Заказчики: Мосводоканал АО Москва; ЖКХ, сервисные и бытовые услуги Подрядчики: Avanpost (Аванпост) Продукт: Avanpost IDM Access SystemВторой продукт: Avanpost WebSSO Дата проекта: 2015/04 — 2020/12
|
Технология: ИБ - Аутентификация
|
Содержание |
2020: Перевод системы управления и контроля доступа на Avanpost IDM 6
Компания "Аванпост" – российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) – 19 января 2021 года объявила о проведенной миграции системы управления и контроля доступа «Мосводоканала» на платформу Avanpost IDM 6. В ходе модернизации системы были реализованы новые процессы управления доступом к единой системе электронного документооборота заказчика. На 19 января под управлением Avanpost IDM находится более 5 000 учетных записей пользователей.
Масштабное обновление IDM-платформы позволило предприятию задействовать все новейшие на момент реализации проекта функциональные возможности решений "Аванпост", реализовать сложные модели и сценарии управления доступом к множеству внутренних ИС и повысить стабильность и эффективность работы корпоративной информационной системы в целом. По отзыву заказчика, переход на Avanpost IDM 6 помог добиться оптимизации целого ряда бизнес-процессов, включая создание новых средств дополнительной обработки особых случаев и ошибок, повышение прозрачности бизнес-процессов и стабильности их исполнения.
В ходе проекта специалисты "Аванпост" выполнили перенос всех процессов управления доступом, ролевой матрицы, а также процессов согласования заявок на предоставление и изменение доступа. При этом было соблюдено одно из ключевых требований заказчика – сохранение всех исторических данных и основных настроек системы с гарантией непрерывности всех текущих бизнес-процессов в ходе проведения работ по модернизации. Подчеркнем, что, как и во всех других своих проектах, "Аванпост" уделил особое внимание удобству и эффективности работы с системой, и, что не менее важно, – упрощению процедур контроля со стороны уполномоченных подразделений (в первую очередь – Отдела технической защиты информации).
Важной частью проекта стала реализация совершенно новых механизмов управления доступом к электронному документообороту (СЭД) «Мосводоканала» – обязательной для использования всеми сотрудниками предприятия сложной (содержит более пяти различных измерений модели безопасности, касающихся как ролевого профиля, так и непосредственно доступа к объектам) и многогранной системы с особым порядком предоставления доступа. Так, регламент управления доступом к данной системе предусматривает обеспечение сразу нескольких крупных процессов: первичного подключения к СЭД, особым условием которого является внесение пользователя в службы каталогов MS Active Directory с дополнительным согласованием; изменения полномочий доступа при кадровых перемещениях (также с дополнительным согласованием); автоматизированного прекращения доступа при увольнении; управления процессами делегирования доступа при уходе в отпуск/на больничный и т.д.
Обновленный механизм первичного подключения к СЭД реализован в виде двух блоков электронных заявок в модуле Avanpost Workflow 6. Первый из них – автоматическое подключение через электронную заявку, когда человек принят на работу и ему уже предоставлен доступ к Microsoft Active Directory. Второй блок – ручное подключение – может быть использован в случае подключения ранее не зарегистрированных в AD сотрудников; он применяется в качестве запасного варианта. При этом в каждом из этих случаев электронная заявка в обязательном порядке проходит дополнительные этапы согласования и исполнения.
Для надежного учета и отображения кадровых изменений во всех ИС в ходе проекта был внедрен ряд подсистем и процессов. Так, процесс изменения полномочий при кадровом перемещении теперь ведет к обязательной проверке необходимых условий и автоматическому созданию электронной заявки на пересмотр полномочий доступа к СЭД. Тем не менее, изменить полномочия (например, запросить дополнительные) можно и путем создания электронной заявки самостоятельно. Далее система обеспечивает полностью автоматическое отключение доступа при увольнении, что позволяет беспрекословно следовать требованиям информационной безопасности и контролировать так называемые «мертвые души» и делает возможным непосредственный инструментальный аудит статуса уволенных сотрудников. Наконец, были внедрены заложенные в Avanpost Workflow 6 гибкие инструменты настройки бизнес-процессов делегирования полномочий доступа. «Группа Астра» в свободном доступе опубликовала курс по российской службе каталога ALD Pro для обучения администраторов
Как подчеркнули в "Аванпост", в отличие от других систем, для СЭД делегирование полномочий не является стандартной процедурой и в обязательном порядке должно сопровождаться дополнительными процессами внутри самой СЭД. Возможности же «дизайнера бизнес-процессов» Avanpost Workflow позволили полностью реализовать эту процедуру согласно требованиям заказчика.
Для обеспечения непрерывной работы «Мосводоканала» во время реализации всего проекта специалистами "Аванпост" была применена специальная методика внедрения, которая включала в себя своевременное информирование работников о предстоящих переменах, подготовку полных и кратких (по основным функциям) инструкций по использованию обновленной системы, заблаговременное предоставление всем желающим демонстрационного доступа к тестовому контуру, где каждый сотрудник заказчика мог самостоятельно попробовать совершить конкретную операцию, например, подать заявку или распечатать отчет.
