Спрут IAM 1.0.0 Help

1. Концепция «Спрут IAM»

Спрут IAM — это сертифицированный отечественный продукт класса IAM (Identity and Access Management или Управление идентификацией и доступом), предназначенный для использования в государственных и ведомственных информационных системах, аттестованных ФСТЭК, реализующий меры защиты ИАФ 1, 3, 4, 5, 6; УПД 1, 2, 4, 5, 6, 9, 10, 11; и РСБ 3 с усилениями вплоть до 1-го класса защищенности.

Уникальный механизм встраивания Спрут IAM в прикладное программное обеспечение изолирует прикладной программный код от реализации функций защиты информации. Это означает, что доработка прикладного программного обеспечения теперь может выполняться на регулярной основе, без необходимости постоянной сертификации релизов в системе ФСТЭК.

Возможности

Спрут IAM — это сертифицированное ФСТЭК средство защиты информации, позволяющее организовать выполнение следующих функций для одного или нескольких приложений:

  1. Ведение учётных записей пользователей и технических сервисов информационной системы (субъектов доступа), а также управление доступами и полномочиями к защищаемым ресурсам информационной системы (объектам доступа), в том числе с разделением доступа по организациям для мультитенантного режима.

  2. Безопасную аутентификацию (то есть подтверждение личности пользователя, связанного с учетной записью) и авторизацию (проверку полномочий на доступ к защищаемым ресурсам, связанным с учетной записью) по протоколам OAuth 2.0 и OpenID Connect, включая возможность SSO (Single Sign-on).

  3. Централизованный контроль политик безопасности, включающий требования к паролям, активным сессиям, методам авторизации, включая WebAuthn, LDAP, ЕСИА, СберID, ЯндексID, VK ID, подтвержденный e-mail, сертификат электронной подписи, а также 2FA (второму фактору) в виде кодов OTP/TOTP.

  4. Аудит событий безопасности (в журнале регистрации) по фактам получения доступа к учетным записям, централизованное управление текущими сессиями, автоматическое отслеживание активности и блокировку учетных записей и сеансов в соответствии с установленными политиками безопасности.

Эффекты

Внедрение Спрут IAM в качестве "наложенного" средства защиты информации позволяет закрыть требования регулятора к реализации в информационной системе функций защиты информации (ИАФ 1, 3, 4; УПД 1, 2, 9, 10; и РСБ 3 с усилениями) с помощью единственного продукта, без необходимости сертифицировать прикладное программное обеспечение.

В результате внедрения обеспечивается достижение следующих эффектов:

  • Руководителям: значительная экономия времени и ресурсов за счет отказа от долгой и дорогостоящей сертификации после выполнения каждой доработки программного обеспечения в аттестованной системе. Добавление новых возможностей для функционального заказчика наконец-то можно организовать на постоянной основе (Continuous Delivery).

  • Службе безопасности: упрощение регулярного аудита безопасности и контроля выполнения требований ФСТЭК, за счет использования централизованных политик информационной безопасности, установленных единообразно для всех компонентов информационной системы, в том числе для сторонних и собственных разработок.

  • Администраторам ИС: удобство централизованного управления пользователями и правами доступа из единого окна, за счет интеграции со сторонними источниками данных о пользователях (LDAP, ЕСИА, соцсети, корпоративный e-mail, УКЭП), а также возможностей группового контроля доступа на основе ролей RBAC.

  • Разработчикам ПО: скорость разработки (или доработки) программного обеспечения за счет подключения готовых и уже протестированных сервисов IAM - с минимальными доработками или вообще без доработок, вместо самостоятельной реализации аутентификации, авторизации, управления разрешениями и сессиями пользователей.

  • Пользователям: унифицированный способ регистрации в различных приложениях в рамках одной информационной системы с использованием механизма единого входа SSO, позволяющего применять один или несколько удобных факторов аутентификации, а также управлять своим профилем в личном кабинете пользователя в Спрут IAM.

Архитектура

Система Спрут IAM встраивается между пользовательским интерфейсом прикладного ПО и защищаемыми ресурсами информационной системы, и контролирует разрешения пользователя на доступ к этим ресурсам. При этом разработчик сам определяет необходимую гранулярность прав доступа (доступ в целом к прикладному ПО, доступ к определенным функциям, конкретным объектам системы) и выбирает механизм взаимодействия IAM с прикладным ПО (прокси сервис или сервер IAM).

Прокси сервис Спрут IAM упрощает встраивание функций защиты информации в прикладное ПО за счет того, что в сервисе уже реализована значительная часть протоколов OAuth 2.0 и OIDC, а необходимый для взаимодействия минимум реализован в виде упрощенного API. Например, работа классического веб-приложения через прокси сервис организуется следующим образом:

ПользовательПользовательБраузер (фронт)Браузер (фронт)Спрут IAM проксиСпрут IAM проксиСпрут IAM серверСпрут IAM серверПриложение (бэк)Приложение (бэк)Защищённый URLGET APP/my-resource (session)Проверка сессииСостояние сессииalt[Пользователь не аутентифицирован]Redirect на IAM/loginАутентификационные данныеRedirect на APP/callback (token)Обратное проксирование сессииПрямое проксирование запросаВозврат защищаемого ресурсаОбратное проксирование ресурсаЗащищаемый ресурс

Соответствие требованиям регулятора

В результате интеграции Спрут IAM в прикладное ПО обеспечивается выполнение мер защиты, предусмотренных приказами ФСТЭК №17 от 11 февраля 2013 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и №21 от 18 февраля 2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Реализованы следующие меры защиты со всеми применимыми к системе класса IAM усилениями:

  1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

  • ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора

  • ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

  • ИАФ.4 Управление средствами аутентификации, в т.ч. хранение, выдача, инициализация, блокирование

  • ИАФ.5 Защита обратной связи при вводе аутентификационной информации

  • ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора

  1. Управление доступом субъектов доступа к объектам доступа (УПД)

  • УПД.1 Управление учетными записями пользователей, в том числе внешних пользователей

  • УПД.2 Реализация необходимых методов, типов и правил разграничения доступа

  • УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИС

  • УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование ИС

  • УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

  • УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

  • УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

  • УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

  1. Регистрация событий безопасности (РСБ)

  • РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

Таким образом, при использовании совместно с сертифицированными операционными системами, система Спрут IAM полностью покрывает требования регулятора, предъявляемые к информационным системам вплоть до 1-го класса защищенности и 1-го уровня защищённости персональных данных, в рамках перечисленных мер защиты. При этом сертификация прикладного ПО не требуется.

Last modified: 12 марта 2025
2. Быстрый старт