28 пунктов из приказа ФСТЭК

28 пунктов спустя: про что из приказа ФСТЭК России №117 можно забыть после внедрения PAM-системы СКДПУ НТ

Немного терминологии

Прежде чем переходить к разбору, давайте зафиксируем несколько ключевых понятий, чтобы дальше говорить на одном регуляторном языке.

Мероприятие по ЗИ — обязательный процесс по обеспечению безопасности, защиты информации, реализуемый посредством организационных и технических мер в отношении всей инфраструктуры оператора, вне зависимости от класса защищённости отдельных систем.

Мера по ЗИ — элемент мероприятия, конкретный инструмент обеспечения ИБ, необходимость которого определяется исходя из актуальных угроз, инфраструктуры и класса защищённости системы.

Класс защищённости — характеристика информационной системы, определяющая требуемый уровень безопасности: К1 — высокий, К2 — средний, К3 — низкий.

И ещё один важный момент о структуре самого приказа: пункт 34 задаёт общий перечень мероприятий верхнего уровня, а последующие пункты детализируют каждое из них. Поэтому ряд тем в этом материале встретится дважды — сначала кратко, в составе п.34, затем развёрнуто, в собственном профильном пункте. Это не повторение ради повторения, а логика самого документа, которой будем придерживаться и мы.

ПУНКТ 34. ДЛЯ ДОСТИЖЕНИЯ ЦЕЛЕЙ ЗАЩИТЫ ИНФОРМАЦИИ ОПЕРАТОРОМ (ОБЛАДАТЕЛЕМ ИНФОРМАЦИИ) ДОЛЖНЫ ПРОВОДИТЬСЯ СЛЕДУЮЩИЕ МЕРОПРИЯТИЯ:

б) контроль конфигураций информационных систем

Речь о процессе учёта, отслеживания и проверки состава и настроек ИС, а также всех изменений в них, — направленном на предотвращение несанкционированных или неконтролируемых изменений, способных повлиять на безопасность информации.

PAM-система СКДПУ НТ управляет настройками доступа и политиками безопасности на основе ролевых моделей, обеспечивая централизованный контроль. Это обеспечивает частичное выполнение требования по контролю конфигураций за счёт ограничения прав и аудита действий привилегированных пользователей, способных влиять на настройки ИС.

Однако полноценный контроль конфигураций этим не исчерпывается. Важно не только определять ответственного, но и видеть, что именно было изменено, а также иметь возможность проанализировать изменения. В этой части в СКДПУ НТ может быть реализована интеграция с системами контроля конфигураций. В таком симбиозе фиксируются все изменения в конфигурациях объектов ИС, наглядно отображается состояние до и после изменений, — и, что важнее, изменения связываются с конкретными пользовательскими сессиями. Таким образом последующий анализ и расследования инцидентов становятся возможными.

Ну и конечно, основная часть РАМа — это полная фиксация действий, как в видео, так и в логе. Благодаря аудиту можно увидеть, кто, в какой момент и зачем обращался к той или иной конфигурации.

 

д) обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа;

Такая информация — особая категория данных, утечка или изменение которых несёт прямые правовые, репутационные или операционные последствия. Требование направлено на то, чтобы доступ к таким данным строго регламентировался, а любое взаимодействие с ними было зафиксировано и доступно для последующего анализа.

СКДПУ НТ закрывает это требование на уровне контроля привилегированного доступа к системам, в которых такая информация хранится и обрабатывается. Ролевая модель определяет, кто и к каким системам допущен — без суперправ и без возможности их расширения в обход регламента. Любое действие при доступе к такой информации регистрируется. Это работает и как превентивный эффект (осознание контроля дисциплинирует само по себе), и как инструмент для расследования в случае инцидента.

 

е) обеспечение защиты информации при применении конечных устройств;

Это комплекс мер, направленных на то, чтобы конечные устройства (рабочие станции, ноутбуки, терминалы) не становились точкой входа для несанкционированного доступа или утечки информации. Такие устройства в современной инфраструктуре представляют угрозу потому, что именно с них пользователь подключаются к критичным системам — а значит, очень привлекают злоумышленников.

