Custis: AMS

Функционал CustIS: AMS

• Проектирование прав доступа в виде множества политик (наборов правил) при участии бизнес-подразделений, ИТ-службы и службы безопасности
• Централизованное и унифицированное ведение политик доступа
• Интеграция с различными информационными системами предприятия
• Контроль доступа по двум вариантам
  • Автоматическая настройка локальных прав доступа в ИТ-системах в соответствии с описанными политиками
  • Предоставление ИТ-системам предприятия единого сервиса контроля доступа в соответствии с описанными политиками

• Формирование отчетов для аудита и анализа
  • Например, текущие права конкретного пользователя, когда и на каком основании выданы, кто из пользователей имеет доступ к определенным действиям и данным, соответствие распределения прав политикам доступа и т. п.

Схема работы CustIS: AMS

Политики проектируются в бизнес-терминах и прозрачно отображаются в правила для системы, администраторам не нужно переводить их в правила раздачи ролей.

Функциональные компоненты CustIS: AMS

Решение поддерживает стандарт XACML, решение включает в себя Open-Source компоненты, которые обеспечивают поддержку стандарта

• Policy Administration Point (PAP) – графический интерфейс для администрирования политик безопасности и настройки системы
• Policy Repository – хранилище политик
• Policy Decision Point (PDP) – вычисление политик для принятия решения об авторизации конкретного действия пользователя
• Policy Information Point (PIP) – определение значений атрибутов в процессе вычисления политик
• Policy Enforcement Point (PEP) – обращение с запросом на авторизацию действия к PDP. Встраивается в ИТ-системы
• Policy Translation Point (PTP) – вычисление политик для конкретного пользователя (для принятия решений о выдаче или отзыве доступа к ресурсу). Выполняется за счет приведения выражений XACML в правилах доступа к дизьюнктивной нормальной форме и составления критериев для поиска ресурсов в целевых системах, которые могут быть предоставлены данному пользователю.
• Adapter – преобразование решения (о выдаче или отзыве доступа) в настройки конкретной ИТ-системы (например, назначение пользователю роли)
• Connector – обеспечивает интеграционное взаимодействие с ИТ-системами через предоставляемый ими API

Преимущества решения

• Возможность задавать логические правила на основе множества атрибутов информационных ресурсов, объектов и самих пользователей. Увеличение гибкости настроек. Снижение стоимости управления правами
• Возможность использовать решение как дополнение к существующей системе авторизации либо самостоятельно. Сохранение инвестиций в систему информационной безопасности предприятия
• Автоматическое определение прав пользователей в соответствии с политиками, автоматизация стандартных процедур. Повышение эффективности, оперативности и надежности процесса управления правами
• Централизованные настройки прав в виде обобщенных правил. Снижение сложности управления правами
• Ведение правил доступа в формате, приближенном к регламентам безопасности. Повышение прозрачности системы распределения прав

Смотрите также

• Identity and Access Management - определения
• Системы идентификации и управления доступом к информационным ресурсам предприятия - IDM (рынок России)
• Каталог IDM/IAM-систем и проектов