Блог

Как Infrascope PAM помогает выполнять требования приказа ФСТЭК №117

11 апреля 2025 принят новый Приказ ФСТЭК России от 11.04.2025 N 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Приказ вступает в силу 1 марта 2026 года. Он пришел на смену Приказу №17, который был принят ещё в 2013 году. За это время требования к информационной безопасности и методы защиты изменились и, чтобы идти в ногу со временем, потребовалось учесть все текущие тренды кибербезопасности, вышедшие за этот промежуток времени ГОСТы и другие нормативные и методические документы, которые были выпущены за 12 лет его существования.
Новый приказ актуализирует и расширяет требования к защите информации, синхронизируется с другими нормативными актами и ГОСТами, расширяет область применения требований, усиливает требования к отчётности и контролю. А самое главное, что в нём изменилось, – подход к построению системы защиты. В 17-м приказе основной акцент делался на перечне базовых мер безопасности, что приводило к формальному исполнению требований без учёта реальных угроз и особенностей конкретной системы. В новом приказе акцент смещается на учёт целей защиты информации, актуальных угроз, архитектурных особенностей систем и возможных негативных событий, что способствует более гибкому и осознанному построению системы защиты.

В этой статье мы предлагаем рассмотреть, какие требования заложены в приказе ФСТЭК России №117 по контролю за привилегированным доступом и как Infascope помогает их обеспечивать.

Все администраторы под контролем

Infrascope — современная платформа управления доступом с расширенными функциями мониторинга, хранения учётных данных, регистрации действий пользователей и безопасного взаимодействия с подрядчиками. Система предотвращает внешние и внутренние угрозы, автоматизирует рутинные операции по управлению привилегированным доступом, позволяет контролировать действия пользователей и реагировать на нарушения в реальном времени.

Одной из базовых задач, решаемых Infrascope, является исключение неконтролируемого распространения прав администратора. В любой корпоративной системе критически важно, чтобы доступ к ИТ-ресурсам получали только те сотрудники, для которых это действительно необходимо. В Infrascope доступ реализуется не напрямую, а через систему проксирования и централизованного контроля, где администраторы или подрядчики не знают логин и пароль от целевой системы. Это позволяет исключить использование привилегированных прав в обход регламентов или за пределами отведенного времени.
Источник изображения: Freepik.com
Для выдачи прав доступа в системе используются централизованно управляемые привилегированные учетные записи. Каждая такая запись не является личной, а привязывается к политике и рабочему сценарию. Если доступ выдает сотрудник службы ИБ или IT, он делает это через систему, в которой четко зафиксировано, когда, кому и зачем была выдана привилегия. Infrascope позволяет встраивать такие процедуры во внутренние процессы организации с помощью функционала согласования заявок на доступ, а также обеспечивать более глубокую автоматизацию с помощью модуля автоматизации задач (PTAM). Модуль PTAM позволяет автоматизировать выполнение различных задач без непосредственного доступа привилегированного пользователя к конечному устройству. Задачи могут быть различных типов, начиная от создания шаблонов однострочных команд и заканчивая выполнением сложных разветвлённых и цикличных workflow, состоящих из нескольких скриптов.

Важно, что Infrascope реализует концепцию минимизации прав. Это значит, что учётной записи можно предоставить строго ограниченный набор возможностей: доступ к выполнению определенного набора команд на конечном устройстве или ограничение выполнения опасных команд, доступ к конкретной базе данных или в определённое время суток, просто доступ на время выполнения работ и все. Такое поведение согласуется с моделью наименьших привилегий, предусмотренной 117-м Приказом.

