Спрут IAM 1.0.0 Help

8. Безопасность и сертификация

Ниже рассмотрены вопросы безопасности и соответствия Спрут IAM требованиям ФСТЭК. Рассмотрены защитные меры, которые реализованы в системе (механизмы многофакторной аутентификации, блокировка сессий, управление правами, аудит и т. д.), как они покрывают конкретные пункты приказа, а также типовые сценарии проверки для аудиторов.

ИАФ.1: Идентификация и аутентификация пользователей

Формулировка в приказе:

Реализация в «Спрут IAM»:

  • Обязательная аутентификация любого пользователя при доступе к защищенным ресурсам.

  • При использовании прокси-режима доступ к ресурсам осуществляется только после успешной аутентификации.

  • При использовании сервера OIDC проверка токенов выполняется на стороне приложения.

  • Поддержка различных способов аутентификации:

    • Пароль

    • TOTP (временные одноразовые коды)

    • WebAuthn (электронные ключи)

    • УКЭП (усиленная квалифицированная электронная подпись)

    • Интеграция с внешними IdP (ЕСИА, Сбер ID, VK ID и др.)

Для 1-го класса защищенности (У1а, У2а, У3, У4):

  • Реализована многофакторная аутентификация (токены OTP)

  • Многофакторная аутентификация для привилегированных пользователей

ИАФ.3: Управление учетными записями пользователей

Формулировка в приказе:

Реализация в «Спрут IAM»:

  • Разделение административных ролей с отдельными разрешениями на управление учетными записями.

  • Для создания и управления пользователями требуется роль с правом Администратор.

  • Уникальность идентификаторов обеспечивается на уровне БД (первичный ключ в таблице acl_local_users).

  • Идентификаторы заблокированных/удаленных пользователей не используются повторно.

Для 1-го класса защищенности (У1б, У2б):

  • Автоматическая блокировка учетных записей при неиспользовании

ИАФ.4: Управление средствами аутентификации

Формулировка в приказе:

Реализация в «Спрут IAM»:

  • Настраиваемая парольная политика:

  • Требования к сложности пароля:

    • Минимальная длина (настраивается, по умолчанию 8)

    • Наличие символов разного регистра

    • Наличие цифр и специальных символов

  • Обязательная смена пароля при первом входе.

  • Периодическая смена паролей (настраивается интервал в днях).

  • Запрет на повторное использование последних N паролей:

УПД.1: Управление учетными записями пользователей

Формулировка в приказе:

Реализация в «Спрут IAM»:

  • Полный набор функций управления пользователями:

  • Поддержка разных типов учетных записей на уровне групп:

    • Обычные пользователи (непривилегированные)

    • Администраторы, втч ограниченные (привилегированные)

    • Системные учетные записи (для интеграций)

  • Для временных учетных записей можно указать срок действия:

УПД.2: Реализация модели управления доступом

Формулировка в приказе:

Реализация в «Спрут IAM»:

  • Реализована ролевая модель управления доступом (RBAC):

    • Пользователи представляют субъект доступа

    • Группы позволяют объединять пользователей

    • Роли функциональные группы, которые определяют набор разрешений

    • Разрешения описывают допустимые действия с объектами

  • Ролевая модель поддерживает иерархию и наследование прав.

  • Возможность применения ограничений к разрешениям.

УПД.5: Назначение минимально необходимых прав и привилегий

Формулировка в приказе:

Реализация в «Спрут IAM»:

  • Возможность тонкой настройки разрешений на уровне действий:

  • Разделение административных функций:

    • Управление пользователями

    • Управление правами

    • Аудит и мониторинг

    • Настройка системы

УПД.9: Ограничение числа параллельных сеансов доступа

Формулировка в приказе:

Реализация в «Спрут IAM»:

  • Ограничение количества одновременных сессий в целом по системе / приложению.

  • Возможность принудительного закрытия "лишних" сессий при превышении лимита.

  • Уведомление пользователя о наличии других активных сессий.

УПД.10: Блокирование сеанса доступа после установленного времени неактивности

Формулировка в приказе:

Реализация в «Спрут IAM»:

  • Автоматическое завершение сессии после периода неактивности:

  • При использовании прокси отслеживание неактивности и принудительный выход.

  • При использовании OIDC контроль срока действия токенов (access/refresh).

РСБ.3: Сбор, запись и хранение информации о событиях безопасности

Формулировка в приказе:

Реализация в «Спрут IAM»:

  • Встроенная система журналирования событий безопасности:

  • Регистрация следующих событий:

    • Успешные и неуспешные попытки аутентификации

    • Изменение учетных данных пользователей

    • Назначение и изменение прав доступа

    • Блокировка/разблокировка учетных записей

    • Административные действия

  • Хранение журналов в течение настраиваемого периода (по умолчанию 1 год).

Cценарии проверки для аудитора

В этом разделе приведены типовые сценарии, которые аудиторы часто используют для проверки соответствия требованиям ФСТЭК:

Проверка многофакторной аутентификации (ИАФ.1)

Сценарий проверки:

  1. Создать тестового пользователя с ролью администратора.

  2. Включить в настройках обязательное использование MFA для администраторов.

  3. Попытаться войти под тестовым пользователем, предоставив только первый фактор (пароль).

  4. Система должна запросить второй фактор аутентификации и не допустить доступ без него.

  5. Проверить журнал на наличие записей о попытке входа.

Проверка блокировки при неудачных попытках (ИАФ.3)

Сценарий проверки:

  1. Настроить максимальное количество неудачных попыток входа (например, 5).

  2. Выполнить указанное количество попыток входа с неверным паролем.

  3. Убедиться, что учетная запись блокируется после превышения лимита.

  4. Проверить запись в журнале о блокировке учетной записи.

  5. Проверить возможность разблокировки администратором.

Проверка парольной политики (ИАФ.4)

Сценарий проверки:

  1. Настроить требования к сложности пароля (длина, наличие символов разного регистра, цифр, специальных символов).

  2. Попытаться создать пользователя с паролем, не соответствующим политике.

  3. Система должна отклонить слабый пароль и потребовать соответствия политике.

  4. Попытаться сменить пароль на ранее использованный (если включен запрет на повторное использование).

  5. Система должна отклонить повторно используемый пароль.

Проверка блокировки сессии по таймауту (УПД.10)

Сценарий проверки:

  1. Настроить автоматическое завершение сессии после периода неактивности (например, 15 минут).

  2. Войти в систему и оставить сессию неактивной на установленное время.

  3. Попытаться выполнить действие после истечения таймаута.

  4. Система должна перенаправить на страницу входа или запросить повторную аутентификацию.

  5. Проверить наличие в журнале записи о завершении сессии по таймауту.

Last modified: 12 марта 2025
7. Руководство по интеграции