Внедрение системы комплексного управления учетными данными пользователей в Банке

Заказчик:

ПАО КБ "Центр-инвест"

Руководитель проекта со стороны заказчика

Евгений Алехин

Начальник управления развития ИТ, член Правления

Поставщик

ООО "Айдиэм ЛАБ"

Год завершения проекта

2024

Сроки выполнения проекта

июнь, 2023 — сентябрь, 2024

Масштаб проекта

1500 автоматизированных рабочих мест

Цели

Автоматизация процесса управления доступами и ролями к информационным системам Банка
Повышение уровня информационной безопасности
Повышение производительности труда и сокращение среднего времени выполнения заявок на предоставление доступа к информационным системам администраторами ИТ
Реализация ролевого метода при управлении доступами в Автоматизированную банковскую систему (АБС) и всех ее модулей (депозиты ФЛ и ЮЛ, кредиты ФЛ и ЮЛ, РКО и др.)
Оптимизация процесса подготовки и согласования заявок на предоставление доступов к информационным системам

Результаты

Внедрение системы IDM позволило практически полностью исключить системных администраторов из процесса предоставления доступов пользователям. Оптимизация составила порядка 95% ранее затрачиваемого на управление доступами времени. Высвободившиеся ресурсы администраторов перераспределены на проектные задачи.
Сокращение времени предоставления доступа к информационным системам от этапа оформления заявки до ее исполнения на 80%, до нескольких минут
Повышение уровня информационной безопасности, в том числе за счет интеграции с кадровой системой в Банке. Исключены ситуации задержек деактивации учетных записей и прав доступа при увольнении сотрудника, исключена возможность несанкционированного предоставления доступа к информационной системе за счет проведения автоматического аудита.
Оптимизирован процесс оформления заявки руководителями подразделений на предоставление доступа сотрудникам
Выполнен переход к использованию ролевого метода при управлении доступами в АБС и всех его модулей

Уникальность проекта

Внедренная система комплексного управления учетными данными (IDM) обеспечивает автоматизированное управление жизненным циклом свыше 1500 учетных записей пользователей, распределенных в пяти регионах страны.
Разработанные собственными силами коннекторы на базе Avanpost IDM позволили выполнить интеграцию более чем со 150 информационными системами банка, включая те, которые поддерживают исключительно локальную авторизацию
В ряде систем Банка используется сложная многоуровневая система групп доступа, в результате проекта перешли от использования нескольких тысяч групп доступа к ограниченному набору ролей
Интеграция с кадровой системой Банка позволила обеспечить непрерывный жизненный цикл учетных записей сотрудников - от их приема до увольнения.
Централизованное управление учетными записями пользователей и функционал регулярного аудита прав доступа позволяет контролировать обоснованность доступа к информационным система Банка, что существенно повысило уровень информационной безопасности

Использованное ПО

В качестве основного ПО выбрано решение Avanpost IDM от компании “Avanpost” - российского разработчика систем аутентификации и управления доступом.

Дополнительно было использованы PostgreSQL, Python, RabbitMQ, Tomcat, Nginx, OpenSSL.

Сложность реализации

В процессе внедрения для унаследованных систем имеющих только локальную авторизацию потребовалось написать API и универсальные адаптеры, работающие по протоколу SCIM (System for Cross-domain Identity Management).
Самостоятельное выполнение персоналом Банка настройки и доработки системы без привлечения поставщика решения.
Выполнен ресурсоемкий перенос большого объема данных по имеющимся доступам в новую систему IDM

Описание проекта

За 30 лет своей истории ПАО КБ «Центр-инвест» вырос до штата 1500+ сотрудников и 70+ дополнительных офисов в пяти регионах страны.

В процессе эксплуатации системы управления доступами периодически возникали задержки, связанные с длительными сроками согласования и выполнения заявок на предоставление прав доступа к информационным системам Банка.

Внедрения нового программного обеспечения и форматов обслуживания, наряду с высокой мобильностью персонала между офисами, привели к увеличению нагрузки на системных администраторов, администраторов бизнес-приложений и руководителей подразделений, ответственных за формирование запросов на доступы к информационным системам. Дополнительным фактором, подтолкнувшим к необходимости внедрения централизованной системы управления учетными записями стало присвоением основным банковским системам статуса значимых объектов критической информационной инфраструктуры (ЗОКИИ), что требует соблюдения повышенных требований к информационной безопасности.

В процессе выбора системы централизованного управления учетными записями пользователей были рассмотрены все ведущие решения. Одним из главных критериев было предоставление возможности использовать как готовые шаблоны, так и создавать свои собственные коннекторы для подключения к целевым системам, так как часть систем, находящихся в эксплуатации, используют только локальную авторизацию. Наиболее подходящим решением была выбрана импортонезависимая система Avanpost IDM, удовлетворяющая всем предъявляемым требованиям.

На текущий момент к системе подключено более 150 информационных систем Банка, оптимизированы бизнес-процессы по формированию, согласованию и исполнению заявок на предоставление доступов, настроена автоматическая синхронизация данных с кадровой системой Банка и регулярный аудит предоставленных пользователям доступов. Весь штат банка был подключен к системе в кратчайшие сроки.

География проекта

Проект охватывал регионы присутствия ПАО КБ «Центр-инвест» - г. Ростов-на-Дону и дополнительные офисы и филиалы распределенные по 5 регионам страны