Начальник отдела идентификации и прав доступа службы ИТ безопасности АО «Евразийский Банк» рассказала о внедрении One Identity Manager.
Внедрение сложной информационной системы в финансовой организации — это всегда вызов. А если речь идет об одном из ключевых продуктов информационной безопасности, платформе управления доступом IdM/IGA, ответственность за результат возрастает в несколько раз. О том, как правильно спланировать работу команды и организовать взаимодействие с коллегами в большом интеграционном проекте мы поговорили с Ильмирой Халиковой из АО «Евразийский Банк».
— Проект внедрения One Identity Manager в Евразийском банке занял один календарный год, и это достаточно быстро для такого класса систем. Что получилось сделать за это время?
— В 2024 году система была полностью внедрена, включая перенос функциональности со старой платформы IdM. Мы воссоздали ранее реализованные наработки, добавили новые возможности и начали активно пользоваться и развивать их. Сейчас охвачены все ключевые информационные системы банка, и Identity Manager управляет жизненным циклом учетных записей наших пользователей. Много систем интегрировано через Active Directory, и это позволило уменьшить время и усилия на подключение таких ресурсов. Кстати, у нас есть отдельный критерий при выборе новых прикладных и бизнес-систем — они должны быть интегрированы с Active Directory и управляться группами AD — это упрощает внедрение и эксплуатацию в дальнейшем.
— Что явилось ключевой предпосылкой для старта проекта?
— Мы достаточно долго, около 10 лет, проработали с предыдущей платформой, но в последнее время стали сильно ощущать недостатки и ограничения. Возможности самостоятельной доработки и кастомизации были заметно ограничены. Поэтому была поставлена задача подобрать систему на замену.
— Насколько сложно было осуществить миграцию? Оправдались ли первые ожидания от новой системы?
— Сам переход прошел достаточно гладко. Мы просто рассказывали интегратору, как процессы управления доступами реализованы в старой системе. А нам предлагали варианты улучшения и оптимизации этих процессов, и как добавить новые инструменты контроля. Начали миграцию с пяти филиалов, потом добавили остальные и позднее охватили весь банк.
Важно отметить, что у нас был некий базис, ядро, которое было проработано и практически не изменилось — это HR система. И интеграционная часть для исполнения кадровых событий практически без изменений переехала в One Identity Manager. Также и в части интеграции с ключевыми бизнес-приложениями — используемый API был полностью переиспользован, и многие работы не потребовалось выполнять.
Наша практика сложилась так, что частью системы управления доступами было не только само решение IdM, его движок, но и большой набор Excel-документов, который велся вручную. И в ходе процесса миграции мы постарались разместить все данные, которые были в неструктурированных источниках, внутри новой платформы. Этот проект мы видим как переход от Identity Management и Permission Management к Identity Governance. Сейчас мы управляем правилами, по которым работают матрицы доступа, осуществляются контрольные проверки. В старой системе их де-факто не было: аудит строился на наборе дополнительных инструментов и ручной работе. Можно сказать, что предпосылкой к миграции была не только невозможность доработки старой платформы, но и переход на новый уровень соответствующей функциональности.
— Ролевая модель доступа — ключевой элемент любой IdM-системы, при этом у каждого заказчика есть своя специфика и свой подход. Как это реализовано у вас?
— У нас ролевая модель организована набором матриц доступа для систем. В дополнение к матрицам, определяющим доступные для заказа полномочия, есть наборы минимальных прав для подразделений и должностей. Это доступы, которые работники получают без запросов, по факту приема или перевода на определенную позицию. Для систем, которые управляются группами AD, минимально необходимые доступы предоставляются автоматически.
По основным банковским системам, интегрированным с One Identity Manager, запрос на доступ формируется по кадровому событию. Руководителю нового работника остается только согласовать запросы. Это значительно ускоряет получение доступов. При этом руководитель может скорректировать состав полномочий в запросе и убрать ненужное.
— Внедрение любой большой информационной системы требует вовлечения и обучения пользователей. Как вы построили коммуникацию с коллегами?
— Да, мы проводили такое обучение для бизнес-владельцев и для руководителей — сначала для тех подразделений, с которых мы начали переход в продуктивный режим. Мы уведомляли руководителей подразделений, проводили беседы онлайн в Teams; также были индивидуальные консультации для сотрудников, которым нужны были подробности. На этом этапе мы активно взаимодействовали с IT-специалистами филиалов: большинство пользователей со всеми своими проблемами идут в IT, а администратор, понимающий, как теперь работает система и связанные процессы, сможет с большой вероятностью успешно донести особенности до рядового сотрудника.
— Какую обратную связь вы получали от пользователей в процессе запуска системы? Был ли негатив или недовольство?
— Удивительно, но нет. Буквально с первых дней использования One Identity Manager начали получать восторженные отклики — как удобно, понятно и быстро стало все делаться. Мы с первого этапа запуска стали опрашивать пользователей системы в филиалах и собирать статистику и отзывы — и они сразу были положительные.
— Портал самообслуживания — это «лицо IdM-системы». Какая функциональность реализована на текущем этапе?
— Сейчас у нас на портале полностью реализованы стандартные запросы на доступ: то, что выдается через группы AD — видно для всех, а для критичных систем в каталоге доступно только то, что можно заказать конкретному пользователю. Заявки для подрядчиков также выделены в отдельную категорию, и их могут оформлять только в одном подразделении. Также есть раздел Портфолио, в котором сотрудник может посмотреть, какие у него есть доступы, и развитие этого элемента у нас в планах на год.
Из последних новостей: коллеги запустили процедуру пересмотра матриц и полномочий пользователей руководителями. Раньше этого процесса не было в автоматизированном виде, а теперь это реализовано в формате аттестации на платформе One Identity.
— Аттестация — самый востребованный сценарий для контроля правильности назначенных прав. Поделитесь пожалуйста, как вы начали его внедрять?
— Для нас это понятная и нужная функциональность, которую можно запускать практически «из коробки»: сформировать выборку сотрудников, выделить информационные ресурсы, определить критерии и сроки проверки. Мы начали с USB и Web — по классике их считают каналами утечки. Это критичные ресурсы, которые могут навредить. В Евразийском банке есть общее требование о необходимости пересмотра таких активов подчиненных их руководителями. Раньше сложно было проводить подобные проверки из-за их трудоемкости: оформление служебных записок, формирование перечня доступов и их проверка, утверждение результата, ручное отключение. Это большая рутинная работа. А сейчас, в автоматическом режиме, аттестация прошла практически безболезненно и очень быстро. И мы уже получили позитивную обратную связь от линейных руководителей: получили запрос, зашли на портал, нажали кнопки — готово!
— IdM это та история, которая живет и развивается вместе с организацией. Какие направления вы определили для развития на следующий год?
— У нас есть несколько направлений для развития. Есть условно инфраструктурное, «айтишное». Есть задачи по тематике инфобеза — усиление контроля над учетными записями и сервисными аккаунтами. Непрерывно работаем над улучшением процессов, это касается и бизнеса (оптимизация подхода к уведомлениям о кадровых событиях) и ИТ (консолидация управления системами и уход от скриптов).
Недавно мы завершили работу по интеграции с информационной системой из скоупа PCI DSS. Это отдельный проект, который потребовал особого организационного и технологического подхода; при этом вся работа заняла всего полтора месяца.
Еще в планах — проект интеграции с системой обучения. Базовая функциональность будет выглядеть следующим образом: One Identity Manager будет получать сведения о новом работнике из кадрового источника и отслеживать прохождение этим сотрудником базового набора курсов по IT-безопасности в системе дистанционного обучения. Как только он пройдет обучение, ему выдадутся доступы по минимальному набору прав и разблокируется портал IdM. То есть, рабочих систем у него не будет до прохождения вводного обучения. Рассчитываем, что это значительно повысит уровень осведомленности работников Банка о требованиях ИБ и понимании современных угроз.
— Можете ли выделить наиболее важные элементы системы, которые действительно помогают в вашей работе?
