Централизованная Система Управления Доступом к ИТ-ресурсам 

r
Вымпелком

ПАО «ВымпелКом» входит в группу компаний «ВымпелКом Лтд» и предоставляет интегрированные услуги мобильной и фиксированной телефонии, международной и междугородной связи, передачи данных, телематических услуг связи, доступа в Интернет на базе беспроводных и проводных решений, включая технологии оптоволоконного доступа, WiFi и сети третьего и четвертого поколений. Среди клиентов и партнеров «ВымпелКом» — частные лица, малые, средние и крупные предприятия, транснациональные корпорации, операторы связи.

Предпосылки проекта

ПАО «ВымпелКом» имеет более 100 офисов по всей территории России, в которых работает более 80 000 человек. В эксплуатации в настоящее время находится порядка 1500 серверов, на которых работает более 300 приложений. Все основные информационные сервисы централизованы и сопровождаются из центра. Предоставление доступа к ИТ-ресурсам также осуществляется централизованно.


   Активное развитие бизнеса предъявляет к компании целый ряд требований, в числе которых:

  • гибкость ИТ-инфраструктуры и возможность быстро адаптироваться для своевременной реализации бизнес-инициатив;
  • обеспечение надлежащего уровня информационной безопасности;
  • ограничение роста численности ИТ-персонала при непрерывном росте числа эксплуатируемых систем;
  • снижение издержек на эксплуатацию и сопровождение без снижения качества предоставляемых сервисов.

В результате анализа этих требований было принято решение о создании в компании Централизованной Системы Управления Доступом (ЦСУД) к ИТ-ресурсам.

Задачи проекта

При создании ЦСУД были поставлены следующие задачи:

  • создать универсальную корпоративную платформу для управления процессами предоставления и изменения доступа к ИТ-ресурсам;
  • автоматизировать такие рутинные операции, связанные с управлением доступом, как:
    • корректировка доступов для приведения ИТ-инфраструктуры в соответствие требованиям корпоративных политик информационной безопасности и внешних регулирующих документов;
    • исполнение заявок на изменение доступа.
  • автоматизировать проведение аудитов информационной безопасности:
  • снизить влияние человеческого фактора на процессы проведения аудитов и исполнения заявок;
  • обеспечить интеграцию с существующими информационными системами.

Описание решения

Ядром ЦСУД является Подсистема управления учетными записями пользователей, созданная на основе IBM Tivoli Identity Manager.

Данная подсистема позволяет управлять учетными записями пользователей и их атрибутами в различных приложениях. Кроме этого, она получает информацию о сотрудниках из кадровых систем, что дает уникальную возможность в течение нескольких секунд выяснить к каким информационным системам и с какими правами данный конкретный сотрудник имеет доступ.

Подсистема обеспечивает выполнение следующих функций: 

  • централизованное управление учетными записями пользователей во всех подключенных системах;
  • консолидация информации о доступах сотрудника;
  • выявление и блокирование нарушителей корпоративных политик безопасности;
  • управление специальными (системными) учетными записями (которые отличаются от обычных тем, что используются для целей администрирования, а также для организации обмена информацией между системами и не могут быть соотнесены с конкретной персоной).

Еще один ключевой компонент ЦСУД – это Глобальный единый справочник пользователей информационных ресурсов ПАО «ВымпелКом», представляющий собой единую структуру данных, содержащую кадровую информацию по всем типам сотрудников компании, и механизм, поддерживающий актуальность информации в данной системе.

Созданная система позволяет получить единый источник как пользовательской, так и технической информации по сотрудникам всех типов и стран. Помимо управления доступом и обеспечения мероприятий аудита, Централизованная Система Управления Доступом предоставляет ряд сервисов другим информационным системам заказчика.

Информационная система «Заявки на ИТ-услуги»

В ПАО «ВымпелКом» доступ пользователям к ИТ-ресурсам предоставляется по заявкам. ИС «Заявки на ИТ-услуги» содержит каталог услуг, из которого любой пользователь может создавать заявки на предоставление доступа, а также механизм согласования заявок. Для каждой услуги определен владелец информации, который визирует заявку. Кроме того, визу обязательно ставит руководитель сотрудника, намеревающегося получить доступ к услуге (это нужно, чтобы соблюсти принцип минимизации необходимых полномочий сотрудника). После этого заявка передается на исполнение.

