ОАО «ВымпелКом»
Централизованная система управления доступом к ИТ-ресурсам
Бурное развитие бизнеса предъявляет к компании целый ряд требований, в числе которых:
В результате анализа этих требований было принято решение о создании Централизованной системы управления доступом к ИТ- ресурсам.
Ядром Централизованной системы управления доступом является Подсистема управления учетными записями пользователей, созданная на основе IBM Tivoli Identity Manager. Данная подсистема позволяет управлять учетными записями пользователей и их атрибутами в различных приложениях. Кроме этого, она получает информацию о сотрудниках из кадровых систем, что дает уникальную возможность в течение нескольких секунд выяснить к каким информационным системам и с какими правами данный конкретный сотрудник имеет доступ. Данная подсистема обеспечивает выполнение следующих функций:
Помимо Подсистемы управления учетными записями, в рамках Централизованной системы управления доступом создан Единый справочник пользователей (ЕСП), представляющий собой интеграционную платформу для сбора, консолидации и нормализации информации о сотрудниках из различных кадровых систем.
Помимо управления доступом и обеспечения мероприятий аудита, Централизованная система управления доступом предоставляет ряд сервисов другим информационным системам заказчика.
В ходе внедрения Централизованная система управления доступом была интегрирована с ИС «Заявки на ИТ-услуги», так что теперь заявки на предоставление доступа в тех системах, которые входят в контур управления Централизованной системы управления доступом, исполняются автоматически. При этом добавление новых систем в контур управления позволяет автоматизировать исполнение заявок для них с минимальными затратами.
Еще несколько корпоративных систем заказчика используют Единый Справочник как источник актуальных данных о сотрудниках компании.
Централизованная система управления доступом была реализована на базе технологий компании IBM. Основу системы составляют следующие продукты:
В компании появилась возможность проводить автоматизированный аудит целевых систем на соответствие требованиям информационной безопасности в части доступа пользователей к критичным информационным системам.
Кроме того, теперь в автоматическом режиме проводятся корректирующие воздействия на целевые системы при обнаружении несоответствия требованиям информационной безопасности. Это дает возможность мгновенно частично или полностью блокировать доступ нарушителя к системе.
Также появилась возможность автоматического исполнения большинства заявок на предоставление доступа. Сегодня в полностью автоматическом режиме в день исполняется порядка 400 заявок, при этом среднее время исполнения заявки составляет 3 минуты.
Компания основана в сентябре 1992 г. В 1996 г. ОАО «ВымпелКом» стало первой российской компанией, выведшей свои акции на Нью-Йоркскую фондовую биржу (NYSE). Сегодня акции компании котируются на NYSE под символом VIP.
Предпосылки проекта
ОАО «ВымпелКом» имеет более 100 офисов по всей территории России, в которых работает более 14 000 человек. В эксплуатации в настоящее время находится порядка 1 500 серверов, на которых работает более 300 приложений. Все основные информационные сервисы централизованы и сопровождаются из центра. Предоставление доступа к ИТ-ресурсам также осуществляется централизованно.Бурное развитие бизнеса предъявляет к компании целый ряд требований, в числе которых:
- гибкость ИТ-инфраструктуры и возможность быстро адаптироваться для своевременной реализации бизнес-инициатив;
- обеспечение надлежащего уровня информационной безопасности;
- ограничение роста численности ИТ-персонала при непрерывном росте числа эксплуатируемых систем;
- снижение издержек на эксплуатацию и сопровождение без снижения качества предоставляемых сервисов.
В результате анализа этих требований было принято решение о создании Централизованной системы управления доступом к ИТ- ресурсам.
Задачи проекта
При создании Централизованной системы управления доступом были поставлены следующие основные задачи:- Создать универсальную корпоративную платформу для управления процессами предоставления и изменения доступа к ИТ-ресурсам.
- Автоматизировать такие рутинные операции, связанные с управлением доступом, как:
- корректировка доступов для приведения ИТ-инфраструктуры в соответствие требованиям корпоративных политик информационной безопасности и внешних регулирующих документов,
- исполнение заявок на изменение доступа.
- Автоматизировать проведение аудитов информационной безопасности.
- Снизить влияние человеческого фактора на процессы проведения аудитов и исполнения заявок.
- Обеспечить интеграцию с существующими информационными системами.
Описание решения
В результате реализации проекта была создана Централизованная система управления доступом к ИТ-ресурсам ОАО “ВымпелКом”. Ее основные компоненты представлены на рисунке ниже.
