Общие сведения
Продукт является средством защиты информации, обеспечивающим решение следующих задач в области информационной безопасности.
Продукт реализует следующие функциональные возможности, обеспечивающие высокий уровень защищённости при эксплуатации:
- Многофакторная аутентификация в подключенные приложения;
- Многофакторная аутентификацию в компоненты продукта;
- Адаптивная контекстно-зависимая аутентификация с усложнением аутентификации и возможностью запрета доступа;
- Идентификация устройств, с которых выполняется работа пользователей;
- Авторизация пользователей на уровне доступа к приложениям;
- Делегированная авторизация пользователей при помощи механизма claim-based authorization;
- Безопасная публикация интерфейсов системы, размещённой в on-premise, в интернет через набор специализированных DMZ-компонентов;
- Мониторинг состояния компонентов системы;
- Мониторинг бизнес-показателей компонентов системы;
- Безопасное хранение учётных данных пользователей и секретов;
- Защита от подбора пароля в процессе аутентификации;
- Защита от подбора OTP-кодов а в процессе аутентификации;
- Защита от перехвата секрета в рамках алгоритма TOTP при использовании функциональности усиленного TOTP;
- Оперативное оповещение пользователей.
При разработке продукта реализуются следующие мероприятия, обеспечивающие поставку надёжного и безопасного программного обеспечения:
- Процесс оперативного выпуска патчей к минорным версиям;
- Периодический процесс контроля и исправления выявленных уязвимостей;
- Периодическое проведение пентеста (тестирования на проникновение) независимыми испытательными лабораториями;
- Размещение продукта для открытого тестирования на багбаунти-площадках;
- Периодическое обновление сертификата ФСТЭК России.
Продукт соответствует следующим нормативным требованиям регуляторов Российской Федерации при использовании продукта в качестве средства защиты информации:
- Соответствует ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация»;
- Сертифицирован ФСТЭК России на соответствие 4 уровню доверия по новым требованиям под регистрационным номером 4492 (срок действия сертификата с 13.12.2021 по 13.12.2026);
- Содержится в реестре отечественного ПО под регистрационным номером ПО 6824.
Продукт соответствует стандартам в части поддержки общепринятых стандартов и протоколов:
- OAuth 2.0/OpenID Connect;
- SAML 2.0;
- RADIUS.
Функции безопасности
Многофакторная аутентификация в подключенные приложения
Многофакторная аутентификация в подключенные приложения обеспечивается встроенными средствами продукта без использования внешних зависимостей, за исключением использования специфических методов аутентификации, требующих использования внешних сервисов (метод аутентификации push в Telegram) и компонентов (аутентификация по УКЭП с использованием ГОСТ при помощи КриптоПро CSP).
Многофакторная аутентификация в компоненты продукта
Все встроенные интерфейсы системы
Адаптивная контекстно-зависимая аутентификация с усложнением аутентификации и возможностью запрета доступа
Идентификация устройств, с которых выполняется работа пользователей
Авторизация пользователей на уровне доступа к приложениям
Делегированная авторизация пользователей при помощи механизма claim-based authorization
Безопасная публикация интерфейсов системы, размещённой в on-premise, в интернет через набор специализированных DMZ-компонентов
Мониторинг состояния компонентов системы
Мониторинг бизнес-показателей работы системы
Безопасное хранение учётных данных пользователей и секретов
Шифрование секретов и одноразовых кодов
Для шифрования секретов используется алгоритм AES в режиме CBC с ключом длиной 512 бит.
Надёжно шифруется и хранится в зашифрованном виде в полях БД следующая информация:
- Пароли учётных записей, которые требуется хранить в обратимом виде для подстановки за пользователя в режимах Reverse Proxy и Enterprise SSO;
- Секреты OpenID Connect-приложений;
- Секреты для TOTP;
- Разделяемые секреты RADIUS NAS;
- Пароли технологических УЗ для подключения к LDAP-каталогам;
- Одноразовые коды, используемые при отправке и временно хранимые в БД:
- OTP в SMS;
- OTP в E-mail;
- одноразовые коды для Avanpost Authenticator;
- OTP в push-оповещениях, отправляемые посредством мессенджера (Telegram).
