ПРОЕКТЫ

МТС повысила безопасность своих информационных систем с помощью Sun Java System Identity Manager

Большинство современных динамично развивающихся компаний сталкиваются с необходимостью обеспечения постоянного и надежного доступа своих сотрудников к внутренним информационным ресурсам, содержащимся в корпоративных прикладных системах. Расширение числа пользователей внутренних информационных систем сопровождается усложнением процессов управления идентификацией сотрудников и разграничения предоставляемых им прав доступа, что, в свою очередь, приводит к снижению безопасности и увеличению эксплуатационных расходов.

В настоящей статье речь пойдет о том, как компания "Мобильные ТелеСистемы" (МТС, www.mts.ru) осуществила внедрение программного комплекса Sun Java System Identity Manager, что позволило ей создать прозрачную среду для управления учетными данными пользователей, проверкой подлинности и правами доступа во всех подразделениях и региональных офисах. Примечательно, что это стало первым внедрением данного продукта в России.

Информационные системы компании

В МТС функционирует в сумме более 100 информационных систем, которые обслуживают пользователей как в РФ, так и в других странах СНГ. Среди них есть системы разного уровня централизации - от размещенных в Москве и обслуживающих всю компанию до локальных на уровне конкретного региона. Помимо этого имеется значительное количество небольших систем, решающих те или иные специальные задачи для небольшого круга пользователей.

Общее количество пользователей корпоративной информационной сети МТС сегодня составляет около двадцати тысяч - и это только в России. К ним надо добавить еще около пяти тысяч человек в зарубежных дочерних компаниях. Эти цифры, по мнению директора департамента технологической архитектуры Михаила Миньковского, позволяют считать данную сеть одной из крупнейших в нашей стране и вполне заметной по мировым масштабам.

Среди используемых в МТС решений следует особо отметить централизованную ERP-систему Oracle E-Business Suite. Она установлена в Москве и в настоящее время находится в стадии тиражирования в региональных подразделениях, часть из которых уже работает с нею.

Проблемы, требующие решения

В среднем каждый корпоративный пользователь имеет доступ к пяти - десяти различным информационным системам, в каждой из которых для него создается отдельная учетная запись. В связи с этим пользователям приходилось запоминать до десятка разных логинов и паролей. Более того, из-за усиления мер безопасности пароли требовалось не только формировать определенным образом, но и периодически менять. В итоге на решение этих задач тратилось много времени, причем пользователи иногда теряли доступ к системам, а его восстановление также представляло собой длительный процесс.

Михаил Миньковский: “Наша

 главная цель - дальнейшее

 снижение расходов, уменьшение

 уровня рисков и повышение

 удобства для пользователей

 и продуктивности их работы”

Управление доступом сотрудников, что включает в себя предоставление доступа к необходимым ресурсам, его изменение в связи с переходом человека в другое подразделение или на другую должность, контроль за правильностью уровня доступа и блокирование доступа в случае увольнения сотрудника, выполнялось вручную во всех системах. Эти процессы требовали значительных затрат времени и сил, а результат с точки зрения требований бизнеса был не всегда удовлетворителен. Например, возникали ошибки и большие временные задержки при предоставлении требуемых уровней доступа новым сотрудникам и, что еще важнее с точки зрения требований ИТ-безопасности, при блокировании доступа в случае увольнения.

Процедура предоставления или аннулирования прав доступа выглядела следующим образом. Кто-либо из менеджеров инициировал служебную записку, которая дальше проходила сложный путь согласования. Внесением же данных непосредственно в различные ИС занималось большое количество администраторов, что неизбежно приводило к ошибкам и задержкам. В МТС регулярно проходят различные аудиторские проверки, в том числе и финансовые, и они неоднократно выявляли существование учетных записей, по которым невозможно было отчитаться - нельзя было не только выяснить, какой статус имеет сотрудник, соответствующий этой учетной записи, но и вообще кому она принадлежит. Как показали результаты одной из аудиторских проверок, в системе бизнес-анализа, например, имелось немало "мертвых душ". Это не позволяло аудиторам подтвердить отсутствие рисков несанкционированной модификации информации, используемой в процессе составления финансовой отчетности.

