Выступление Вячеслава Муравлева, нашего ведущего разработчика, на международной выставке InfoSecurity Russia (20 сентября 2016 года, Москва).
Видеозапись выступления:
https://vimeo.com/183804752
Вебинар: Функциональные возможности современных SIEM-системDialogueScience
Современная SIEM-система представляет собой единое хранилище событий ИБ, обладающее также механизмами агрегирования, нормализации, корреляции и приоритезации. Кроме событий ИБ SIEM-система также содержит данные об активах, получаемых в том числе со сканеров уязвимостей, а также данные о пользователях, получаемых из IDM-систем или иных хранилищ учётных данных.
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
В настоящее время средства защиты корпоративных систем обнаруживают всё больше подозрительных событий и аномального трафика. При этом требуется выявление действительно опасных событий и инцидентов. Одними из лучших средств для данных задач являются системы HP ArcSight ESM\Logger. На вебинаре рассмотрены ключевые возможности и примеры из практики.
Вебинар: Функциональные возможности современных SIEM-системDialogueScience
Современная SIEM-система представляет собой единое хранилище событий ИБ, обладающее также механизмами агрегирования, нормализации, корреляции и приоритезации. Кроме событий ИБ SIEM-система также содержит данные об активах, получаемых в том числе со сканеров уязвимостей, а также данные о пользователях, получаемых из IDM-систем или иных хранилищ учётных данных.
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
В настоящее время средства защиты корпоративных систем обнаруживают всё больше подозрительных событий и аномального трафика. При этом требуется выявление действительно опасных событий и инцидентов. Одними из лучших средств для данных задач являются системы HP ArcSight ESM\Logger. На вебинаре рассмотрены ключевые возможности и примеры из практики.
Authorization - it's not just about who you areDavid Brossard
Worried about who's getting access to your app? Sprinkle in XACML and get access control that is both context-aware, externalized and dynamic.
Need to add more than basic access control to your application? Existing authorization frameworks including their pros and cons, but are typically quite limited. This talk will introduce XACML, the eXtensible Access Control Markup Language, an authorization standard from OASIS that defines fine-grained access control based on attributes. The XACML standard enables much more dynamic authorization that not only focuses on the user but also on resources, actions, and the context. XACML enables policy-based and attribute-based access control.
The talk with then look at how XACML can be used to apply authorization business rules to any Java application and even beyond (.NET, Ruby...). This is known as “any-breadth authorization”. XACML also enables consistent authorization across multiple layers (presentation tier; web tier; business tier; and data tier). It becomes possible to apply the same authorization logic in a JSF page as in a jdbc connection. This is also known as “any-depth authorization”
During the talk, we will look at live examples of applications using XACML. For instance, we will demonstrate the use of XACML and Java servlets, JAX-WS web services, and APIs as a whole. Attendees will also be able to write their own XACML policies, provided they download the ALFA plugin for Eclipse, an add-on for XACML policy authoring.
In January 2013, XACML 3.0 was approved as a formal standard and there are several implementations available (open-source, free, and commercial) for developers to get started. The talk will illustrate how developers can leverage XACML to quickly apply authorization to new and existing applications. After this session, you will easily be able to add standards-based authorization to your application - and simplify your life!
XACML is a blueprint for policy- and attribute-based access control that uses an extensible model to determine authorization for any resource in a distributed environment. It addresses authorization pains through asking the right questions, reducing chatter with a lightweight JSON/XACML protocol, and providing tools like the OpenAZ SDK, ALFA policy editor, and integrations to easily connect and write authorization policies for provisioning, SAML, and other standards.
OWASP Chicago 2016 - What is Attribute Based Access Control (ABAC)?David Brossard
In this presentation, I cover the history of access control, from simpler models e.g. access control lists (ACL) to Role Based Access Control (RBAC) and eventually Attribute Based Access Control (ABAC). I then discuss limitations of RBAC and how ABAC provides a better alternative using attributes and policies.
