3.8. Безопасность и надёжность

Общие сведения

Продукт является СЗИ (средством защиты информации), обеспечивающим решение задач, связанных с идентификацией, аутентификацией и авторизацией пользователей в любые подключенные приложения, ресурсы и системы.

Продукт реализует следующие функциональные возможности, обеспечивающие высокий уровень защищённости при эксплуатации:

• Многофакторная аутентификация в подключенные приложения;
• Многофакторная аутентификацию в компоненты продукта;
• Адаптивная контекстно-зависимая аутентификация с усложнением аутентификации и возможностью запрета доступа;
• Идентификация устройств, с которых выполняется работа пользователей;
• Авторизация пользователей на уровне доступа к приложениям;
• Делегированная авторизация пользователей при помощи механизма claim-based authorization;
• Безопасная публикация интерфейсов системы, размещённой в on-premise, в интернет через набор специализированных DMZ-компонентов; 
• Мониторинг состояния компонентов системы;
• Мониторинг бизнес-показателей компонентов системы;
• Безопасное хранение учётных данных пользователей и секретов;
• Защита от подбора пароля в процессе аутентификации;
• Защита от подбора OTP-кодов в процессе аутентификации;
• Защита от перехвата секрета в рамках алгоритма TOTP при использовании функциональности усиленного TOTP;
• Взаимная двусторонняя аутентификация и авторизация компонентов при взаимодействиях;
• Оперативное оповещение пользователей.

При разработке продукта реализуются следующие мероприятия, обеспечивающие поставку надёжного и безопасного программного обеспечения: 

• Процесс оперативного выпуска патчей к минорным версиям;
• Периодический процесс контроля и исправления выявленных уязвимостей;
• Периодическое проведение пентеста (тестирования на проникновение) независимыми испытательными лабораториями;
• Размещение продукта для открытого тестирования на багбаунти-площадках;  
• Периодическое обновление сертификата ФСТЭК России.

Продукт соответствует следующим нормативным требованиям регуляторов Российской Федерации при использовании продукта в качестве средства защиты информации: 

• Соответствует ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация»;
• Сертифицирован ФСТЭК России на соответствие 4 уровню доверия по новым требованиям под регистрационным номером 4492 (срок действия сертификата с 13.12.2021 по 13.12.2026);
• Содержится в реестре отечественного ПО под регистрационным номером ПО 6824.

Продукт соответствует стандартам в части поддержки общепринятых стандартов и протоколов:

• OAuth 2.0/OpenID Connect;
• SAML 2.0;
• RADIUS.

Функции безопасности

Многофакторная/двухфакторная аутентификация в подключенные приложения

Многофакторная, или как частный случай - двухфакторная аутентификация в подключенные приложения обеспечивается встроенными средствами продукта без использования внешних зависимостей. Исключение составляют  специфические методов аутентификации, в обязательном порядке требующие использования внешних сервисов (метод аутентификации push в Telegram, требующий использования Telegram Bot API, метод аутентификации OTP по SMS, требующий использования внешнего SMS-шлюза) и компонентов (аутентификация по УКЭП с использованием ГОСТ, требующая использования криптопровайдера КриптоПро CSP).

Подробнее о возможностях многофакторной аутентификации продукта:

• Обзор доступных методов аутентификации
• Инструкция по настройке процессов аутентификации со стороны администратора

Многофакторная/двухфакторная аутентификация в компоненты продукта

В составе продукта поставляется набор пользовательских интерфейсов (административная консоль, личный кабинет, десктопный клиент), которые используют встроенный функционал многофакторной аутентификации. Таким образом можно настроить необходимые сценарии аутентификации как для пользователей, так и для администраторов, используя функциональные возможности продукта.

Усиленная аутентификация

Строгая аутентификация

Адаптивная контекстно-зависимая аутентификация с усложнением аутентификации и возможностью запрета доступа

Продукт предоставляет возможность определения сценария аутентификации динамически исходя из различных контекстных признаков:

• Атрибутов пользователя, как основных, так и дополнительных;
• Прав доступа пользователя:
  • Наличия членства в группах;
  • Наличия ролей.
• Атрибутов приложения:
  • Идентификатор приложения.
• Атрибутов сессии:
  • Проверенных в рамках текущей сессии методы аутентификации;
• Атрибутов других сессий пользователя:
  • Проверенных в рамках других сессий методов аутентификации.

Контекстно зависимая-аутентификация настраивается посредством применения скрипта MFA и описана в инструкции по разработке скрипта MFA.

Идентификация устройств, с которых выполняется работа пользователей

Продукт предоставляет функционал регистрации и последующей идентификации пользовательских устройств (АРМ/компьютеров, смартфонов, серверов и т.д.). Далее на основе профиля устройства и профиля работы пользователя с данного устройства эти сведения могут использоваться для усложнения/упрощения сценария MFA, обеспечения SSO и запрета устройства.

Также на основе регистрации и идентификации устройств работает механизм запоминания пользователя на устройстве.

Пользователям доступна возможность пометки устройства как скомпрометированного с последующим автоматизированным реагированием на данное событие со стороны продукта.

Подробнее функционал идентификации и регистрации устройств описан в инструкции по управлению устройствами для администратора.

Защита от подбора пароля в процессе аутентификации

В продукте реализован ряд функций безопасности для защиты пароля от подбора.

Защита от подбора OTP-кодов а в процессе аутентификации

Защита от перехвата секрета в рамках алгоритма TOTP при использовании функциональности усиленного TOTP

Авторизация пользователей на уровне доступа к приложениям

Продукт реализует функционал авторизации на уровне доступа пользователей к приложениям через группы.