— One Identity Manager как платформа хороша сама по себе. Это такой набор инструментов, который позволяет решить задачу или получить нужную информацию на порядок быстрее, чем раньше.
Административная консоль — это отличный механизм, который позволяет видеть и понимать картину целиком: объекты, процессы, взаимосвязи. Для контроля нужных параметров всегда можно вывести дашборд, сформировать отчет или настроить соответствующую реакцию. Менеджер очередей показывает состояние задач, статус их выполнения и возможные проблемы.
Ролевая модель очень гибкая. Мы настроили для критичных систем роли и соответствующую видимость элементов на портале, чтобы сотрудники не получали неположенные доступы и не могли их даже запросить. Это значительно упрощает нам работу и сокращает количество неверных запросов.
— Что оказалось наиболее сложным в проекте внедрения One Identity Manager?
— Трудно вспомнить что-то действительно сложное, учитывая наш предыдущий опыт и помощь со стороны команды внедрения. Учитывая масштабы, все прошло достаточно гладко. Безусловно, на этапе запуска и стабилизации системы были какие-то сбои, но это рабочий процесс, все были к этому готовы.
У нас получилось построить проект таким образом, что мы смогли двигаться по шагам: запускали в эксплуатацию приоритетные задачи, фиксировали достигнутые результаты. Возможно, благодаря этому у некоторых системных администраторов (которые изначально были настроены скептически) восприятие и отношение изменились. И достаточно скоро к нам начали обращаться с просьбой автоматизировать тот или иной процесс, помочь с отчетами. С помощью инструментария Identity Manager многие вещи можно делать быстрее и качественнее, чем, например, писать скрипт на PowerShell.
— Хотел спросить про вашу команду, которая работает над проектом и администрированием IdM-системы.
— У нас этот проект начинался с трех человек: я как руководитель проекта, плюс проектный менеджер и технический специалист. Когда мы вплотную подошли к этапу настройки One Identity Manager, мы взяли себе еще одного сотрудника именно для этого. После выхода системы в опытную эксплуатацию и проработки дорожной карты стало понятно, что нам нужен еще один технический специалист, чтобы качественно выполнить согласованный руководством план. Таким образом, настройкой, поддержкой и администрированием будут заниматься трое. На IdM возлагаются серьезные задачи, такой штат вполне оправдан.
— Какие ключевые моменты, важные на старте проекта, можете выделить? Что нельзя упустить, планируя проект?
— Во-первых, нужно заручиться поддержкой руководства. Внедрение IdM-системы — это комплексный проект, в котором так или иначе будут задействованы практически все подразделения банка. Без понимания менеджментом ценности системы, без их готовности помогать вам в организации процессов будет сложно и на этапе обоснования, и в процессе внедрения.
Во-вторых, вам нужны технические специалисты. В любом случае будут люди, которым в этой системе предстоит работать. И чем раньше они появятся в вашей команде и возьмут на себя эту роль, тем лучше. Потому что лучше учиться в процессе внедрения, чем прийти уже на готовую систему и пробовать разбираться в ней.
— Внедрение IdM-системы требует совместной работы и взаимодействия многих департаментов. Почему необходимо доносить важность и ценность проекта внутри организации?
— Я помню, как это было еще в первом проекте внедрения IdM в нашей организации. Приходилось всем рассказывать почему, для чего, что это улучшит, что это даст банку. Все это было достаточно сложно, но эта работа однозначно нужна и важна. Без этого ничего не получится. И обязательно подружитесь с кадрами и IT-специалистами!
У некоторых наших коллег до сих пор существует мнение, что эта система только для удобства пользователей. Нельзя не согласиться: автоматизация и возможности портала заметно повышают эффективность работы многих сотрудников — от рядовых пользователей до администраторов и владельцев бизнес-систем. Но при этом в процессе реализации нашей дорожной карты мы делаем упор на security и compliance. Это ключевое направление развития — снижение рисков ИБ, выполнение требований регуляторов и наших внутренних регламентов — то, что помогает обеспечить безопасное и прогнозируемое развитие любого современного банка.