Управление доступом сотрудников выполнялось вручную во всех системах.

Проблема усугублялась тем, что МТС - компания территориально распределенная, с большим количеством сотрудников. Поэтому без специальной ИС довольно сложно проследить за наймом и увольнением персонала, а также за его перемещением внутри компании. По словам Михаила Миньковского, к середине 2005 г. в МТС на уровне макрорегионов и регионов имелись десятки инсталляций различных кадровых систем, никак друг с другом не связанных. Следствием этого являлось отсутствие в компании достоверной первичной информации. Более того, часть ресурсов МТС физически консолидирована на уровне корпоративного центра или макрорегионов, и поэтому существовала проблема предоставления доступа к этим ресурсам персоналу из регионов.

Михаил Миньковский также отметил, что существовавшая ранее ИТ-инфраструктура компании (включая процессы управления ИТ) по своей сути не соответствовала ее организационной структуре. Исторически МТС развивалась как децентрализованная в плане ИТ-систем компания, в том числе за счет многочисленных покупок региональных фирм. Каждый регион имел свою ИТ-систему. Однако по мере укрупнения, выстраивания вертикали управления и реорганизации все больше бизнес-процессов становилось централизованными, охватывающими несколько регионов. В то же время ИТ-системы оставались региональными и управление ими было сосредоточено на местах. При этом уровень горизонтальных коммуникаций между региональными службами управления был всегда низким, и его нецелесообразно было увеличивать. Данная проблема встала особенно остро, когда в корпоративном центре компании появились централизованные системы. С ними работают пользователи из всех регионов России, где присутствует МТС, а управляются они администраторами, находящимися в Москве. Такие системы крайне критичны в плане конфиденциальности данных, поэтому задача обеспечения правильного уровня доступа для них является особенно важной.

Специалисты компании постоянно прилагали усилия для снижения остроты перечисленных проблем, внедряя средства автоматизации обменом данных между различными кадровыми системами (источниками данных) и базами данных учетных записей пользователей в прикладных системах. Для этого создавались дополнительные интерфейсы, использовались внешние пользовательские каталоги и т. д. Такие работы велись в различных подразделениях и регионах без общего плана и координации усилий. В результате сформировалась сложная в управлении и плохо документированная конструкция. В ней не было необходимого для управления доступом единого пользовательского интерфейса для администраторов, а имелся лишь набор отдельных программ (скриптов), которые позволяли в автоматическом или полуавтоматическом режиме синхронизировать информацию между различными ИС. Наконец, пользоваться ею становилось со временем все сложнее и сложнее. Многие из разработчиков системы со временем уволились, и поэтому попытки оптимизировать ее приводили лишь к тому, что она начинала блокировать все дальнейшие действия.

Преодоление вышеприведенных проблем потребовало от МТС поиска более эффективных решений.

Выбор решения

При реализации крупных проектов, критически важных для бизнеса и требующих больших инвестиций, для выбора технологического решения МТС часто привлекает внешнюю консалтинговую компанию, которая проводит сравнение продуктов, подходов и технологий, имеющихся на рынке и отвечающих поставленным задачам и специфике компании. На основании этого исследования составляется список рекомендуемого ПО и стратегия его внедрения. После этого в случае необходимости ИТ-специалисты МТС проводят тестирование выбранных технологий и выполняют небольшие пилотные проекты. А уже затем принимается решение о внедрении того или иного продукта.

В рамках данного проекта МТС привлекла международное консалтинговое агентство Logan Orviss (www.logan-orviss. com), оказывающее консультационные услуги в основном в области ИТ и телекоммуникаций. Агентство провело подробное исследование, в ходе которого были изучены пять решений, в том числе от IBM, Microsoft и Oracle.