Мы закрываем это требование на нескольких уровнях. В первую очередь, PAM контролирует входящие сессии: подключение к целевым ресурсам осуществляется только через СКДПУ НТ, что исключает прямой неконтролируемый доступ с конечного устройства. Во-вторых, в СКДПУ НТ есть возможность подключения многофакторной аутентификации (MFA) как на базе самого продукта, так и других вендоров, что гарантирует удостоверение в личности пользователя вне зависимости от факта компрометации учётных данных. Наконец, СКДПУ НТ обеспечивает блокировку исходящих соединений на уровне целевых устройств и возможность запрета копирования данных, что предотвращает несанкционированную передачу данных с защищаемых систем.

 

з) обеспечение защиты информации при удалённом доступе пользователей к информационным системам;

Удалённый доступ — один из наиболее популярных векторов атаки: пользователь подключается к инфраструктуре извне, и без должного контроля такой канал становится открытой дверью для проникновения. Требование направлено на то, чтобы такой доступ был защищённым, контролируемым и прозрачным.

Здесь PAM-система выступает в роли защищённого шлюза: все подключения к целевым ресурсам проходят через неё. Контролируется широкий спектр протоколов: RDP, SSH, Telnet, Rlogin, VNC, X11 и RAWTCPIP, и прочие — так что практически любой сценарий подключения будет охвачен. Сессии фиксируются, последующий анализ возможен в несколько кликов, так что помимо требуемой защиты, получаем и возможность расследования постфактум.

 

к) обеспечение защиты информации при предоставлении пользователям доступа к информационным системам, предусматривающего чтение, выполнение, изменение, запись, удаление программ и (или) данных в информационных системах (далее — привилегированный доступ);

Управление привилегированным доступом — ключевая функция PAM-системы. Так что требование 34к — по сути, прямое попадание в зону ответственности СКДПУ НТ. Контроль учётных записей позволяет чётко определять кто и к чему имеет доступ, а контроль сессий обеспечивает надзор за действиями пользователей в реальном времени.

 

л) обеспечение мониторинга информационной безопасности;

Мониторинг предполагает непрерывное наблюдение за событиями в ИТ-инфраструктуре, выявление аномалий и реагирование на инциденты.

СКДПУ НТ закрывает это требование в части привилегированного доступа: система ведёт детальный журнал действий пользователей, предоставляет инструменты оперативного мониторинга сессий, поиска инцидентов и позволяет проводить расследования.

Вместе с тем полноценный мониторинг ИБ в масштабах всей вашей инфраструктуры требует более широкого охвата — событий сети, конечных устройств, контроля конфигураций, приложений. На этот случай СКДПУ НТ имеет ряд интеграций с системами класса SIEM. В них передаются журналы событий в сессиях удаленного доступа, и общая картина обогащается данными о привилегированных сессиях.

 

м) обеспечение разработки безопасного программного обеспечения;

Это требование напрямую не закрывается PAM-системой СКДПУ НТ, однако косвенный вклад наше решение всё-таки вносит. Контролируя доступ к средам разработки, она способна ограничить круг лиц, способных взаимодействовать с исходным кодом. Это значит, что риск несанкционированных изменений и утечек сильно снижается, что является одним из главных элементов безопасности разработки.

 

о) обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций;

Нештатная ситуация — будь то аппаратный сбой, сетевая авария или целенаправленная атака — не должна приводить к потере контроля над привилегированным доступом. Именно в критический момент, когда инфраструктура нестабильна, администраторы особенно нуждаются в надёжном инструменте управления. Выход из строя самой PAM-системы в такой момент означал бы не просто техническую неполадку, а потерю видимости и контроля над действиями в ИС.

СКДПУ НТ проектировалась с учётом этого требования. Система может быть развернута в отказоустойчивой конфигурации: при выходе из строя одного узла функции автоматически принимает другой, без прерывания работы.

