Ключевые задачи проекта. Требования
к промышленному внедрению

автоматизация управления доступом и жизненным циклом УЗ

Избавить квалифицированный персонал от рутинных операций по управлению УЗ, при этом
отказаться от устаревшей ИТ-системы, которая использовалась для автоматизации отдельных
задач управления УЗ.

В 2021 г. развернуть систему Avanpost IDM, интегрировать кадровый источник и реализовать
процессы управления доступом для основных систем (Active Directory, Exchange и др.)
в продуктивном контуре.

В 2022-2023 годах реализовать управление УЗ в прикладных системах Заказчика (Система
автоматизированного проектирования, Электронный архив и др.).

комплаенс и автоматизация процессов управления рисками

Минимизировать риски, связанные с управлением полномочиями доступа, исключив
влияние человеческого фактора и организовав контроль нелегитимно выданных доступов.

Укрепить имидж организации в составе холдинга как реализующей современные практики
в области информационной безопасности

Характеристики проекта

Предпосылки проекта

Проектная команда Аванпоста

Все работы выполнены командой,
состоящей из 5 человек.

Насыщенный ИТ-ландшафт

Кадровый источник на базе 1С,
значительное количество ИС в контуре
управления, в т. ч.: различные конфигурации
1С, Active Directory и Exchange, LDAP-каталог,
ИС собственной разработки Заказчика,
производственные ИС).

Период 2021 — 2023 г.

Система IDM запущена в эксплуатацию
в 2021 г., в 2022—2023 годах выполнено
расширение функционала и охвата проекта,
на данный момент внедренная система
находится на поддержке Аванпост.

2024 год

Реализуется доработка системы,
направленная на организацию массового
управления паролями.

Более 20 000 пользователей

Рост высококвалифицированного
и дорогостоящего штата

Большой объем рутинных операций
по управлению учетными записями
выполняли высококвалифицированные
специалисты, дорогостоящий
штат разрастался.

Человеческий фактор и сбои
в работе систем

Исполнение рутинных действий силами
Администраторов приводило
к человеческим ошибкам, а нередко —
и к сбоям в работе систем.

Невозможность делегирования
полномочий без нарушения
политик ИБ

Делегировать привилегированные
полномочия Операторам службы сервис-
деск без нарушения политик ИБ
не представлялось возможным.

Описание проекта

Пилотный некоммерческий проект

Познакомил Заказчика с возможностями Avanpost IDM, убедил, что продукт пригоден
к работе в инфраструктуре конкретного предприятия, помог разработать требования
к промышленному внедрению.

Доверенный источник данных

Кадровая информация (справочники сотрудников, должностей, организационной
структуры) загружается из 1С «Зарплата и управление персоналом». Взаимодействие
серверных компонентов IDM с кадровой системой реализовано посредством
интерфейсного модуля (управляющего коннектора).

Интеграция с ИС

Над которыми осуществляется управляющее взаимодействие: реализовано
централизованное управление учетными записями в семи информационных
системах Заказчика:

MS Active Direсtory — применен готовый коннектор, из числа поставляемых
с продуктом;

MS Exchange – стандартные коннекторы адаптированы под особенности
использования данной ИС Заказчиком;

1С «Зарплата и управление персоналом» - стандартные коннекторы адаптированы
под особенности внедрения данной ИС Заказчиком;

1С «Документооборот» – стандартные коннекторы адаптированы под особенности
внедрения данной ИС Заказчиком;

Электронный архив – коннектор разработан с нуля;

Система автоматизированного проектирования (САПР) – коннектор разработан с нуля;

Фреймворк, являющийся средой запуска для нескольких десятков бизнес-
приложений (собственная разработка Заказчиком) – коннектор разработан с нуля,
произведена доработка API.

Аутентификация пользователей

Реализована через удобную административную консоль.

Элементы бизнес-логики

Реализация схем кадровых бизнес-процессов, заявок, шаблонов почтовых уведомлений,
шаблонов учетных записей, исчерпывающих набор отчетов.

Проектные решения

В рамках автоматизации процессов сокращения рисков:

В интеграции с 1С «Документооборот» применена расширенная модель разграничения
доступа, позволяющая выдавать многомерные полномочия. Например, одному и тому
же пользователю роль «Кладовщик» может быть выдана в сочетании с доступом
к данным только основного склада, тогда как роль «Менеджер склада» будет
назначена так, чтобы предоставить доступ к данным сразу нескольких локаций.
Реализованы делегирование полномочий от одной учетной записи к другой,
и автоматическая передача дел на руководителя при увольнениях, переводах,
длительных отпусках.

Неординарно реализована интеграция с Exchange: в зависимости от грейда
Пользователю предоставляется «внутренний» (для работы исключительно
в корпоративной сети) либо «внешний» почтовый ящик; доступно преобразование
почтового ящика из одного типа в другой с изменением основного почтового адреса,
при этом не теряется корреспонденция со старого почтового адреса.

Каждое бизнес-приложение в составе фреймворка имеет собственный набор
полномочий. Полномочия хранятся в реляционной базе данных, аутентификационная
информация же размещается в LDAP-каталоге. В случае подключения нового бизнес-
приложения Заказчик сможет организовать управление УЗ в нем без доработки
интеграционной связки.

Результаты внедрения

Система выполняет операции преимущественно сама

Преобладающая часть операций по администрированию учетных записей выполняется системой
без привлечения персонала.

Все действия проходят через новую систему

В системе реализован процесс автоматического отслеживания и обработки фактов выдачи
полномочий доступа нелегитимно, в обход IDM.

Замещение старой системы

Функции старой «квази-IDM» системы полностью замещены.

Автоматизация действий администрирования

Те действия, полная автоматизация которых не является алгоритмически возможной (1−2%),
теперь выполняются в административной консоли Avanpost IDM и переданы от Администраторов
к Операторам службы сервис-деск. Например, при необходимости выдать доступы пользователю,
не попадающему под действие автоматических алгоритмов, следует в «административной
консоли» указать предоставляемые полномочия, выбрав их из справочника. Система сама
определит, нужно ли создавать учетную запись, вычислит значения ее атрибутов, по электронной
почте уведомит уполномоченных лиц и вышлет логин и пароль.

Полностью автоматизирован
процесс управления полномочиями доступа работников предприятия Заказчика
реализована через удобную административную консоль.