"Нам изначально была предложена методика, позволяющая формализовать оценку продуктов, - пояснил начальник отдела ИТ-безопасности МТС Сергей Прадедов. - И мы ее утвердили после необходимой доработки". Согласно этой методике представители агентства Logan Orviss общались непосредственно с производителями, собирая и оценивая данные о продуктах по нескольким направлениям (функциональность, уровень зрелости, масштабируемость, наличие успешных проектов, локализация для России, наличие или доступность в России проектного персонала и готовых для оказания услуг по технической поддержке организаций и т. д.). Для ряда продуктов были созданы натурные стенды, на которых проводились тестовые испытания. По результатам данной работы наивысшую оценку в категории продуктов для управления идентификацией (identity management) получил программный комплекс Sun Java System Identity Manager.

Сергей Прадедов: “Внедрение

 Identity Manager в МТС стало

 одним из наиболее заметных

 проектов такого рода благодаря

 количеству поддерживаемых

 системами учетных

записей пользователей”

Помимо высокой функциональности и лидирующего положения на рынке одним из важных факторов, повлиявших на итоговые оценки, по словам Михаила Миньковского, стало то, что решение Sun Microsystems наилучшим образом соответствует инфраструктуре компании МТС, в которой уже много лет широко используются оборудование, технологии и ПО Sun.

Еще одним важным плюсом продукта явилось использование в Sun Java System Identity Manager технологии безагентных адаптеров и виртуальных пользователей. Безагентные адаптеры, используя протоколы дистанционного управления для подключения к управляемым ресурсам, предоставляют единый коммуникационный уровень для сервисов администрирования и синхронизации. А функция виртуального управления идентификацией обеспечивает обработку идентификационной информации в месте ее хранения, что устраняет необходимость создания нового репозитория с данными пользователя или дублирования (синхронизации) хранящейся в исходных каталогах информации подразделений. Применение этих технологий позволяет свести к минимуму вмешательство в существующую ИТ-инфраструктуру компании.

Результаты проведенного сравнительного анализа убедили ИТ-специалистов МТС в целесообразности построения системы управления доступом на базе продукта Sun Microsystems.

Внедрение решения

Надо отметить, что, придавая большое значение успешности проекта в МТС, компания Sun Microsystems самостоятельно оказывала услуги по внедрению. В работе над проектом также принимал участие и партнер Sun - системный интегратор "ТехноСерв А/С" (www.technoserv.ru).

Один из внешних факторов, который определял в том числе и сроки реализации проекта, - это внедрение модуля HR комплекса интегрированных бизнес-приложений Oracle Е-Business Suite. Изначально было решено, что данные модуля HR будут являться первичными для системы на базе Identity Manager. Синхронизацию Identity Manager с HR-модулем, по мнению Сергея Прадедова, можно рассматривать как отдельный проект в рамках проекта развертывания ERP-системы. "Мы просто шли следом за внедрением HR", - сказал он. "Тем самым наше решение ориентировалось сразу на будущую централизованную архитектуру информационных систем, а не на ту, которая существовала на тот момент", - добавил Михаил Миньковский.

Вообще все трудности реализации проекта можно разделить на две категории: организационные и технические. Организационные проблемы сводились к унификации бизнес-процессов, поскольку практически для каждой ИТ-системы существовал свой, значительно отличающийся от других технологический процесс (workflow). Поэтому необходимо было определить все цепочки бизнес-процессов и распределить ответственность - например, установить, кто отвечает за инициацию заявок и их согласование, кто вводит данные и пр.