Для защиты от масштабных инцидентов — аварий на площадке, стихийных бедствий — предусмотрена катастрофоустойчивая инсталляция с географически распределёнными узлами. Всё это обеспечивает восстановление значимых функций в интервалы времени, установленные внутренними регламентами оператора, и закрывает требование.

 

п) и 56 — повышение уровня знаний и информированности пользователей по вопросам защиты информации;

Требование охватывает широкий спектр форматов: от информационных рассылок и семинаров до имитационных фишинговых атак и практических тренировок. Человеческий фактор остаётся одним из ключевых векторов реализации угроз, и никакая техническая защита не компенсирует низкую осведомлённость пользователей.

Мы как вендор регулярно проводим обучения для заказчиков и партнёров, а также вебинары, где рассказываем о функциях и нововведениях наших продуктов. Это напрямую способствует выполнению требования: пользователи и администраторы системы получают самые актуальные знания о работе инструмента контроля привилегированного доступа.

 

р) и 58 — обеспечение защиты информации при взаимодействии с подрядными организациями;

Подрядчики — традиционно одна из наиболее уязвимых категорий пользователей. Часто они обладают довольно широким доступом при минимальном контроле. СКДПУ НТ закрывает это требование полностью: доступ подрядчикам предоставляется только по согласованию и ограничивается необходимым минимумом по принципу Zero Trust, а действия этих сотрудников логируются и записываются.

 

Пункты у) и ф) — реализация мер защиты и контроль уровня защищённости;

Эти два требования логично встают рядом: одно касается реализации мер защиты в ИС, другое — проверки их эффективности. PAM-система выступает одним из ключевых элементов в обоих случаях: при проведении оценки защищённости и в рамках внутренних проверок, и в рамках внешних аудитов, использоваться будут накопленные системой журналы и данные мониторинга — как самостоятельно, так и в сочетании с данными других систем.

 

х) обеспечение непрерывного взаимодействия с ГосСОПКА;

СКДПУ НТ поддерживает интеграцию с SIEM-системами — и передает журналы событий и данные о привилегированных сессиях для анализа и реагирования. Это обеспечивает вклад системы в выполнение требования об информационном взаимодействии с ГосСОПКА — через обогащение общей картины событий данными о действиях привилегированных пользователей.

Это был пункт 34 — в нём мы рассказали о «верхнем» уровне мер защиты, которые закрывают и части этого требования и части некоторых других. Дальше разберёмся с пунктами, которые уточняют и детализируют описанное выше.

ПУНКТ 36. ВЫЯВЛЕНИЕ И ОЦЕНКА УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ.

Здесь требуется выявлять актуальные угрозы ещё на этапе создания ИС, а также разрабатывать модели угроз и обеспечивать их своевременное обнаружение (и, конечно, нейтрализацию).

Конечно, в классическом смысле СКДПУ НТ инструментом выявления угроз не является, однако глубоко вовлечен в этот процесс косвенно: как упоминалось ранее, система накапливает детальные журналы действий привилегированных пользователей — а это очень ценный источник для анализа. Интеграция с SIEM и SOC позволяет непосредственно выявлять, приоритизировать и обрабатывать эти угрозы. Таким образом СКДПУ НТ обеспечивает полный контроль там, где проходит её зона ответственности — на одном из ключевых векторов реализации угроз.

ПУНКТ 39. МЕРОПРИЯТИЯ ПО УПРАВЛЕНИЮ ОБНОВЛЕНИЯМИ.

Это требование предписывает проверять подлинность и целостность обновлений, тестировать их до применения в промышленной эксплуатации и исключать бесконтрольную установку.

