Внедрение системы комплексного управления учетными данными пользователей в Банке

526

Заявлено проектов
405

Опубликовано проектов
30

Оставлено комментариев
343

Количество голосов
53

Дней до окончания голосования

Руководитель проекта со стороны заказчика

Евгений Алехин

ПАО КБ "Центр-инвест"

Начальник управления развития ИТ, член Правления
Категория

Лучшее решение в предметной области
Номинация

Информационная безопасность
Цели
1. Автоматизация процесса управления доступами и ролями к информационным системам Банка
2. Повышение уровня информационной безопасности
3. Повышение производительности труда и сокращение среднего времени выполнения заявок на предоставление доступа к информационным системам администраторами ИТ
4. Реализация ролевого метода при управлении доступами в Автоматизированную банковскую систему (АБС) и всех ее модулей (депозиты ФЛ и ЮЛ, кредиты ФЛ и ЮЛ, РКО и др.)
5. Оптимизация процесса подготовки и согласования заявок на предоставление доступов к информационным системам
Сроки выполнения

июнь, 2023 — сентябрь, 2024
Год завершения проекта

2024
Масштаб проекта

1500 автоматизированных рабочих мест
Результаты
1. Внедрение системы IDM позволило практически полностью исключить системных администраторов из процесса предоставления доступов пользователям. Оптимизация составила порядка 95% ранее затрачиваемого на управление доступами времени. Высвободившиеся ресурсы администраторов перераспределены на проектные задачи.
2. Сокращение времени предоставления доступа к информационным системам от этапа оформления заявки до ее исполнения на 80%, до нескольких минут
3. Повышение уровня информационной безопасности, в том числе за счет интеграции с кадровой системой в Банке. Исключены ситуации задержек деактивации учетных записей и прав доступа при увольнении сотрудника, исключена возможность несанкционированного предоставления доступа к информационной системе за счет проведения автоматического аудита.
4. Оптимизирован процесс оформления заявки руководителями подразделений на предоставление доступа сотрудникам
5. Выполнен переход к использованию ролевого метода при управлении доступами в АБС и всех его модулей
Уникальность проекта
1. Внедренная система комплексного управления учетными данными (IDM) обеспечивает автоматизированное управление жизненным циклом свыше 1500 учетных записей пользователей, распределенных в пяти регионах страны.
2. Разработанные собственными силами коннекторы на базе Avanpost IDM позволили выполнить интеграцию более чем со 150 информационными системами банка, включая те, которые поддерживают исключительно локальную авторизацию
3. В ряде систем Банка используется сложная многоуровневая система групп доступа, в результате проекта перешли от использования нескольких тысяч групп доступа к ограниченному набору ролей
4. Интеграция с кадровой системой Банка позволила обеспечить непрерывный жизненный цикл учетных записей сотрудников - от их приема до увольнения.
5. Централизованное управление учетными записями пользователей и функционал регулярного аудита прав доступа позволяет контролировать обоснованность доступа к информационным система Банка, что существенно повысило уровень информационной безопасности
Использованное ПО

В качестве основного ПО выбрано решение Avanpost IDM от компании “Avanpost” - российского разработчика систем аутентификации и управления доступом.
Дополнительно было использованы PostgreSQL, Python, RabbitMQ, Tomcat, Nginx, OpenSSL.
Решение из каталога Global CIO

В проекте не используются решения из каталога Global CIO
Сложность реализации
1. В процессе внедрения для унаследованных систем имеющих только локальную авторизацию потребовалось написать API и универсальные адаптеры, работающие по протоколу SCIM (System for Cross-domain Identity Management).
2. Самостоятельное выполнение персоналом Банка настройки и доработки системы без привлечения поставщика решения.
3. Выполнен ресурсоемкий перенос большого объема данных по имеющимся доступам в новую систему IDM
Описание

За 30 лет своей истории ПАО КБ «Центр-инвест» вырос до штата 1500+ сотрудников и 70+ дополнительных офисов в пяти регионах страны.

В процессе эксплуатации системы управления доступами периодически возникали задержки, связанные с длительными сроками согласования и выполнения заявок на предоставление прав доступа к информационным системам Банка.

Внедрения нового программного обеспечения и форматов обслуживания, наряду с высокой мобильностью персонала между офисами, привели к увеличению нагрузки на системных администраторов, администраторов бизнес-приложений и руководителей подразделений, ответственных за формирование запросов на доступы к информационным системам. Дополнительным фактором, подтолкнувшим к необходимости внедрения централизованной системы управления учетными записями стало присвоением основным банковским системам статуса значимых объектов критической информационной инфраструктуры (ЗОКИИ), что требует соблюдения повышенных требований к информационной безопасности.

В процессе выбора системы централизованного управления учетными записями пользователей были рассмотрены все ведущие решения. Одним из главных критериев было предоставление возможности использовать как готовые шаблоны, так и создавать свои собственные коннекторы для подключения к целевым системам, так как часть систем, находящихся в эксплуатации, используют только локальную авторизацию. Наиболее подходящим решением была выбрана импортонезависимая система Avanpost IDM, удовлетворяющая всем предъявляемым требованиям.

На текущий момент к системе подключено более 150 информационных систем Банка, оптимизированы бизнес-процессы по формированию, согласованию и исполнению заявок на предоставление доступов, настроена автоматическая синхронизация данных с кадровой системой Банка и регулярный аудит предоставленных пользователям доступов. Весь штат банка был подключен к системе в кратчайшие сроки.
География проекта

Проект охватывал регионы присутствия ПАО КБ «Центр-инвест» - г. Ростов-на-Дону и дополнительные офисы и филиалы распределенные по 5 регионам страны