Ядром Централизованной системы управления доступом является Подсистема управления учетными записями пользователей, созданная на основе IBM Tivoli Identity Manager. Данная подсистема позволяет управлять учетными записями пользователей и их атрибутами в различных приложениях. Кроме этого, она получает информацию о сотрудниках из кадровых систем, что дает уникальную возможность в течение нескольких секунд выяснить к каким информационным системам и с какими правами данный конкретный сотрудник имеет доступ. Данная подсистема обеспечивает выполнение следующих функций:
- централизованное управление учетными записями пользователей во всех подключенных системах;
- консолидация информации о доступах сотрудника;
- выявление и блокирование нарушителей корпоративных политик безопасности;
- управление специальными (системными) учетными записями (которые отличаются от обычных тем, что используются для целей администрирования, а также для организации обмена информацией между системами и не могут быть соотнесены с конкретной персоной).
Помимо Подсистемы управления учетными записями, в рамках Централизованной системы управления доступом создан Единый справочник пользователей (ЕСП), представляющий собой интеграционную платформу для сбора, консолидации и нормализации информации о сотрудниках из различных кадровых систем.
Помимо управления доступом и обеспечения мероприятий аудита, Централизованная система управления доступом предоставляет ряд сервисов другим информационным системам заказчика.
Информационная Система «Заявки на ИТ-услуги».
В ОАО «ВымпелКом» доступ пользователям к ИТ-ресурсам предоставляется по заявкам. ИС "Заявки на ИТ-услуги" содержит каталог услуг, из которого любой пользователь может создавать заявки на предоставление доступа, а также механизм согласования заявок. Для каждой услуги определен владелец информации, который визирует заявку. Кроме того, визу обязательно ставит руководитель сотрудника, который намеревается получить доступ к услуге (это нужно, чтобы соблюсти принцип минимизации необходимых полномочий сотрудника). После этого заявка передается на исполнение.В ходе внедрения Централизованная система управления доступом была интегрирована с ИС «Заявки на ИТ-услуги», так что теперь заявки на предоставление доступа в тех системах, которые входят в контур управления Централизованной системы управления доступом, исполняются автоматически. При этом добавление новых систем в контур управления позволяет автоматизировать исполнение заявок для них с минимальными затратами.
Централизованная система аудита
использует данные из Централизованной системы управления доступом для выявления нарушителей политик информационной безопасности, а также для их блокирования.Служба технической поддержки
использует информацию о сотрудниках и их доступах в ходе назначения и разрешения инцидентов.Еще несколько корпоративных систем заказчика используют Единый Справочник как источник актуальных данных о сотрудниках компании.
Централизованная система управления доступом была реализована на базе технологий компании IBM. Основу системы составляют следующие продукты:
- IBM Tivoli Identity Manager используется как централизованный инструмент для управления учетными записями пользователей в различных инфраструктурных и бизнес-системах заказчика. Данный модуль является ядром Подсистемы управления учетными записями пользователей и позволяет централизованно выполнять все действия по управлению жизненным циклом учетной записи пользователя приложения (создание, удаление, блокировки, изменение атрибутов и принадлежности к группам, смена пароля).
- IBM Directory Integrator позволяет гибко объединять данные, расположенные в различных каталогах и базах данных. В данном проекте он использовался для обеспечения связи IBM Tivoli Identity Manager с системами собственной разработки заказчика, для которых в данном продукте нет собственных интерфейсов.
- IBM WebSphere используется в проекте как сервер приложений для различных компонентов Централизованной системы управления доступом. Помимо этого, при помощи IBM WebSphere обеспечивается унифицированный пользовательский интерфейс для доступа операторов и администраторов к системе.
Результаты
В результате реализации проекта в компании ОАО «ВымпелКом» была создана Централизованная система управления доступом, которая охватывает основные инфраструктурные и бизнес-системы, а также создан централизованный справочник с информацией об актуальных доступах сотрудников заказчика к информационным системам.В компании появилась возможность проводить автоматизированный аудит целевых систем на соответствие требованиям информационной безопасности в части доступа пользователей к критичным информационным системам.
Кроме того, теперь в автоматическом режиме проводятся корректирующие воздействия на целевые системы при обнаружении несоответствия требованиям информационной безопасности. Это дает возможность мгновенно частично или полностью блокировать доступ нарушителя к системе.
Также появилась возможность автоматического исполнения большинства заявок на предоставление доступа. Сегодня в полностью автоматическом режиме в день исполняется порядка 400 заявок, при этом среднее время исполнения заявки составляет 3 минуты.
О компании ОАО «Вымпелком»
ОАО «ВымпелКом» является одной из крупнейших телекоммуникационных компаний, предоставляющей услуги голосовой связи и передачи данных на основе широкого спектра технологий беспроводной и фиксированной связи, а также широкополосного доступа в Интернет. Компания входит в тройку ведущих российских провайдеров мобильной телефонной связи. Торговая марка «Билайн» объединяющая услуги компании, является одним из наиболее известных брендов в России.Компания основана в сентябре 1992 г. В 1996 г. ОАО «ВымпелКом» стало первой российской компанией, выведшей свои акции на Нью-Йоркскую фондовую биржу (NYSE). Сегодня акции компании котируются на NYSE под символом VIP.