Отдельно хотелось бы отметить акцент ФСТЭК на использовании строгой аутентификации при осуществлении привилегированного доступа. В версии 24.1 Infrascope, которая вышла совсем недавно, реализована поддержка FIDO2 протокола, для осуществления многофакторной аутентификации. Это позволяет использовать MFA-токены в том числе отечественные Рутокен MFA, Yubikey в качестве 2 фактора при доступе веб-интерфейсу Infrascope, тем самым обеспечив реализацию строгой аутентификации в продукте.
Ещё один принцип, закрепленный в приказе, — это обязательная персонификация действий. Infrascope не только фиксирует, кто получил доступ, но и записывает весь сеанс работы пользователя — как в текстовом виде (выполняемые команды), так и в формате видео. Более того, сессии можно ограничивать в реальном времени, если обнаружены отклонения от заданных сценариев. Например, попытка выполнить недопустимую команду может автоматически заблокировать пользователя и уведомить службу ИБ. Также предусмотрена возможность подключиться в сессию пользователя для помощи или контроля его действий. Таким образом, даже если злоумышленник получил доступ к корпоративной системе через Infrascope, он не сможет воспользоваться ею незаметно.

Разграничение ролей и контроль подрядчиков

Система позволяет четко разграничивать роли пользователей. При подключении пользователю будут доступны только те конечные системы и те учетные записи, права на которые были выданы ему администратором системы. Гибкая система настройки ролей позволяет Infrascope создать отдельные учетные записи для администрирования ИТ-систем, разработки программного обеспечения или управления системами ИБ. Если нужно протестировать систему, доступ предоставляется только к изолированной тестовой площадке — в рамках строго регламентированных и технически отделенных ресурсов, на определённый период времени, с учетом геолокации, на основании созданного запроса.

Infrascope поддерживает политику управления встроенными учетными записями на контролируемых устройствах. Такие учётки автоматически получают уникальные пароли, которые регулярно ротируются. Менеджер паролей обеспечивает централизованное безопасное хранение паролей, позволяет предотвратить кражу или несанкционированный обмен паролями. При использовании встроенных учетных записей система автоматически подставляет пароль, так что пользователь никогда его не узнает и не сможет скомпрометировать. Функционал менеджера паролей доступен для вызова через API, поддерживаются различные сценарии интеграции с существующими в инфраструктуре решениями.
Источник изображения: Freepik.com
В контексте взаимодействия с подрядчиками Infrascope играет критически важную роль. В большинстве организаций сотрудники подрядчиков используют VPN или jump-серверы, чтобы подключиться к внутренним ресурсам. Однако такая модель не исключает копирование конфиденциальной информации или её несанкционированное использование. Infrascope заменяет подобные схемы на безопасные RDP- и SSH-прокси, где весь трафик проходит через контролируемый шлюз. Подрядчик не получает прямого доступа, и весь сеанс работы записывается. Кроме того, можно настроить политику, при которой в сессии доступа к базам данных автоматически маскируются поля с персональными данными или критичной информацией — например, номера счетов, персональные данные или пароли.

И наконец, система обеспечивает полную регистрацию действий пользователей на конечных устройствах и внутри себя самой. Infrascope не просто фиксирует события входа и выхода — он хранит, индексирует и позволяет анализировать каждое действие пользователя. Это особенно важно при разборе инцидентов или аудите. В Infrascope реализован удобный полнотекстовый поиск по сохраняемым данным о сессии. Все логи, хранящиеся в системе, могут быть использованы для формирования любых кастомизированных отчетов. Отчёты могут формироваться по расписанию (например, в конце недели) или системным триггерам (например, после сработки политик), могут быть выгружены из системы в формате PDF либо отправлены на почту ответственному менеджеру.
Infrascope полностью соответствует требованиям 117 Приказа. Он обеспечивает изоляцию доступа, строгую аутентификацию, персонификацию действий, контроль над встроенными учетными записями и полную управляемость при взаимодействии с подрядными организациями. Решение позволяет не просто удовлетворить формальным нормам, а выстроить надежную и гибкую архитектуру безопасности, адаптированную под текущие реалии угроз.
Автор: Алексей Дашков, директор центра развития продуктов NGR Softlab