Если пользователь не имеет доступа к указанному приложению, то продукт предотвратит попытку доступа.

Проверка прав доступа осуществляется только после успешно пройденной аутентификации. 

Авторизация пользователей на уровне делегирования прав доступа в целевое приложение

Безопасная публикация интерфейсов системы, размещённой в on-premise, в интернет через набор специализированных DMZ-компонентов

Мониторинг состояния компонентов системы

Продукт предоставляет несколько уровней мониторинга состояния системы аутентификации:

• Контроль технических показателей работы служб компонентов (метрики liveness и readiness во всех устанавливаемых серверных компонентах).

Мониторинг бизнес-показателей работы системы

Безопасное хранение учётных данных пользователей и секретов

Шифрование секретов и одноразовых кодов

Для шифрования секретов используется алгоритм AES в режиме CBC с ключом длиной 512 бит.

Надёжно шифруется и хранится в зашифрованном виде в полях БД следующая информация:

• Пароли учётных записей, которые требуется хранить в обратимом виде для подстановки за пользователя в режимах Reverse Proxy и Enterprise SSO;
• Секреты OpenID Connect-приложений;
• Секреты для TOTP;
• Разделяемые секреты RADIUS NAS;
• Пароли технологических УЗ для подключения к LDAP-каталогам;
• Одноразовые коды, используемые при отправке и временно хранимые в БД:
  • OTP в SMS;
  • OTP в E-mail;
  • одноразовые коды для Avanpost Authenticator;
  • OTP в push-оповещениях, отправляемые посредством мессенджера (Telegram).

Необратимое хеширование паролей пользователей

Для защиты основных паролей, которые хранятся в БД, а также секретов, для которых не требуется восстановление, по умолчанию используется необратимое хеширование при помощи алгоритма bcrypt со значением cost равным 10.

Оперативное оповещение пользователей

Журналироваине и отправка во внешние системы событий безопасности

Мероприятия по контролю безопасности продукта

Процесс оперативного выпуска патчей к минорным версиям

Патчи выпускаются в среднем 1 раз в 2-3 недели к текущему минорному релизу и предыдущему минорному релизу.

Информация о выпущенных патчах публикуется на текущем ресурсе в разделе Release Notes по соответствующим компонентам.

Периодический процесс контроля и исправления выявленных уязвимостей

Раз в месяц осуществляется внутренний контроль наличия уязвимостей, рассылка и публикация в БДУ ФСТЭК.

Периодическое проведение анализа защищённости/пентеста независимыми испытательными лабораториями

Раз в год осуществляется анализ защищённости приложения независимыми сторонними испытательными лабораториями.

Размещение продукта для открытого тестирования на багбаунти-площадках

Периодическое обновление сертификата ФСТЭК России

Соответствие нормативным требованиям регуляторов

Соответствие ГОСТ Р 58833-2020

Соответствует ГОСТ Р 58833-2020 применительно к идентификации и аутентификации для всех уровней доверия аутентификации.

Соответствие 4 уровню доверия ФСТЭК России

ПО Avanpost FAM может применяться в государственных информационных системах до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и методического документа ФСТЭК России от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах», в информационных системах персональных данных до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», в автоматизированных системах управления до 1 класса защищенности включительно согласно требованиям приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», в значимых объектах до 1 категории включительно согласно требованиям приказа ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» для реализации мер защиты:

• ИАФ.1 «Идентификация и аутентификация пользователей, являющихся работниками оператора»;
• ИАФ.3 «Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов»;
• ИАФ.4 «Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации»;
• ИАФ.5 «Защита обратной связи при вводе аутентификационной информации»;
• ИАФ.6 «Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)»;
• УПД.1 «Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей»;
• УПД.2 «Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа»;
• УПД.6 «Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)»;
• УПД.7 «Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных»;
• УПД.8 «Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему»;
• УПД.9 «Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы»;
• УПД.10 «Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу»;
• УПД.11 «Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации»;
• УПД.16 «Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)»;
• РСБ.1 «Определение событий безопасности, подлежащих регистрации, и сроков их хранения»;
• РСБ.2 «Определение состава и содержания информации о событиях безопасности, подлежащих регистрации»;
• РСБ.3 «Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения».

Соответствие стандарту Банка России СТО БР ФАПИ.СЕК-1.6-2024

Соответствие отраслевым стандартам

В части поддержки протоколов OAuth 2.0/OpenID Connect в роли Identity Provider продукт соответствует стандартам:

• RFC 6749 - OAuth 2.0 Framework;
• RFC 7519 - JSON Web Tokens;
• RFC 8693 - Token Exchange;
• RFC 7636 - Proof Key for Code Exchange;
• RFC 9068 - JWT Profile for Access Tokens;
• RFC 7662 - Token Introspection;
• RFC 8252 - OAuth 2.0 for Native Apps;
• RFC 7009 - Token Revocation;
• RFC 8414 - Authorization Server Metadata;
• RFC 9421 - HTTP Message Signatures;
• OpenID Connect Core 1.0 incorporating errata set 1;
• OpenID Connect Discovery 1.0 incorporating errata set 1.

В части поддержки протокола RADIUS в роли RADIUS Server продукт соответствует стандартам:

• RFC 2865 - Remote Authentication Dial In User Service (RADIUS);
• RFC 4679 - DSL Forum Vendor-Specific RADIUS Attributes.

В части поддержки протокола SAML в роли Identity Provider продукт соответствует стандартам:

• OASIS Security Assertion Markup Language (SAML) V2.0.