«АО "Мосводоканал" – один из наших давних и наиболее требовательных заказчиков, – отметил Андрей Конусов, генеральный директор компании «Аванпост». – Проводя модернизацию IDM-системы этого крупного, социально значимого предприятия, нам необходимо было учесть все особенности работы всех групп пользователей, применив при этом опыт, накопленный за годы использования в этой организации предыдущих версий - Avanpost IDM 5 и 4. Особо отмечу слаженную работу при проектировании, разработке и отладке интеграционного решения с представителями АО «Мосводоканал» и поставщика СЭД – без их активного участия работа попросту не была бы настолько эффективной». |
2018: Завершение внедрения систем IDM и SSO
11 сентября 2018 года компания «Аванпост» объявила о завершении внедрения систем Avanpost IDM и Avanpost SSO в АО «Мосводоканал».
На основе указанных программных продуктов в «Мосводоканале» была поэтапно создана и введена в эксплуатацию комплексная ИБ-система, обеспечившая автоматизацию процессов управления доступом к информационным ресурсам предприятия. Отдел технической защиты информации АО «Мосводоканал» получил единый инструмент централизованного управления правами доступа, охватывающий всех пользователей информационной системы предприятия и большинство её элементов и подсистем.
Использование созданного ИБ-решения позволило заказчику сократить длительность предоставления доступа к нужным информационным ресурсам, а также свести к минимуму риски, связанные с наличием у сотрудников избыточных прав доступа и накоплением в информационных системах активных учетных записей лиц, которые уже не работают на предприятии. А каждая такая ошибка – это уязвимость в системе ИБ.
Данный проект позволил «Мосводоканалу» полностью решить эту проблему и предотвратить возможность ее появления в дальнейшем. Внедрение Avanpost IDM было выполнено методически корректно: были разработаны эффективные ролевые модели, процессы и регламенты согласования доступа. В частности, это позволило в рамках проекта провести унификацию пользователей и прав доступа, а также привести к единому «шаблону» процессы предоставления доступа к информационным системам. С помощью стандартных модулей сопряжения (коннекторов) к IDM-системе было подключено различное инфраструктурное и прикладное ПО, что позволило полностью автоматизировать и ускорить согласованную перенастройку прав доступа при каждом кадровом событии (приеме на работу, изменении должности, увольнении, отпуске, болезни, включении в состав временных рабочих групп и мн.др.), а также проводить аудиты прав доступа. Всё это позволило сократить и оптимизировать трудозатраты ИТ- и ИБ-специалистов.
В число ИТ-решений, интегрированных с IDM в рамках данного проекта, вошли наиболее критичные системообразующие элементы ИС заказчика: доменная структура на базе MS Active Directory, ERP-система на базе Oracle E-Business Suite (OEBS), ряд бизнес-систем на базе платформы 1С. При этом кадровой системой, создающей поток кадровых событий, является 1С ЗУП. Внедрение Avanpost SSO позволило для ключевых ИТ-систем заказчика (включая OEBS и 1C) реализовать средства однократной аутентификации пользователей.
В ИБ-решении, созданном для АО «Мосводоканал» были применены следующие разработки: поддержка SSO-аутентификации в браузерах Chrome и Firefox, совместное использование продуктов Avanpost IDM и SSO, взаимодействие которых даёт синергический эффект и позволяет реализовать в системе новые способы управления доступом. Наряду с применением готовых коннекторов, в проекте широко применялись и инструменты SDK, с помощью которых к IDM было подключено порядка 10 информационных систем, уникальных с точки зрения авторизации.
АО «Мосводоканал» активно работает в направлении повышения уровня информационной безопасности. Проект помог предприятию обеспечить контроль и прозрачность в вопросах управления доступом, что, в свою очередь, сократило число соответствующих инцидентов и повысило общий уровень ИБ.
2017: Обновление Avanpost IDM до версии 5.1
В 2017 году Avanpost IDM был обновлен до версии 5.1, что повысило эффективность и надежность системы, а также позволило заложить базу для внедрения подсистемы самообслуживания пользователей (которая затем была внедрена в 2018 году).
2016: Развитие IDM-решения и внедрение Avanpost SSO
В 2016 году функционал IDM-решения Avanpost был кардинально расширен: именно в этот период были разработаны ролевые модели, процессы и регламенты предоставления доступа сотрудников к информационным системам, т.е. завершилось методически корректное внедрение IDM. К IDM были подключены дополнительные целевые системы.
В 2016 году произошло и внедрение Avanpost SSO, и с того времени в ИС «Мосводоканал» действует однократная аутентификация пользователей в ключевых бизнес-системах, включая OEBS и 1C.