OASIS Workshop: Identity, Privacy, and Data Protection in the Cloud – What is...David Brossard
Join a host of industry experts for this pre-conference roundtable, to hear the latest on what is being done to protect identity and ensure privacy within the cloud. This three-part interactive roundtable will open-up the dialogue on this topic, so come prepared to share information, insights and ideas.
XACML for Developers - Updates, New Tools, & Patterns for the Eager #IAM Deve...David Brossard
In this presentation I introduce the basics of Attribute-based Access Control, XACML, and why it matters to developers. I also focus on the latest XACML TC profiles - the REST profile and the JSON profile that make integration easier and faster.
«Стой! Кто идет?»: аутентификация и авторизация в корпоративных системахCUSTIS
Открытый семинар для студентов в компании CUSTIS (22 октября 2015 года).
Лектор: Владислав Иофе, архитектор.
Аннотация: При проектировании и реализации корпоративных систем всегда возникает целый ряд вопросов: нужно ли самим разрабатывать систему контроля доступа? Как аутентификация и авторизация встраиваются в архитектуру приложения? Возможно ли сделать вход в систему одновременно простым, удобным и безопасным? Что делать с паролями от сотен сайтов?
На семинаре мы рассмотрим разные методы аутентификации и авторизации, попробуем обойти их, а также познакомимся с промышленными стандартами и современными трендами в этой сфере применительно к корпоративным системам. Мы дадим ответы на уже заданные и многие другие вопросы не с точки зрения специалиста по безопасности, а с позиций проектировщика, пользователя, разработчика, тестировщика и инженера сопровождения, и уделим особое внимание архитектуре и юзабилити.
Видеозапись семинара: https://vimeo.com/143727329.
XACML in five minutes: excerpt from Catalyst 2013 panel "New school identity ...David Brossard
In this panel hosted by Ian Glazer, my colleague Gerry Gebel introduces the audience to XACML and its latest developments including REST, JSON, and more developer-friendly initiatives.
EIC 2014 Oasis Workshop: Using XACML to implement Privacy by DesignDavid Brossard
In this presentation delivered at the European Identity Conference, David looks at externalized authorization, attribute-based access control (ABAC) and XACML and how it can help implement privacy regulations.
Fine grained access control for cloud-based services using ABAC and XACMLDavid Brossard
This document discusses three strategies for implementing fine-grained authorization for cloud-based services using eXtensible Access Control Markup Language (XACML). The first strategy is to encourage software-as-a-service (SaaS) providers to directly support XACML by exposing security APIs. The second is to proxy all cloud connections through an on-premise gateway that enforces authorization policies. The third strategy converts XACML policies into the native format supported by each SaaS provider and pushes them via management APIs.
Презентация аналитической системы РАБИС.
Система предназначена для оценки кредитоспособности заемщиков.
Внедряется в кредитных и микрокредитных организациях.
Подробности http://rabis.biz
Презентация создавалась в 2010-м, дополнена коллегами в 2014-м году
ПРОФИКС (PROPHIX) разработан для бизнес-пользователей и требует минимального привлечения ИТ-ресурсов. Это сочетание с одной стороны обеспечивает быстрое внедрение, а с другой – минимальные сроки обучения персонала работе с новой системой.
Управление активами дань моде или производственная необходимостьКРОК
Практический семинар «Строим грамотно: оптимальные методы автоматизации служб технической поддержки»
Подробнее о мероприятии http://www.croc.ru/action/detail/6417/
Презентация Иванова Максима, технического менеджера направления системных решений компании КРОК
SICenter - презентация по BSM (Business Service Management) - системам монито...Yuriy Eysmont
Управление бизнес-услугами (Business Service Management, BSM) - это стратегия управления ИТ, осуществляемая средствами программного обеспечения с точки зрения перспектив бизнеса. Реализуя BSM, компании могут переориентировать свои ИТ-операции таким образом, чтобы они напрямую поддерживали критичные цели бизнеса. Такая стратегия помогает компаниям быстро распознавать и оптимизировать ключевые процессы на своем предприятии - и это действительно важно, ибо качество базовых бизнес-услуг может серьезно повлиять на успешность бизнеса.
