Управление правами доступа в информационных системах розничного Банка

Доброжан В.В.
Выпускник группы ITM-21a
Школа IT-менеджмента
РАНХиГС при Президенте РФ

По данным Центрального Банка РФ по состоянию на конец мая 2012 г в России функционирует 970 коммерческих банков. Больше половины из них имеют представительства в Москве и Московской области.

Возникает вопрос, как банкам удается выстоять в условиях жесткой конкуренции, не потерять клиентов, привлечь новых? Набор используемых методов устоялся и, как правило, сводится к следующему:

• Открытие офисов обслуживания;
• Выход на новые рынки;
• Выпуск новых и развитие существующих продуктов;
• Повышение узнаваемости банка;
• Повышение удовлетворенности клиентов.

Территориальная близость, узнаваемость названия, логотипа, спектр предлагаемых услуг оказывают влияние на клиента, как правило, лишь при первичном выборе банка. В большинстве случаев именно степень удовлетворенности после первого посещения делает случайного клиента постоянным. Залогом успеха служит внимательное отношение к клиентам, высокая скорость и качество обслуживания, забота как о физической безопасности самих клиентов, так и о безопасности их данных.

Рассматриваемый Банк на рынке с 1992 года, входит в тридцатку рейтинга TOP-500 банков по чистым активам по итогам 2011 года. Банк имеет широкую филиальную сеть – центральный офис в Москве, 14 филиалов и 37 дополнительных офисов по России. Общая численность сотрудников порядка 3 000 человек. При этом ИТ-служба составляет не менее 10% от общей численности. Масштаб службы ИТ связан с тесной интеграцией бизнеса и информационных технологий: сложная ИТ-инфраструктура, большое число пользователей, высокие требования к доступности информационных ресурсов Банка.

Одной из проблем, которые негативно влияют на скорость обслуживания клиентов Банка и обеспечение безопасности их данных, является отсутствие единых, четко регламентированных правил управления правами доступа в ИТ-системах. Единые требования, подход к реализации процедур в рамках процесса управления доступом, правила и порядок взаимодействия участников не определены. Работы ведутся по исторически сложившимся правилам. Данные факторы негативно сказываются на эффективности управления правами доступа, ведут к потере управляемости, неэффективному использованию ресурсов, задействованных в процессе.

В данной ситуации участники процесса управления доступом – служба ИТ, служба информационной безопасности, бизнес-подразделения - не могут гарантировать, что выданные сотрудникам права доступа являются минимально необходимыми для выполнения функциональных обязанностей. Наличие избыточных полномочий влечет за собой риск получения несанкционированного доступа к конфиденциальной информации.

Реализованные в Банке процедуры управления правами доступа требуют значительных трудозатрат от всех участников процесса, что замедляет скорость реализации их основных функциональных обязанностей и может негативно сказаться на скорости обслуживания клиентов Банка.

Кроме того отсутствие документального описания принятых в Банке правил и порядка реализации процедур управления доступом влечет за собой риск потери контроля над процессом и невозможности его дальнейшего корректного воспроизведения, в случае смены участников, которые являются носителями информации о процессе.

Существующие в ИТ-системах Банка контроли и механизмы не обеспечивают целостности управления правами доступа, а из-за сложности и непрозрачности их реализации могут привести к ошибкам и предоставлению пользователям избыточных или недостаточных прав доступа.

В качестве механизма реализации ключевых принципов управления доступом: «need-to-do», «need-to-know», «double control», - выбран механизм профилей доступа (иерархия ролей с наследованием привилегий). Организация прав доступа, основанная на профилях, предусматривает определение и группировку прав доступа, отражающих бизнес-функции сотрудников. Профили должны быть назначены каждому пользователю ИТ-системы.

В рамках проекта решаются следующие задачи:

• Идентифицировать и задокументировать действующие в Банке процедуры управления доступом в ИТ-системах;
• Определить пути оптимизации процесса управления правами доступа с учетом принципов «need-to-do»,«need-to-know» и «double control»;
• Построить максимально прозрачную (для ИТ, ИБ, бизнеса), эффективную с точки зрения затрачиваемого времени, учитывающую интересы всех участников процесса систему управления правами доступа;
• Подготовить регламентирующую документацию;
• Провести работы по автоматизации процесса управления доступом.

При проведении работ должен быть соблюден баланс интересов всех заинтересованных сторон, а именно:

• Бизнес-подразделения: непрерывность деятельности, высокая скорость обслуживания, взаимозаменяемость сотрудников.
• ИТ: обеспечение работоспособности информационных систем.
• Информационная безопасность: минимизация рисков нарушения конфиденциальности, целостности, доступности информации.

В работе рассмотрены предпосылки запуска, миссия, цели и ограничения проекта, определены этапы, временные рамки, состав работ и ожидаемые результаты проекта, идентифицированы риски и меры по их снижению.

Опыт реализации аналогичных проектов показывает, что эффективно выстроенный процесс управления правами доступа в ИТ-системах позволяет сократить затраты, минимизировать риск утечки конфиденциальной информации, получить дополнительные конкурентные преимущества.