СКДПУ НТ не управляет обновлениями напрямую, однако обеспечивает контроль над теми, кто их устанавливает. Аудит и запись сессий позволяют отследить, кто, когда и какие изменения вносил в системы. Блокировка отдельных команд исключает несанкционированные действия в ходе обслуживания. Сценарии автоматизации и уведомлений дают возможность выстроить контролируемый процесс применения обновлений с фиксацией каждого шага. В итоге система обеспечивает прозрачность и подотчётность процесса обновлений, что косвенно закрывает требование данного пункта.

ПУНКТ 40. ЗАЩИТА ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА.

Требование предписывает исключить неправомерный доступ к информации ограниченного доступа и её распространение, а также фиксировать все факты доступа к системам, в которых она хранится.

СКДПУ НТ закрывает это требование через гранулированное управление доступом: пользователь получает доступ только к тем системам, к которым он действительно необходим — в том числе в режиме доступа по запросу, когда права предоставляются под конкретную задачу и на ограниченное время. Все факты доступа фиксируются, сессии записываются, а действия доступны для аудита. В случае нарушений накопленные данные позволяют оперативно установить обстоятельства инцидента и уведомить ответственных лиц.

ПУНКТ 41. ЗАЩИТА ИНФОРМАЦИИ ПРИ ПРИМЕНЕНИИ КОНЕЧНЫХ УСТРОЙСТВ.

По сути, данный пункт — это детализация того, о чём уже шла речь в подпункте 34.е): требование конкретизирует, что защита конечных устройств должна включать в себя мониторинг и анализ процессов и событий в целях выявления актуальных угроз, а также оповещение о произошедших инцидентах.

В части контроля доступа, MFA и блокировки исходящих соединений СКДПУ НТ закрывает эти требования так, как уже было описано выше. Добавим, что система фиксирует действия пользователей в реальном времени и уведомляет ответственных лиц при срабатывании механизмов безопасности. Настраиваемые паттерны реагирования позволяют автоматически ограничивать подозрительную активность без ожидания ручного вмешательства администратора, что обеспечивает полностью беспрерывный надзор.

Отдельно стоит выделить многофакторную аутентификацию: СКДПУ НТ располагает собственным встроенным решением 2FA, а также поддерживает интеграцию со сторонними MFA-системами. Это обеспечивает гибкость при встраивании в уже существующую инфраструктуру аутентификации и надёжно верифицирует пользователей.

ПУНКТ 46. ЗАЩИТА ИНФОРМАЦИИ ПРИ УДАЛЁННОМ ДОСТУПЕ ПОЛЬЗОВАТЕЛЕЙ К ИС.

Если в подпункте 34.з) речь шла об удалённом доступе в общем, то здесь приказ вновь уточняет детали: строгая аутентификация, защищённые каналы, сертифицированные средства — и отдельное внимание к ситуации, когда сотрудник подключается с личного устройства.

Личное устройство — фактор повышенного риска. Оператор не контролирует, что на нём установлено, как оно обслуживается и не скомпрометировано ли оно. Именно поэтому требование допускает такой сценарий только при наличии сертифицированных средств защиты. СКДПУ НТ вписывается сюда органично: вне зависимости от того, с какого устройства приходит пользователь, он проходит через единый защищённый шлюз со строгой аутентификацией. Само устройство при этом остаётся за периметром; внутрь попадает только верифицированный пользователь с ровно теми правами, которые ему назначены.

ПУНКТ 48. УПРАВЛЕНИЕ ПРИВИЛЕГИРОВАННЫМ ДОСТУПОМ.

Это требование можно было бы описать одной фразой: именно для этого и создана СКДПУ НТ. Минимизация прав, персонификация учётных записей, строгая аутентификация, полная регистрация действий — всё это не дополнительные возможности системы, а её суть. Как это реализуется — подробно разбирается в подпункте 34.к). Здесь достаточно сказать одно: пункт 48 приказа №117 и PAM-система — это два описания одной и той же задачи, просто с разных сторон.