Программное обеспечение agileSI, предназначено для мониторинга информационной безопасности ERP-систем SAP.
agileSI обеспечивает::
постоянный анализ SAP систем на предмет наличия эксплуатационных уязвимостей, ошибок в конфигурации, превышения полномочий, а также может использоваться для мониторинга критических транзакций и действий пользователей;
автоматизацию процесса сбора, корреляции и визуализации информации о событиях безопасности; формирование отчетов о текущем состоянии информационной безопасности системы SAP; снижение затрат на аудит информационной безопасности SAP;
обнаружение атак на системы SAP;
возможность обрабатывать события безопасности систем SAP в рамках единого ситуационного центра информационной безопасности.
Результаты работы системы agileSI могут передаваться для дальнейшей обработки в такие SIEM-решения как HP ArcSight, IBM QRadar, Splunk, Logpoint или LogRhythm.
Семинар Центра компетенции «Управление идентификационными данными и доступом к информации».
Подробнее о мероприятии http://www.croc.ru/action/detail/1639/
Презентация Андрея Заикина, технического менеджера компании КРОК
Вебинар «Интеграционные решения: ИТ-сердце вашей компании» http://www.croc.ru/action/detail/21799/
Презентация Михаила Чарикова, архитектора интеграционных решений компании КРОК
Authorization - it's not just about who you areDavid Brossard
Worried about who's getting access to your app? Sprinkle in XACML and get access control that is both context-aware, externalized and dynamic.
Need to add more than basic access control to your application? Existing authorization frameworks including their pros and cons, but are typically quite limited. This talk will introduce XACML, the eXtensible Access Control Markup Language, an authorization standard from OASIS that defines fine-grained access control based on attributes. The XACML standard enables much more dynamic authorization that not only focuses on the user but also on resources, actions, and the context. XACML enables policy-based and attribute-based access control.
The talk with then look at how XACML can be used to apply authorization business rules to any Java application and even beyond (.NET, Ruby...). This is known as “any-breadth authorization”. XACML also enables consistent authorization across multiple layers (presentation tier; web tier; business tier; and data tier). It becomes possible to apply the same authorization logic in a JSF page as in a jdbc connection. This is also known as “any-depth authorization”
During the talk, we will look at live examples of applications using XACML. For instance, we will demonstrate the use of XACML and Java servlets, JAX-WS web services, and APIs as a whole. Attendees will also be able to write their own XACML policies, provided they download the ALFA plugin for Eclipse, an add-on for XACML policy authoring.
In January 2013, XACML 3.0 was approved as a formal standard and there are several implementations available (open-source, free, and commercial) for developers to get started. The talk will illustrate how developers can leverage XACML to quickly apply authorization to new and existing applications. After this session, you will easily be able to add standards-based authorization to your application - and simplify your life!
XACML is a blueprint for policy- and attribute-based access control that uses an extensible model to determine authorization for any resource in a distributed environment. It addresses authorization pains through asking the right questions, reducing chatter with a lightweight JSON/XACML protocol, and providing tools like the OpenAZ SDK, ALFA policy editor, and integrations to easily connect and write authorization policies for provisioning, SAML, and other standards.
OWASP Chicago 2016 - What is Attribute Based Access Control (ABAC)?David Brossard
In this presentation, I cover the history of access control, from simpler models e.g. access control lists (ACL) to Role Based Access Control (RBAC) and eventually Attribute Based Access Control (ABAC). I then discuss limitations of RBAC and how ABAC provides a better alternative using attributes and policies.