Более того, практически на финише первой фазы проекта в МТС кардинальным образом изменилась организационная структура: появились новые функциональные подразделения, сотрудники перешли из одних отделов в другие и т. д. Эта реорганизация не только поставила перед компанией ряд серьезных задач, но и явилась отличным тестом возможностей новой системы и процессов управления учетными данными пользователей. Во-первых, нужно было быстро отобразить изменения во всех информационных системах, содержащих учетные записи, а также в справочниках сотрудников, для чего, в частности, и нужен Identity Manager. С точки зрения производительности это явилось существенной нагрузкой на систему управления доступом, но, по словам специалистов МТС, она справилась с нею без проблем. А затраты труда администраторов на массовое изменение учетных записей оказались гораздо меньше, чем были бы в случае, если бы реорганизацию пришлось выполнять по старинке.

К середине 2005 г. в МТС имелись десятки разнородных кадровых систем, распределенных по макрорегионам и никак друг с другом не связанных. Следствием этого являлось отсутствие в компании достоверной первичной информации.

Во-вторых, потребовалось заново согласовать все бизнес-процессы управления доступом в части цепочек принятия решений (из-за изменения организационной структуры и перераспределения ответственности структура принятия решений сильно изменилась). И здесь МТС воспользовалась случаем для повышения эффективности управления учетными данными: были разработаны процедуры, минимизирующие workflow и создающие для различных категорий пользователей так называемую матрицу доступа, в соответствии с которой сотрудники автоматически получают доступ к необходимым для их работы системам. Так, почти для всех категорий сотрудников при поступлении на работу практически сразу должен быть предоставлен доступ к электронной почте и ряду других стандартных ресурсов, а работники подразделений финансового блока, например, должны немедленно получить определенный уровень доступа к ERP-системе. Результирующая матрица довольно сложна, и поэтому важной задачей является поддержание ее в актуальном состоянии. Поскольку структура матрицы доступа должна всегда соответствовать текущей организационной структуре, были идентифицированы подразделения, которые взяли на себя ответственность за непрерывное отслеживание и внесение всех изменений в матрицу.

Что же касается технических сложностей при реализации проекта, то они в основном касались конечных систем, различные версии которых не всегда поддерживали все заявленные в документации функции. Существовала также проблема интеграции Identity Manager с Lotus Notes в части синхронизации пароля. Но со всеми этими задачами удалось успешно справиться либо путем частичного обновления ПО, либо с помощью временных или постоянных обходных решений проблем несовместимости, нестандартных настроек, ограниченной функциональности и т. д.

Результаты внедрения

Компания МТС приступила к реализации проекта по внедрению Identity Manager в декабре 2005 г., и уже в сентябре 2006-го был завершен первый этап, который предполагал развертывание решения в макрорегионе "Москва" - самом крупном региональном подразделении компании. Это позволило решить назревшие проблемы и получить ощутимые результаты.

В первую очередь существенно сократились затраты времени на управление доступом, т. е. на его предоставление, изменение или блокирование. Если раньше такая процедура могла занимать несколько недель, то сейчас она сократилась до нескольких минут. Причем, как отметил Михаил Миньковский, подобное сокращение стало возможным не столько за счет уменьшения объема ручной работы администратора (он действительно сократился, но его доля в общих временных затратах незначительна), сколько благодаря унификации и автоматизации бизнес-процессов, что позволило ускорить организационные взаимодействия. И сегодня, например, при поступлении нового сотрудника в компанию доступ ко всем системам, которые включены в матрицу доступа для его должности, у него появляется одновременно с компьютером на рабочем месте.

Помимо этого после внедрения Identity Manager пользователи получили одинаковое системное имя и одинаковый пароль для всех подключенных к нему систем. Более того, у них появилась возможность изменять свой пароль либо непосредственно на рабочем месте (новый пароль затем автоматически синхронизируется в других системах), либо через сервисы в Identity Manager.