В ходе внедрения ЦСУД была интегрирована с ИС «Заявки на ИТ-услуги», так что теперь заявки на предоставление доступа в тех системах, которые входят в контур управления Централизованной Системы Управления Доступом, исполняются автоматически. При этом добавление новых систем в контур управления позволяет автоматизировать исполнение заявок для них с минимальными затратами.

Для осуществления контроля соответствия прав доступа сотрудников, согласованных в ИС «Заявка на ИТ-услуги», и фактических прав доступа был реализован модуль сравнения фактических и формально предоставленных доступов, целью которого является:

  • сбор информации о фактических текущих доступах пользователя;
  • сбор информации о согласованных и исполненных заявках на предоставление и изменение доступа сотрудников в различные ИС;
  • составление сравнительных отчетов по фактическим доступам сотрудников и доступам, предоставленным по заявкам;
  • выявление сотрудников с излишними фактическими доступами.

Доступ к ИТ-ресурсам ПАО «ВымпелКом» предоставляется как внутренним сотрудникам компании, так и сотрудникам сторонних организаций. Процессы предоставления доступа сотрудникам сторонних организаций включают в себя ознакомление с различными инструкциями и соглашениями, а также подписание обязательств о неразглашении сведений ограниченного распространения. Сотрудники сторонних организаций обязаны изучить инструкции по использованию и администрированию информационных систем до того, как они получат к ним доступ. В связи с этим была разработана система автоматизации подпроцессов предоставления различных инструкций сотрудникам сторонних организаций, а также учета и контроля изучения этих инструкций.

Централизованная система аудита использует данные из Централизованной Системы Управления Доступом для выявления нарушителей политик информационной безопасности, а также для их блокирования.
Служба технической поддержки использует информацию о сотрудниках и их доступах в ходе назначения и разрешения инцидентов.
Еще несколько корпоративных систем заказчика используют Единый Справочник как источник актуальных данных о сотрудниках компании.

Централизованная Система Управления Доступом была реализована на базе технологий компании IBM.

Основу системы составляют следующие продукты:

  • IBM TIVOLI IDENTITY MANAGER используется как централизованный инструмент для управления учетными записями пользователей в различных инфраструктурных и бизнес-системах заказчика. Данный модуль является ядром Подсистемы Управления Учетными Записями пользователей и позволяет централизованно выполнять все действия по управлению жизненным циклом учетной записи пользователя приложения (создание, удаление, блокировка, изменение атрибутов и принадлежности к группам, смена пароля).
  • IBM DIRECTORY INTEGRATOR позволяет гибко объединять данные, расположенные в различных каталогах и базах данных. В данном проекте он использовался для обеспечения связи IBM Tivoli Identity Manager с системами собственной разработки заказчика, для которых в данном продукте нет собственных интерфейсов.
  • IBM WEBSPHERE используется в проекте как сервер приложений для различных компонентов Централизованной Системы Управления Доступом. Помимо этого, при помощи IBM WebSphere обеспечивается унифицированный пользовательский интерфейс для доступа операторов и администраторов к системе.

Результаты проекта

В результате реализации проекта в компании ПАО «ВымпелКом» была создана Централизованная Система Управления Доступом, которая охватывает основные инфраструктурные и бизнес-системы, а также создан централизованный справочник, содержащий актуальную информацию обо всех сотрудниках ПАО «ВымпелКом» и приобретенных им компаний, а также сотрудниках компаний бизнес-партнеров.

В компании появилась возможность проводить автоматизированный аудит целевых систем на соответствие требованиям информационной безопасности в части доступа пользователей к критичным информационным системам.

Кроме того, теперь в автоматическом режиме проводятся корректирующие воздействия на целевые системы при обнаружении несоответствия требованиям информационной безопасности. Это дает возможность мгновенно частично или полностью блокировать доступ нарушителя к системе. Автоматизация проведения аудита информационной безопасности позволила:

  • контролировать избыточность доступов для более чем 35 тыс. сотрудников к более чем 70 корпоративным АС;
  • ежедневно контролировать более чем 150 000 назначенных полномочий в ключевой бизнес-критичной системе (финансовой) на соответствие правилам SoD;
  • оперативно получать информацию, необходимую для успешного прохождения внешнего аудита на соответствие требованиям SoX.
Также появилась возможность автоматического исполнения большинства заявок на предоставление доступа.

Сегодня в полностью автоматическом режиме в день исполняется порядка 900 заявок, при этом среднее время исполнения заявки составляет 3 минуты.