OASIS Workshop: Identity, Privacy, and Data Protection in the Cloud – What is...David Brossard
Join a host of industry experts for this pre-conference roundtable, to hear the latest on what is being done to protect identity and ensure privacy within the cloud. This three-part interactive roundtable will open-up the dialogue on this topic, so come prepared to share information, insights and ideas.
XACML for Developers - Updates, New Tools, & Patterns for the Eager #IAM Deve...David Brossard
In this presentation I introduce the basics of Attribute-based Access Control, XACML, and why it matters to developers. I also focus on the latest XACML TC profiles - the REST profile and the JSON profile that make integration easier and faster.
«Стой! Кто идет?»: аутентификация и авторизация в корпоративных системахCUSTIS
Открытый семинар для студентов в компании CUSTIS (22 октября 2015 года).
Лектор: Владислав Иофе, архитектор.
Аннотация: При проектировании и реализации корпоративных систем всегда возникает целый ряд вопросов: нужно ли самим разрабатывать систему контроля доступа? Как аутентификация и авторизация встраиваются в архитектуру приложения? Возможно ли сделать вход в систему одновременно простым, удобным и безопасным? Что делать с паролями от сотен сайтов?
На семинаре мы рассмотрим разные методы аутентификации и авторизации, попробуем обойти их, а также познакомимся с промышленными стандартами и современными трендами в этой сфере применительно к корпоративным системам. Мы дадим ответы на уже заданные и многие другие вопросы не с точки зрения специалиста по безопасности, а с позиций проектировщика, пользователя, разработчика, тестировщика и инженера сопровождения, и уделим особое внимание архитектуре и юзабилити.
Видеозапись семинара: https://vimeo.com/143727329.
XACML in five minutes: excerpt from Catalyst 2013 panel "New school identity ...David Brossard
In this panel hosted by Ian Glazer, my colleague Gerry Gebel introduces the audience to XACML and its latest developments including REST, JSON, and more developer-friendly initiatives.
EIC 2014 Oasis Workshop: Using XACML to implement Privacy by DesignDavid Brossard
In this presentation delivered at the European Identity Conference, David looks at externalized authorization, attribute-based access control (ABAC) and XACML and how it can help implement privacy regulations.
Fine grained access control for cloud-based services using ABAC and XACMLDavid Brossard
This document discusses three strategies for implementing fine-grained authorization for cloud-based services using eXtensible Access Control Markup Language (XACML). The first strategy is to encourage software-as-a-service (SaaS) providers to directly support XACML by exposing security APIs. The second is to proxy all cloud connections through an on-premise gateway that enforces authorization policies. The third strategy converts XACML policies into the native format supported by each SaaS provider and pushes them via management APIs.
Презентация аналитической системы РАБИС.
Система предназначена для оценки кредитоспособности заемщиков.
Внедряется в кредитных и микрокредитных организациях.
Подробности http://rabis.biz
Презентация создавалась в 2010-м, дополнена коллегами в 2014-м году
ПРОФИКС (PROPHIX) разработан для бизнес-пользователей и требует минимального привлечения ИТ-ресурсов. Это сочетание с одной стороны обеспечивает быстрое внедрение, а с другой – минимальные сроки обучения персонала работе с новой системой.
Управление активами дань моде или производственная необходимостьКРОК
Практический семинар «Строим грамотно: оптимальные методы автоматизации служб технической поддержки»
Подробнее о мероприятии http://www.croc.ru/action/detail/6417/
Презентация Иванова Максима, технического менеджера направления системных решений компании КРОК
SICenter - презентация по BSM (Business Service Management) - системам монито...Yuriy Eysmont
Управление бизнес-услугами (Business Service Management, BSM) - это стратегия управления ИТ, осуществляемая средствами программного обеспечения с точки зрения перспектив бизнеса. Реализуя BSM, компании могут переориентировать свои ИТ-операции таким образом, чтобы они напрямую поддерживали критичные цели бизнеса. Такая стратегия помогает компаниям быстро распознавать и оптимизировать ключевые процессы на своем предприятии - и это действительно важно, ибо качество базовых бизнес-услуг может серьезно повлиять на успешность бизнеса.