Новая система управления доступом на базе Identity Manager помогла также ускорить составление отчетов для аудиторов. Так, в прошлом подобная задача требовала напряженной работы двух специалистов в течение примерно пяти рабочих дней, поскольку собрать информацию по разнородным системам об учетных записях пользователей, сопоставить эти записи с реальными людьми, определить в штате их текущий статус - процедура довольно сложная. Причем, несмотря на большой объем трудозатрат, достоверность полученных в результате этой длительной и сложной работы отчетов оставляла желать лучшего. Сегодня же для этого одному специалисту нужно не более часа, а данные отчетов гарантированно актуальны. Кроме того, по словам Сергея Прадедова, в связи с тем, что МТС активно готовится к аттестации на соответствие требованиям известного американского закона Сарбейнса - Оксли (SOX), практически весь последний год компания находится в состоянии непрерывного аудита и существенная честь ресурсов постоянно отвлечена на подготовку данных. Поскольку сам продукт Identity Manager отвечает требованиям SOX, его внедрение помогает быстрее пройти аудит и получить соответствующее заключение. Эта задача принципиально важна для компании, поскольку американские депозитарные расписки (ADR) МТС размещены на нью-йоркской

фондовой бирже (NYSE).

Решение Sun Microsystems отвечает инфраструктуре компании МТС, в которой уже несколько лет используются оборудование, технологии и ПО Sun, а ряд специалистов прошли соответствующую подготовку в данной области.

Еще одним ощутимым результатом внедрения Identity Manager стала возможность формирования автоматически поддерживаемого в актуальном состоянии консолидированного справочника пользователей. Ранее в каждом макрорегионе и в некоторых регионах поддерживались собственные справочники, построенные на базе различных технологий и с низким уровнем актуальности данных.

Один из важнейших результатов проекта - повышение уровня безопасности и снижение риска несанкционированного доступа к конфиденциальным данным и операциям с ними. В первую очередь здесь сыграло роль радикальное сокращение временного промежутка между изменением статуса пользователя в компании и соответствующим изменением прав доступа. Кроме того, в результате автоматизации процессов управления учетными данными значительно сократился круг лиц, которые имеют полномочия на выдачу/изменение/удаление таких прав, и повысился уровень регистрации всех действий такого рода. Существующая в МТС система оповещения теперь позволяет быстро и с высокой вероятностью выявить факт нарушения сотрудниками, имеющими право на изменение учетных данных пользователей, установленных процедур и принять соответствующие организационные меры, что дает возможность минимизировать риск несанкционированного доступа к информационным ресурсам компании.

Что же касается экономического эффекта от внедрения решения, то он выражается не только в прямой экономии за счет сокращения трудозатрат и непродуктивных потерь рабочего времени персонала (хотя она, безусловно, присутствует), но и в существенном снижении рисков потерь от несанкционированных действий. И хотя оба компонента могут быть выражены количественным образом, для достоверной оценки экономии, как считает Михаил Миньковский, следует в течение по крайней мере нескольких месяцев после завершения внедрения накапливать и обобщать статистику по инцидентам с учетом стоимости вызванных ими последствий для компании (и такая информация уже собирается).

Региональный этап

В настоящее время идет реализация второго, заключительного этапа проекта, в рамках которого осуществляется подключение всех сотрудников региональных подразделений МТС к системе управления доступом на базе решения Identity Manager. Предполагается, что он будет завершен в I квартале 2007 г. Базовая программа тиражирования системы должна быть выполнена к концу января, плюс к этому необходимо некоторое время на ее тестирование, опытно-промышленное использование и сдачу в эксплуатацию.

По словам Сергея Прадедова, масштаб работ в рамках данного этапа не очень велик, но он имеет свои особенности. Внедрение Identity Manager требует изменения архитектуры информационных систем, что связано с упомянутым выше отказом от использования региональных справочников различного формата. "Реализуя проект, мы хотели одновременно инициировать унификацию региональных инфраструктур с точки зрения справочников пользователей и перевести компанию на единый справочник, автоматически поддерживаемый в актуальном состоянии", - подчеркнул г-н Прадедов.

