Avanpost FAM/MFA+ : 3.7. Безопасность

Продукт является средством защиты информации, реализующим целый ряд функций безопасности.

Продукт обеспечивает следующие функциональные возможности, обеспечивающими высокий уровень безопасности при эксплуатации:

  • Многофакторную аутентификацию в подключенные приложения;
  • Многофакторную аутентификацию в компоненты системы;
  • Мониторинг состояния компонентов системы;
  • Мониторинг бизнес-показателей компонентов системы;
  • Безопасное хранение учётных данных пользователей и секретов;
  • Защиту от подбора пароля в процессе аутентификации;
  • Защиту от подбора OTP-кодов а в процессе аутентификации;
  • Защиту от перехвата секрета в рамках алгоритма TOTP при использовании функциональности усиленного TOTP;
  • Оперативное оповещение 

Продукт соответствует следующим нормативным требованиям регуляторов Российской Федерации:

Продукт соответствует стандартам в части поддержки общепринятых стандартов и протоколов:

  • OAuth 2.0/OpenID Connect;
  • SAML 2.0;
  • RADIUS;


Функции безопасности

Многофакторная аутентификация в подключенные приложения

Многофакторная аутентификация в подключенные приложения обеспечивается встроенными средствами продукта.

Функциональность многофакторной аутентификации, реализованная в продукте, учитывает актуальные на сегодняшний день требования информационной безопасности 

Многофакторная аутентификация в компоненты системы


Мониторинг состояния компонентов системы


Мониторинг бизнес-показателей работы системы


Безопасное хранение учётных данных пользователей и секретов

Шифрование секретов и одноразовых кодов

Для шифрования секретов используется алгоритм AES в режиме CBC с ключом длиной 512 бит.

Надёжно шифруется и хранится в зашифрованном виде в полях БД следующая информация:

  • Пароли учётных записей, которые требуется хранить в обратимом виде для подстановки за пользователя в режимах Reverse Proxy и Enterprise SSO;
  • Секреты OpenID Connect-приложений;
  • Секреты для TOTP;
  • Разделяемые секреты RADIUS NAS;
  • Пароли технологических УЗ для подключения к LDAP-каталогам;
  • Одноразовые коды, используемые при отправке и временно хранимые в БД:
    • OTP в SMS;
    • OTP в E-mail;
    • одноразовые коды для Avanpost Authenticator;
    • OTP в push-оповещениях, отправляемые посредством мессенджера (Telegram).

Необратимое хеширование паролей пользователей

Для защиты основных паролей, которые хранятся в БД, а также секретов, для которых не требуется восстановление, по умолчанию используется необратимое хеширование при помощи алгоритма bcrypt со значением cost равным 10.

Соответствие нормативным требованиям регуляторов

Соответствие 4 уровню доверия СЗИ ФСТЭК России

ПО Avanpost FAM может применяться в государственных информационных системах до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и методического документа ФСТЭК России от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах», в информационных системах персональных данных до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», в автоматизированных системах управления до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», в значимых объектах до 1 категории включительно согласно требованиям приказа ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» для реализации мер защиты:

  • ИАФ.1 «Идентификация и аутентификация пользователей, являющихся работниками оператора»;
  • ИАФ.3 «Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов»;
  • ИАФ.4 «Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации»;
  • ИАФ.5 «Защита обратной связи при вводе аутентификационной информации»;
  • ИАФ.6 «Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)»;
  • УПД.1 «Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей»;
  • УПД.2 «Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа»;
  • УПД.6 «Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)»;
  • УПД.7 «Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных»;
  • УПД.8 «Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему»;
  • УПД.9 «Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы»;
  • УПД.10 «Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу»;
  • УПД.11 «Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации»;
  • УПД.16 «Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)»;
  • РСБ.1 «Определение событий безопасности, подлежащих регистрации, и сроков их хранения»;
  • РСБ.2 «Определение состава и содержания информации о событиях безопасности, подлежащих регистрации»;
  • РСБ.3 «Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения».

Соответствие отраслевым стандартам

В части поддержки протоколов OAuth 2.0/OpenID Connect в роли IdP/SP продукт соответствует стандартам:

  • RFC 6749 - OAuth 2.0 Framework;
  • RFC 7519 - JSON Web Tokens;
  • RFC 8693 - Token Exchange;
  • RFC 7636 - Proof Key for Code Exchange;
  • RFC 9068 - JWT Profile for Access Tokens;
  • RFC 7662 - Token Introspection;
  • RFC 8252 - OAuth 2.0 for Native Apps;
  • RFC 7009 - Token Revocation;
  • RFC 8414 - Authorization Server Metadata;
  • RFC 9421 - HTTP Message Signatures;
  • OpenID Connect Core 1.0 incorporating errata set 1;
  • OpenID Connect Discovery 1.0 incorporating errata set 1.

В части поддержки протокола RADIUS в роли RADIUS Server продукт соответствует стандартам:

  • RFC 2865 - Remote Authentication Dial In User Service (RADIUS);
  • RFC 4679 - DSL Forum Vendor-Specific RADIUS Attributes.

В части поддержки протокола SAML продукт соответствует стандартам:

Обсуждение