Программное обеспечение agileSI, предназначено для мониторинга информационной безопасности ERP-систем SAP.
agileSI обеспечивает::
постоянный анализ SAP систем на предмет наличия эксплуатационных уязвимостей, ошибок в конфигурации, превышения полномочий, а также может использоваться для мониторинга критических транзакций и действий пользователей;
автоматизацию процесса сбора, корреляции и визуализации информации о событиях безопасности; формирование отчетов о текущем состоянии информационной безопасности системы SAP; снижение затрат на аудит информационной безопасности SAP;
обнаружение атак на системы SAP;
возможность обрабатывать события безопасности систем SAP в рамках единого ситуационного центра информационной безопасности.
Результаты работы системы agileSI могут передаваться для дальнейшей обработки в такие SIEM-решения как HP ArcSight, IBM QRadar, Splunk, Logpoint или LogRhythm.
Семинар Центра компетенции «Управление идентификационными данными и доступом к информации».
Подробнее о мероприятии http://www.croc.ru/action/detail/1639/
Презентация Андрея Заикина, технического менеджера компании КРОК
Вебинар «Интеграционные решения: ИТ-сердце вашей компании» http://www.croc.ru/action/detail/21799/
Презентация Михаила Чарикова, архитектора интеграционных решений компании КРОК
Решения для разумной оптимизации ИТ-инфраструктуры. Сокращение ваших расходов...Yaryomenko
Решения для Управления и автоматизации ИТ- инфраструктуры
Решение для автоматизации процессов управления ИТ-услугами
Решение для Управления активами предприятия
\\
По мере своего развития ИТ-департамент становится все ближе к бизнес-подразделениями компании, ориентируясь на бизнес-задачи: автоматизация продаж, отгрузок, выдачи кредитов и т.д. Чтобы соответствовать требованиям бизнес-заказчиков, ИТ-департамент должен говорить с ними на одном языке, измерять и контролировать взаимосвязь различных элементов ИТ-инфраструктуры и бизнеса. Именно этим задачам служат решения для мониторинга бизнес-процессов, которые позволяют, с одной стороны, комплексно оценивать функционирование бизнес-процессов компании, а с другой – отслеживать влияние ИТ-процессов на компанию, оперативно оценивать эффект сбоев инфраструктуры и своевременно на них реагировать.
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
Презентация к семинару "Как сэкономить, вложив в информационную безопасность?".
На семинаре мы расскажем как аудит безопасности для небольшого и среднего бизнеса поможет снизить операционные затраты, увеличить оборотные средства и в целом увеличь общую капитализацию (прибыль).
Ссылка на подробное описание https://ipiskunov.blogspot.ru/2017/12/blog-post.html
Выступление Владимира Рахтеенко, нашего генерального директора, и Германа Алексеева, ИТ-директора ГК «Спортмастер», на Неделе российского ритейла (7 июня 2017 года, Москва).
Будущее уже наступило: от Agile к бирюзовым организациямCUSTIS
Выступление Максима Цепкова, нашего главного архитектора дирекции развития решений, на форуме «Дни PR и маркетинга на Юге» (1 июня 2017 года, Ростов-на-Дону).
Диаграммы учета как средство для наглядного и целостного отображения правил у...CUSTIS
Выступление Максима Цепкова, нашего главного архитектора дирекции развития решений, на конференции «Соколовские чтения «Бухгалтерский учет: взгляд из прошлого в будущее» (22 апреля 2017 года, Санкт-Петербург).
