Оптимизировали управление правами доступа 1500 сотрудников с помощью IDM

Предпосылки внедрения системы класса IDM

Заказчик столкнулся с необходимостью организовать эффективное управление правами пользователей в информационных системах предприятия, оптимизировать связанные с ручными управлением издержки.

Кроме этого, необходимо было получить инструмент для контроля над доступами, актуализировать базу данных сотрудников, привести в соответствие положение в оргструктуре с должностью и набором прав в системах и приложениях.

Основными причинами инициировать проект внедрения явились:

• большое количество кадровых процессов
• долгая выдача доступов и их блокировка
• отсутствие актуальной ролевой модели
• частые изменения в подразделениях
• нет контроля над выданными доступами, отчетности.

Выбор решения

Для выполнения задач заказчика было проведено предварительное обследование, по результатам которого был предложен поэтапный план внедрения решения класса IDM (Identity Management) с учетом требований заказчика.

Разработанный компанией IT-Lite продукт «IDM.Управление учетными данными» на базе «1С:Предприятие» реализует следующий функционал:

1. интегрируется с имеющимися у заказчика информационными системами и приложениями: 1С, Active Directory, MS Exchange, и др.
2. в реальном времени получает данные по сотрудникам из кадрового источника.
3. автоматически изменяет настройки учетных записей и прав доступа в целевых системах на основании кадровых событий и ролевой модели предприятия.
4. выявляет любые несоответствия в правах, предотвращает и расследует инциденты информационной безопасности.

Выполненные работы в ходе проекта внедрения

В ходе проекта выполнили следующие работы:

• анализ существующих целевых систем заказчика, с которыми будет взаимодействовать IDM, анализ источников данных (кадровая система);
• создание учетных записей пользователей в приложениях, под которыми будет работать IDM: работа с учетными записями, изменение прав и т.д.;
• загрузка, анализ и нормализация НСИ в кадровых и целевых системах; сопоставление учетных записей сотрудников;
• настройка реакций на кадровые события, правил предоставления прав;
• сопоставление оргструктуры, подразделений и создание бизнес-ролей;
• настройка правил согласований, оповещений, логирования;
• тестирование системы, кадровых процессов и внедренного функционала.

Дополнительно реализован регулярный аудит текущих прав во всех целевых системах заказчика в автоматическом режиме, что позволило контролировать доступ к информации и приложениям, избежать ошибочно выданных и излишних прав у сотрудников, оперативно выдавать и блокировать доступы в зависимости от бизнес-роли и должности сотрудника.

Достигнутые результаты

По результатам проекта для заказчика было реализовано управление из единой системы учетными записями и правами 1500 пользователей предприятия:

• Сократили время предоставления доступа до 5 минут.
• Автоматизировали процессы движения сотрудника по жизненному циклу (прием на работу, смена должности или подразделения, отпуск/декрет, смена ФИО, запрос прав, увольнение).
• Предоставили инструмент контроля, учета и анализа прав; предотвращения и расследования инцидентов ИБ.
• Снизили риски кражи, утечки, потери данных, нарушения работы информационных систем.
• Сократили нагрузку на ИТ-администраторов.

Таким образом, были достигнуты изначальные задачи, внедренная система готова к дальнейшему масштабированию и развитию. Открытый исходный код продукта позволил при необходимости адаптировать функционал самостоятельно, а сопровождение разработчика — получать регулярные обновления и оперативную техническую поддержку.