилась возможность контролировать соответствие количества пользователей информационных систем количеству активированных пользовательских лицензий. 

Миграция на новую IAM-платформу (Identity and Access Management) была выполнена без прерывания действующих процессов контроля прав доступа. Расширен штатный функционал вендорской платформы, обеспечена интеграция IAM-решения со всеми ключевыми информационными системами ПАО «Юнипро», реализован ряд дополнительных процедур и механизмов контроля в соответствии с поставленными требованиями. В результате учет и контроль прав доступа к корпоративным ресурсам стал более полным, уменьшился объем ручной обработки заявок, организована более удобная работа пользователей. Ускорились процессы согласования заявок на доступ сотрудников к информационным ресурсам. Снизились риски информационной безопасности. Сохранение информации о согласованных, предоставленных и отозванных правах упрощает расследование случаев нарушения правил информационной безопасности.

Скачать (pdf, 410.2 Кб)

Совершенствование контроля доступа к корпоративным ресурсам