Необратимое хеширование паролей пользователей
Для защиты основных паролей, которые хранятся в БД, а также секретов, для которых не требуется восстановление, по умолчанию используется необратимое хеширование при помощи алгоритма bcrypt со значением cost равным 10.
Защита от подбора пароля в процессе аутентификации
Защита от подбора OTP-кодов а в процессе аутентификации
Защита от перехвата секрета в рамках алгоритма TOTP при использовании функциональности усиленного TOTP
Оперативное оповещение пользователей
Мероприятия по контролю безопасности продукта
Процесс оперативного выпуска патчей к минорным версиям
Периодический процесс контроля и исправления выявленных уязвимостей
Периодическое проведение пентеста (тестирования на проникновение) независимыми испытательными лабораториями
Размещение продукта для открытого тестирования на багбаунти-площадках
Периодическое обновление сертификата ФСТЭК России
Соответствие нормативным требованиям регуляторов
Соответствие ГОСТ Р 58833-2020
Соответствует ГОСТ Р 58833-2020 применительно к идентификации и аутентификации для всех уровней доверия аутентификации.
Для низкого уровня (вид аутентификации "простая аутентификация") реализует
Соответствие 4 уровню доверия СЗИ ФСТЭК России
ПО Avanpost FAM может применяться в государственных информационных системах до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и методического документа ФСТЭК России от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах», в информационных системах персональных данных до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», в автоматизированных системах управления до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», в значимых объектах до 1 категории включительно согласно требованиям приказа ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» для реализации мер защиты:
- ИАФ.1 «Идентификация и аутентификация пользователей, являющихся работниками оператора»;
- ИАФ.3 «Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов»;
- ИАФ.4 «Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации»;
- ИАФ.5 «Защита обратной связи при вводе аутентификационной информации»;
- ИАФ.6 «Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)»;
- УПД.1 «Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей»;
- УПД.2 «Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа»;
- УПД.6 «Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)»;
- УПД.7 «Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных»;
- УПД.8 «Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему»;
- УПД.9 «Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы»;
- УПД.10 «Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу»;
- УПД.11 «Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации»;
- УПД.16 «Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)»;
- РСБ.1 «Определение событий безопасности, подлежащих регистрации, и сроков их хранения»;
- РСБ.2 «Определение состава и содержания информации о событиях безопасности, подлежащих регистрации»;
- РСБ.3 «Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения».
Соответствие отраслевым стандартам
В части поддержки протоколов OAuth 2.0/OpenID Connect в роли Identity Provider продукт соответствует стандартам:
- RFC 6749 - OAuth 2.0 Framework;
- RFC 7519 - JSON Web Tokens;
- RFC 8693 - Token Exchange;
- RFC 7636 - Proof Key for Code Exchange;
- RFC 9068 - JWT Profile for Access Tokens;
- RFC 7662 - Token Introspection;
- RFC 8252 - OAuth 2.0 for Native Apps;
- RFC 7009 - Token Revocation;
- RFC 8414 - Authorization Server Metadata;
- RFC 9421 - HTTP Message Signatures;
- OpenID Connect Core 1.0 incorporating errata set 1;
- OpenID Connect Discovery 1.0 incorporating errata set 1.
В части поддержки протокола RADIUS в роли RADIUS Server продукт соответствует стандартам:
- RFC 2865 - Remote Authentication Dial In User Service (RADIUS);
- RFC 4679 - DSL Forum Vendor-Specific RADIUS Attributes.
В части поддержки протокола SAML в роли Identity Provider продукт соответствует стандартам:
- OASIS Security Assertion Markup Language (SAML) V2.0.