Продукт является средством защиты информации, реализующим целый ряд функций безопасности.
Продукт обеспечивает следующие функциональные возможности, обеспечивающими высокий уровень безопасности при эксплуатации:
- Многофакторную аутентификацию в подключенные приложения;
- Многофакторную аутентификацию в компоненты системы;
- Мониторинг состояния компонентов системы;
- Мониторинг бизнес-показателей компонентов системы;
- Безопасное хранение учётных данных пользователей и секретов;
- Защиту от подбора пароля в процессе аутентификации;
- Защиту от подбора OTP-кодов а в процессе аутентификации;
- Защиту от перехвата секрета в рамках алгоритма TOTP при использовании функциональности усиленного TOTP;
- Оперативное оповещение
Продукт соответствует следующим нормативным требованиям регуляторов Российской Федерации:
- Сертифицирован ФСТЭК России на соответствие 4 уровню доверия по новым требованиям под регистрационным номером 4492 (срок действия сертификата с 13.12.2021 по 13.12.2026);
- Содержится в реестре отечественного ПО под регистрационным номером ПО 6824.
Продукт соответствует стандартам в части поддержки общепринятых стандартов и протоколов:
- OAuth 2.0/OpenID Connect;
- SAML 2.0;
- RADIUS;
Функции безопасности
Многофакторная аутентификация в подключенные приложения
Многофакторная аутентификация в подключенные приложения обеспечивается встроенными средствами продукта.
Функциональность многофакторной аутентификации, реализованная в продукте, учитывает актуальные на сегодняшний день требования информационной безопасности
Многофакторная аутентификация в компоненты системы
Мониторинг состояния компонентов системы
Мониторинг бизнес-показателей работы системы
Безопасное хранение учётных данных пользователей и секретов
Шифрование секретов и одноразовых кодов
Для шифрования секретов используется алгоритм AES в режиме CBC с ключом длиной 512 бит.
Надёжно шифруется и хранится в зашифрованном виде в полях БД следующая информация:
- Пароли учётных записей, которые требуется хранить в обратимом виде для подстановки за пользователя в режимах Reverse Proxy и Enterprise SSO;
- Секреты OpenID Connect-приложений;
- Секреты для TOTP;
- Разделяемые секреты RADIUS NAS;
- Пароли технологических УЗ для подключения к LDAP-каталогам;
- Одноразовые коды, используемые при отправке и временно хранимые в БД:
- OTP в SMS;
- OTP в E-mail;
- одноразовые коды для Avanpost Authenticator;
- OTP в push-оповещениях, отправляемые посредством мессенджера (Telegram).
Необратимое хеширование паролей пользователей
Для защиты основных паролей, которые хранятся в БД, а также секретов, для которых не требуется восстановление, по умолчанию используется необратимое хеширование при помощи алгоритма bcrypt со значением cost равным 10.
Соответствие нормативным требованиям регуляторов
Соответствие 4 уровню доверия СЗИ ФСТЭК России
ПО Avanpost FAM может применяться в государственных информационных системах до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и методического документа ФСТЭК России от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах», в информационных системах персональных данных до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», в автоматизированных системах управления до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», в значимых объектах до 1 категории включительно согласно требованиям приказа ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» для реализации мер защиты:
- ИАФ.1 «Идентификация и аутентификация пользователей, являющихся работниками оператора»;
- ИАФ.3 «Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов»;
- ИАФ.4 «Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации»;
- ИАФ.5 «Защита обратной связи при вводе аутентификационной информации»;
- ИАФ.6 «Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)»;
- УПД.1 «Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей»;
- УПД.2 «Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа»;
- УПД.6 «Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)»;
- УПД.7 «Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных»;
- УПД.8 «Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему»;
- УПД.9 «Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы»;
- УПД.10 «Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу»;
- УПД.11 «Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации»;
- УПД.16 «Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)»;
- РСБ.1 «Определение событий безопасности, подлежащих регистрации, и сроков их хранения»;
- РСБ.2 «Определение состава и содержания информации о событиях безопасности, подлежащих регистрации»;
- РСБ.3 «Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения».
Соответствие отраслевым стандартам
В части поддержки протоколов OAuth 2.0/OpenID Connect в роли IdP/SP продукт соответствует стандартам:
- RFC 6749 - OAuth 2.0 Framework;
- RFC 7519 - JSON Web Tokens;
- RFC 8693 - Token Exchange;
- RFC 7636 - Proof Key for Code Exchange;
- RFC 9068 - JWT Profile for Access Tokens;
- RFC 7662 - Token Introspection;
- RFC 8252 - OAuth 2.0 for Native Apps;
- RFC 7009 - Token Revocation;
- RFC 8414 - Authorization Server Metadata;
- RFC 9421 - HTTP Message Signatures;
- OpenID Connect Core 1.0 incorporating errata set 1;
- OpenID Connect Discovery 1.0 incorporating errata set 1.
В части поддержки протокола RADIUS в роли RADIUS Server продукт соответствует стандартам:
- RFC 2865 - Remote Authentication Dial In User Service (RADIUS);
- RFC 4679 - DSL Forum Vendor-Specific RADIUS Attributes.
В части поддержки протокола SAML продукт соответствует стандартам: