Avanpost FAM/MFA+ : 3.7. Безопасность и надёжность

Общие сведения

Продукт является средством защиты информации, обеспечивающим решение следующих задач в области информационной безопасности.

Продукт реализует следующие функциональные возможности, обеспечивающие высокий уровень защищённости при эксплуатации:

  • Многофакторная аутентификация в подключенные приложения;
  • Многофакторная аутентификацию в компоненты продукта;
  • Адаптивная контекстно-зависимая аутентификация с усложнением аутентификации и возможностью запрета доступа;
  • Идентификация устройств, с которых выполняется работа пользователей;
  • Авторизация пользователей на уровне доступа к приложениям;
  • Делегированная авторизация пользователей при помощи механизма claim-based authorization;
  • Безопасная публикация интерфейсов системы, размещённой в on-premise, в интернет через набор специализированных DMZ-компонентов; 
  • Мониторинг состояния компонентов системы;
  • Мониторинг бизнес-показателей компонентов системы;
  • Безопасное хранение учётных данных пользователей и секретов;
  • Защита от подбора пароля в процессе аутентификации;
  • Защита от подбора OTP-кодов а в процессе аутентификации;
  • Защита от перехвата секрета в рамках алгоритма TOTP при использовании функциональности усиленного TOTP;
  • Оперативное оповещение пользователей.

При разработке продукта реализуются следующие мероприятия, обеспечивающие поставку надёжного и безопасного программного обеспечения: 

  • Процесс оперативного выпуска патчей к минорным версиям;
  • Периодический процесс контроля и исправления выявленных уязвимостей;
  • Периодическое проведение пентеста (тестирования на проникновение) независимыми испытательными лабораториями;
  • Размещение продукта для открытого тестирования на багбаунти-площадках;  
  • Периодическое обновление сертификата ФСТЭК России.

Продукт соответствует следующим нормативным требованиям регуляторов Российской Федерации при использовании продукта в качестве средства защиты информации: 

Продукт соответствует стандартам в части поддержки общепринятых стандартов и протоколов:

  • OAuth 2.0/OpenID Connect;
  • SAML 2.0;
  • RADIUS.

Функции безопасности

Многофакторная аутентификация в подключенные приложения

Многофакторная аутентификация в подключенные приложения обеспечивается встроенными средствами продукта без использования внешних зависимостей, за исключением использования специфических методов аутентификации, требующих использования внешних сервисов (метод аутентификации push в Telegram) и компонентов (аутентификация по УКЭП с использованием ГОСТ при помощи КриптоПро CSP).

Многофакторная аутентификация в компоненты продукта

Все встроенные интерфейсы системы  


Адаптивная контекстно-зависимая аутентификация с усложнением аутентификации и возможностью запрета доступа


Идентификация устройств, с которых выполняется работа пользователей


Авторизация пользователей на уровне доступа к приложениям


Делегированная авторизация пользователей при помощи механизма claim-based authorization


Безопасная публикация интерфейсов системы, размещённой в on-premise, в интернет через набор специализированных DMZ-компонентов


Мониторинг состояния компонентов системы


Мониторинг бизнес-показателей работы системы


Безопасное хранение учётных данных пользователей и секретов

Шифрование секретов и одноразовых кодов

Для шифрования секретов используется алгоритм AES в режиме CBC с ключом длиной 512 бит.

Надёжно шифруется и хранится в зашифрованном виде в полях БД следующая информация:

  • Пароли учётных записей, которые требуется хранить в обратимом виде для подстановки за пользователя в режимах Reverse Proxy и Enterprise SSO;
  • Секреты OpenID Connect-приложений;
  • Секреты для TOTP;
  • Разделяемые секреты RADIUS NAS;
  • Пароли технологических УЗ для подключения к LDAP-каталогам;
  • Одноразовые коды, используемые при отправке и временно хранимые в БД:
    • OTP в SMS;
    • OTP в E-mail;
    • одноразовые коды для Avanpost Authenticator;
    • OTP в push-оповещениях, отправляемые посредством мессенджера (Telegram).

Необратимое хеширование паролей пользователей

Для защиты основных паролей, которые хранятся в БД, а также секретов, для которых не требуется восстановление, по умолчанию используется необратимое хеширование при помощи алгоритма bcrypt со значением cost равным 10.

Защита от подбора пароля в процессе аутентификации


Защита от подбора OTP-кодов а в процессе аутентификации


Защита от перехвата секрета в рамках алгоритма TOTP при использовании функциональности усиленного TOTP


Оперативное оповещение пользователей


Мероприятия по контролю безопасности продукта

Процесс оперативного выпуска патчей к минорным версиям


Периодический процесс контроля и исправления выявленных уязвимостей


Периодическое проведение пентеста (тестирования на проникновение) независимыми испытательными лабораториями


Размещение продукта для открытого тестирования на багбаунти-площадках


Периодическое обновление сертификата ФСТЭК России


Соответствие нормативным требованиям регуляторов

Соответствие ГОСТ Р 58833-2020

Соответствует ГОСТ Р 58833-2020 применительно к идентификации и аутентификации для всех уровней доверия аутентификации.

Для низкого уровня (вид аутентификации "простая аутентификация") реализует  

Соответствие 4 уровню доверия СЗИ ФСТЭК России

ПО Avanpost FAM может применяться в государственных информационных системах до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и методического документа ФСТЭК России от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах», в информационных системах персональных данных до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», в автоматизированных системах управления до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», в значимых объектах до 1 категории включительно согласно требованиям приказа ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» для реализации мер защиты:

  • ИАФ.1 «Идентификация и аутентификация пользователей, являющихся работниками оператора»;
  • ИАФ.3 «Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов»;
  • ИАФ.4 «Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации»;
  • ИАФ.5 «Защита обратной связи при вводе аутентификационной информации»;
  • ИАФ.6 «Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)»;
  • УПД.1 «Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей»;
  • УПД.2 «Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа»;
  • УПД.6 «Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)»;
  • УПД.7 «Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных»;
  • УПД.8 «Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему»;
  • УПД.9 «Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы»;
  • УПД.10 «Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу»;
  • УПД.11 «Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации»;
  • УПД.16 «Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)»;
  • РСБ.1 «Определение событий безопасности, подлежащих регистрации, и сроков их хранения»;
  • РСБ.2 «Определение состава и содержания информации о событиях безопасности, подлежащих регистрации»;
  • РСБ.3 «Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения».

Соответствие отраслевым стандартам

В части поддержки протоколов OAuth 2.0/OpenID Connect в роли Identity Provider продукт соответствует стандартам:

  • RFC 6749 - OAuth 2.0 Framework;
  • RFC 7519 - JSON Web Tokens;
  • RFC 8693 - Token Exchange;
  • RFC 7636 - Proof Key for Code Exchange;
  • RFC 9068 - JWT Profile for Access Tokens;
  • RFC 7662 - Token Introspection;
  • RFC 8252 - OAuth 2.0 for Native Apps;
  • RFC 7009 - Token Revocation;
  • RFC 8414 - Authorization Server Metadata;
  • RFC 9421 - HTTP Message Signatures;
  • OpenID Connect Core 1.0 incorporating errata set 1;
  • OpenID Connect Discovery 1.0 incorporating errata set 1.

В части поддержки протокола RADIUS в роли RADIUS Server продукт соответствует стандартам:

  • RFC 2865 - Remote Authentication Dial In User Service (RADIUS);
  • RFC 4679 - DSL Forum Vendor-Specific RADIUS Attributes.

В части поддержки протокола SAML в роли Identity Provider продукт соответствует стандартам:

  • OASIS Security Assertion Markup Language (SAML) V2.0.


Обсуждение