Опыт построения микросервисной архитектуры в цифровом банкеCUSTIS
Выступление Андрея Солощака, ведущего архитектора «Бинбанка», на профессиональной встрече CUSTIS Meetup: Микросервисы в Enterprise (16 марта 2017 года, Москва).
Золотая лихорадка MSA: почему нам не подошли микросервисы?CUSTIS
Выступление Юрия Веретельникова, сооснователя и технического директора Solit Clouds, на профессиональной встрече CUSTIS Meetup: Микросервисы в Enterprise (16 марта 2017 года, Москва).
Выступление Игоря Беспальчука, нашего руководителя проектов, на профессиональной встрече CUSTIS Meetup: Микросервисы в Enterprise (16 марта 2017 года, Москва).
От монолитных моделей предметной области — к модульнымCUSTIS
Выступление Максима Цепкова, нашего главного архитектора дирекции развития решений, на World Information Architecture Day (18 февраля 2017 года, Санкт-Петербург).
Будущее omni-channel маркетинга: инструменты, кейсы и цифрыCUSTIS
Выступление Артема Казакова, директора по маркетингу Retail Rocket, на бизнес-завтраке «К 2017 готовы: продвинутые инструменты маркетинга для интернет-магазинов» (13 декабря 2016 года, Москва).
This document summarizes Adam Sitnik's presentation on .NET performance. It discusses new features in C# 7 like ValueTuple, ref returns and locals, and Span. It also covers .NET Core improvements such as ArrayPool and ValueTask that reduce allocations. The presentation shows how these features improve performance through benchmarks and reduces GC pressure. It provides examples and guidance on best using new features like Span, pipelines, and unsafe code.
Опыт применения метода ATAM для оценки архитектурыCUSTIS
Выступление Игоря Беспальчука, нашего руководителя проектов дирекции архитектуры, на заседании русского отделения INCOSE (9 ноября 2016 года, Москва).
Видеозапись выступления:
https://vimeo.com/190918892
Process и Case Management в информационной системе: от автоматизации As Is к ...CUSTIS
Выступление Максима Цепкова, нашего главного архитектора дирекции развития решений, на ежегодной конференции CEE-SECR – 2016 (29 октября 2016 года, Москва).
Омниканальная модель в ритейле: решения и кейсыCUSTIS
Выступление Петра Асратяна, директор программы модернизации информационных систем «Леруа Мерлен Восток», на конференции «IT в ритейле» (12 сентября 2016 года, Москва).
RBAC & ABAC: гибридное решение для управления правами доступа
1. RBAC & ABAC:
ГИБРИДНОЕ РЕШЕНИЕ
ДЛЯ УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА
Вячеслав Муравлев
Ведущий разработчик, группа компаний CUSTIS
InfoSecurity Russia
20 сентября 2016 года
2. УТЕЧКИ ИНФОРМАЦИИ
По данным InfoWatch за 2015 год
| Большая доля утечек информации (65,4%)
происходит по вине внутренних нарушителей
| Почти половина утечек (49%) происходит по вине
сотрудников (как бывших, так и настоящих)
2 | 17
3. ОСОБЕННОСТИ
ИТ-ЛАНДШАФТА КРУПНОГО ПРЕДПРИЯТИЯ
| Множество информационных систем и пользователей:
сотрудников, подрядчиков, клиентов
| Сквозные бизнес-процессы проходят через несколько
информационных систем
| Пользователи работают в различных ИТ-системах
и выполняют в них разные функции
| В каждой информационной системе есть свои настройки
прав доступа и своя процедура аутентификации
3 | 17
4. ЦЕЛИ УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА
| Снижение рисков, связанных с неправомерной
или несвоевременной выдачей или отзывом прав
доступа пользователей
| Снижение стоимости управления правами доступа
| Повышение оперативности процессов управления
правами: быстрая выдача временных прав,
минимальное время простоя при настройке прав и т. д.