Для выполнения этой задачи с помощью Identity Manager МТС необходимо было четко определить источники данных и направление их синхронизации. Ранее большинство региональных подразделений имело локальные справочники (некоторые не имели вообще никаких), а в Москве с большой задержкой формировался единый справочник с помощью репликации данных из всех регионов. Рассматривались два подхода для построения "нового" единого справочника после внедрения Identity Manager во всей компании: либо взять региональные справочники, считая, что они более актуальны, и свести их воедино, создав в Москве так называемый метакаталог, или метасправочник; либо, наоборот, сразу сформировать единый справочник в Москве, а в регионах поддерживать локальные реплики по соответствующим подмножествам пользователей или обеспечивать необходимый уровень доступа к централизованному ресурсу.

Реализация проекта позволила существенно сократить затраты времени на управление доступом, т. е. на его предоставление, изменение или блокирование. Если раньше такая процедура могла занимать несколько недель, то сейчас она сократилась до нескольких минут.

В МТС решили выбрать второй подход исходя из того, что единственным источником данных является централизованная ERP-система (ее модуль HR), которая по мере тиражирования замещает собой региональные кадровые системы. Поскольку по завершении тиражирования возникнет единая точка хранения и управления первичными данными о сотрудниках, логично использовать эту гарантированно достоверную первичную информацию для ведения единого централизованного справочника. Благодаря реализации такого подхода все региональные справочники всегда будут синхронизированы с центральным каталогом и, более того, с кадровой системой компании.

Как рассказал Михаил Миньковский, сегодня процесс замены региональных справочников идет одновременно с региональным внедрением Identity Manager, которое в свою очередь непосредственно следует за тиражированием модуля HR ERP-системы. Причем он осуществляется собственными силами компании без привлечения внешних подрядчиков. "Таким образом, мы получаем возможность убить сразу двух зайцев. Можно было конечно же привязаться к хаотичной существующей системе, и все бы работало, но достоверность данных была бы существенно ниже", - подчеркнул он.

Планы на будущее

Следует отметить, что создание системы управления доступом на базе Identity Manager являлось только первой частью программы, рекомендованной агентством Logan Orviss. В его отчете помимо исследования и сравнения различных решений рассматривались общие аспекты управления доступом, а также разнообразные автоматизированные системы аутентификации, авторизации и SSO (Single Sign-On, однократная регистрация), которые предлагалось внедрить во вторую очередь.

Пока в каждой информационной системе по-прежнему имеется отдельная учетная запись, а Identity Manager обеспечивает синхронизацию основных данных этих учетных записей и единую точку управления. Следующим шагом будет сокращение количества аутентификаций (методом ввода своих учетных данных или иными средствами), которые пользователь должен выполнить для получения доступа к своим ресурсам. Это будет сделано путем внедрения технологии SSO для части систем (так, в настоящее время хорошего уровня развития достигли методы SSO для Web-систем).

В дальнейшем, когда компания перейдет на более развитые технологии управления доступом (это планируется по мере появления на рынке продуктов необходимого уровня зрелости), корпоративные системы там, где это возможно и целесообразно, начнут переключаться на внешнее управление доступом, когда несколько систем используют физически одну-единственную учетную запись, хранимую во внешней специализированной системе. Это позволит внедрить полноценную технологию SSO независимо от типа интерфейса системы, создать центральную точку, где будет производиться и регистрироваться авторизация пользователя на выполнение тех или иных действий в различных системах, а также осуществлять повседневное управление и точную настройку индивидуальных прав доступа к каждой из систем через единый интерфейс и по единым правилам.

К сегодняшнему дню затраты на внедрение Identity Manager составили 60-70% от общих вложений, необходимых на реализацию всей программы. "В принципе, на этом можно было бы остановиться, поскольку нам уже удалось решить много задач, - сказал в заключение Михаил Миньковский. - Однако дальнейшая реализация программы означает для нас возможность дополнительного снижения расходов, уменьшения уровня рисков и повышения удобства для пользователей и продуктивности их работы".

Версия для печати