ПУНКТ 49. МОНИТОРИНГ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

СКДПУ НТ закрывает это требование через две подсистемы. СКДПУ НТ Шлюз доступа собирает события безопасности в рамках привилегированных сессий, а СКДПУ НТ Мониторинг и аналитика обеспечивает их обработку, анализ и автоматизированное выявление инцидентов. Система формирует отчёты о событиях безопасности, пригодные как для внутреннего использования офицерами ИБ, так и для представления контролирующим органам, в том числе в ФСТЭК России. Интеграция с SIEM позволяет включить данные о привилегированных сессиях в общий контур мониторинга инфраструктуры, обеспечивая полноту охвата событий безопасности.

ПУНКТЫ 52 И 54. НЕПРЕРЫВНОСТЬ ФУНКЦИОНИРОВАНИЯ И ОТКАЗОУСТОЙЧИВАЯ КОНФИГУРАЦИЯ.

Всё, что касается отказоустойчивости СКДПУ НТ содержится в пункте 34.о) — HA-кластер, катастрофоустойчивая инсталляция и резервное копирование. Пункты 52 и 54 детализируют это требование на уровне всей инфраструктуры оператора, но в части самой PAM-системы ответ тот же: СКДПУ НТ спроектирована так, чтобы не стать точкой отказа в момент, когда её работа важнее всего.

ПУНКТ 55. РЕЗЕРВНОЕ КОПИРОВАНИЕ.

Резервное копирование — это страховка на случай, когда восстановление системы становится единственным выходом. Требование предписывает не только создавать резервные копии, но и хранить их на разных типах носителей, в разных местах, а также периодически проверять саму возможность восстановления — не реже раза в два года.

СКДПУ НТ поддерживает гибкую политику резервного копирования: автоматизированное резервирование по расписанию обеспечивает регулярность без участия администратора, а ручной режим позволяет создавать копии перед плановыми изменениями или в любой момент по требованию. Резервируются как конфигурации системы, так и данные, необходимые для восстановления функций управления привилегированным доступом. Это позволяет выстроить политику резервирования в полном соответствии с внутренними регламентами оператора и обеспечить выполнение требования о периодическом тестировании восстановления.

ПУНКТ 63. БАЗОВЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ.

Требование формирует обширный перечень базовых мер, каждая из которых закрывает отдельный аспект безопасности ИС. СКДПУ НТ не претендует на покрытие всего перечня, однако вносит существенный вклад в реализацию ряда ключевых мер, о которых мы писали выше.

ПУНКТЫ 64–73. КЛАССЫ ЗАЩИЩЁННОСТИ.

Требования к классам защищённости К1, К2 и К3 предполагают применение средств защиты информации, прошедших оценку соответствия в форме сертификации. СКДПУ НТ имеет сертификат ФСТЭК России четвёртого уровня доверия, что подтверждает соответствие системы установленным требованиям безопасности и является необходимым условием её применения в государственных и иных информационных системах, подпадающих под действие приказа № 117. Наличие сертификата снимает вопрос о допустимости использования системы и упрощает прохождение аттестации для операторов.

СКДПУ НТ — не универсальный ответ на все требования приказа №117. PAM-система закрывает то, для чего создана: контроль привилегированного доступа, управление учётными записями, аудит сессий, защиту удалённых подключений. В этой зоне ответственности она работает в полную силу и закрывает требования приказа комплексно.

Там, где роль СКДПУ НТ косвенная, в игру вступает другое её сильное качество — интегрируемость. Система имеет широкую экосистему интеграций: SIEM, IDS/IPS, SOC, системы контроля конфигураций, сторонние MFA-решения, сертифицированные СЗИ. Это возможность встроить PAM-систему в уже существующую инфраструктуру защиты и многократно усилить её эффект. Данные о привилегированных сессиях обогащают картину событий в SIEM. Аномалии, выявленные IDS, получают контекст из журналов СКДПУ НТ. Смежные системы перестают работать в изоляции.

Именно в этом и состоит реальная ценность СКДПУ НТ в контексте требований приказа №117: не заменить всю систему защиты информации, а стать её надёжным ядром — тем элементом, вокруг которого может выстроиться всё остальное.