4 | 17
5. РОЛЕВАЯ МОДЕЛЬ ДОСТУПА (RBAC)
5 | 17
Иванов
Петров
Сидоров
Пользователи
Менеджер
Операционист
Роли
Утверждение
заказа
Просмотр
заказа
Создание
заказа
Действия
в системе
6. БОЛЕЗНИ РОСТА RBAC
| В чистом виде модель недостаточно гибка, поскольку
не учитывает:
контекст действий пользователей
атрибуты пользователей
параметры окружения, в котором работают пользователи
| У большого числа пользователей служебные обязанности
требуют создания уникальных ролей
| Сложно поддерживать актуальное состояние прав
доступа при организационных изменениях
6 | 17
8. RBAC: ВАРИАЦИИ И РАЗВИТИЕ
| «Классический» RBAC – статические привилегии
Роль «Менеджер» = «Просмотр заказов» + «Изменение заказов»
if (user.hasPrivilege(‘view_order’)) …
Недостаток: не поддерживает разрез по атрибутам объектов
| Динамическая проверка атрибутов объекта
Роль «Менеджер филиала 123» = «Просмотр заказов филиала 123» + «Изменение заказов филиала 123»
if (user.hasPrivilege(‘view_order_’ + order.branch) …
Недостаток: приводит к «role explosion» – созданию роли для каждого значения атрибута
| Динамическая проверка атрибутов субъекта
Роль «Менеджер филиала» = «Просмотр заказов своего филиала» + «Изменение заказов своего филиала»
if (user.hasPrivilege(‘view_order’) && user.branch==order.branch))
| Логическое продолжение – ABAC (Attribute-Based Access Control)
8 | 17
9. АТРИБУТНАЯ МОДЕЛЬ ДОСТУПА (ABAC)
| Права доступа определяются логическими правилами,
составленными в терминах бизнес-атрибутов
| Атрибутами обладают субъекты (пользователи), ресурсы (объекты),
действия и среда
| Модель стандартизована в рамках XACML 3.0 (первая версия – 2003 г.)
9 | 17
10. ABAC: СХЕМА ОРГАНИЗАЦИИ ДОСТУПА
10 | 17
Динамическая проверка:
может ли пользователь
Балаганов подтвердить
заказ №123?
Тип = Заказ на отгрузку
№ = 321
Сумма заказа = 202 300 руб.
Тип = Заказ на поставку
№ = 123
Сумма заказа = 195 000 руб.
Объекты системы
Пользователи
Паниковский
Должность = Кладовщик
Отдел = Склад товаров
Балаганов
Должность = Менеджер
Лимит утверждений = 200 000
Отдел = Отдел закупок
Правила доступа
Все могут создавать
и просматривать заказы
Менеджер может подтверждать
заказ на поставку в пределах своего
лимита не позднее 19:00
Действия в системе
Параметры окружения
Просмотр заказа
Утверждение заказа
Создание заказа
Время = 19:32 MSK
Местоположение = Ржев
IP адрес = 127.0.0.1
11. ПОДХОДЫ К УПРАВЛЕНИЮ ДОСТУПОМ
11 | 17
ИТ-система
Сервис управления
доступомПолитики доступа
Стандартный подход
Запрос
на предоставление
доступа
ИТ-система ИТ-система
Сервис управления
доступомПолитики доступа
Сервис преобразования
политик доступа
Запрос
на предоставление
доступа
Запрос
на предоставление
доступа
Запрос
на предоставление
доступа
Запрос
на предоставление
доступа
Запрос
на предоставление
доступа
Изменение
настроек доступа
Гибридный подход
ИТ-система
ИТ-система ИТ-система ИТ-система ИТ-система
Изменение
настроек доступа
12. ФУНКЦИИ РЕШЕНИЯ
| Проектирование прав доступа в виде множества политик (наборов правил)
при участии бизнес-подразделений, ИТ-службы и службы безопасности
| Централизованное и унифицированное ведение политик доступа
| Интеграция с различными информационными системами предприятия
| Контроль доступа по двум вариантам
Автоматическая настройка локальных прав доступа в ИТ-системах
в соответствии с описанными политиками
Предоставление ИТ-системам предприятия единого сервиса контроля доступа в
соответствии с описанными политиками
| Формирование отчетов для аудита и анализа
Например, текущие права конкретного пользователя, когда и на каком основании
выданы, кто из пользователей имеет доступ к определенным действиям и данным,
соответствие распределения прав политикам доступа и т. п.
12 | 17
13. СХЕМА РАБОТЫ РЕШЕНИЯ
13 | 17
(4)Выдать/
отозвать
(1) Ввод политик
доступа в систему
(3) Вычисление политик
для пользователя
(5) Изменение
настроек доступа
в ИТ-системе
(3) Действие
пользователя
в ИТ-системе
(5) Вычисление политик
для запроса
(4)Запрос
авторизации
(6)Разрешить/
отказать
Решение CUSTIS
Централизованное
и унифицированное
ведение политик доступа
(0) Проектирование
политик доступа
(2) Сохранение
политик доступа
Стандартный подход
Предоставление
ИТ-системам единого сервиса
контроля доступа
Гибридный подход
Автоматическая настройка
локальных прав доступа
в ИТ-системах
14. Компоненты из
стандарта XACML
ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ РЕШЕНИЯ
Identity Management
ИТ-система ИТ-системаИТ-система
PAP
(Policy Administration Point)
Policy repository
AdapterAdapter
PTP
(Policy Translation Point)
PDP
(Policy Decision Point)
ИТ-система
PIP
(Policy Information Point) ConnectorConnector
ИТ-система
PEPPEP
Графический интерфейс
для администрирования
политик безопасности
и настройки системы
Вычисление политик
для принятия решения
об авторизации
конкретного действия
пользователя
Преобразование
политик в настройки
доступа
Преобразование
решения о доступе
в настройки конкретной
ИТ-системы
Обеспечивает
интеграционное
взаимодействие
с ИТ-системами через API
Стандартный
сценарий
Гибридный
сценарий
Универсальный
компонент
14 | 17
Policy Enforcement Point
запрашивает авторизацию
действий пользователя
и применяет ответ
Хранилище
политик
Определение значений
атрибутов в процессе
вычисления политик
15. ПРЕИМУЩЕСТВА РЕШЕНИЯ
Возможность задавать логические правила
на основе множества атрибутов информационных
ресурсов, объектов и самих пользователей
Увеличение гибкости настроек
Снижение стоимости
управления правами
Возможность использовать решение
как дополнение к существующей системе
авторизации либо самостоятельно
Сохранение инвестиций
в систему информационной
безопасности предприятия
Автоматическое определение прав пользователей
в соответствии с политиками, автоматизация
стандартных процедур
Повышение эффективности,
оперативности и надежности
процесса управления правами
Централизованные настройки прав
в виде обобщенных правил
Снижение сложности
управления правами
Ведение правил доступа в формате,
приближенном к регламентам безопасности
Повышение прозрачности
системы распределения прав
15 | 17
1
2
3
4
5
16. ГРУППА КОМПАНИЙ CUSTIS
| 20 лет на российском ИТ-рынке
| Масштабные проекты для отраслевых лидеров
и организаций с высокой динамикой бизнес-процессов:
Банка России, Газпромбанка, ГК «Спортмастер»
(розничных сетей «Спортмастер», O'STIN, FUNDAY)
| Работа на стратегическое развитие клиентов,
решение критически важных бизнес-задач средствами ИТ,
поддержка передовых технологических проектов
16 | 17
17. СПАСИБО ЗА ВНИМАНИЕ!
Вячеслав Муравлев
Ведущий разработчик, группа компаний CUSTIS
www.custis.ru
+7 (495) 772-97-02
vmuravlev@custis.ru