Лекция 6. Технические меры защиты: СЗИ и разграничение доступа¶

• Содержание
• Лекция 6. Технические меры защиты: СЗИ и разграничение доступа
  • Введение
  • Место СЗИ в нормативной базе ФСТЭК
  • Идентификация и аутентификация
    • Основные понятия
    • Факторы аутентификации
    • Требования к паролям по ФСТЭК
  • Модели управления доступом
    • Дискреционное управление доступом (DAC)
    • Мандатное управление доступом (MAC)
    • Ролевое управление доступом (RBAC)
    • Атрибутное управление доступом (ABAC)
  • Принципы разграничения доступа
    • Принцип минимальных привилегий
    • Принцип разделения обязанностей (SoD(Separation of Duties))
    • Принцип «необходимо знать» (Need to Know)
    • Управление привилегированным доступом (PAM)
  • Классификация СЗИ от НСД
    • Программные СЗИ от НСД
    • Средства контроля и управления доступом к устройствам
    • Системы управления идентификацией и доступом (IAM /IDM)
  • Контроль целостности
  • Регистрация и аудит событий
    • Что подлежит регистрации
    • SIEM-системы
  • Замкнутая программная среда
  • Сквозной пример: меры ИА и УПД для ИСПДн кадровой службы
  • Что дальше
  • Список литературы и нормативных актов

Введение¶

Предыдущие пять лекций были посвящены анализу: что защищаем, от кого, какие угрозы актуальны. Начиная с этой лекции мы переходим к синтезу — как именно защищаем.

Модель угроз из Лекции 5 даёт нам перечень актуальных угроз в формате УБИ_i. Каждая угроза требует контрмер. Методика ФСТЭК устроена так, что между актуальной угрозой и мерой защиты существует прямая нормативная связь: Приказы №117, №21, №239 содержат базовые наборы мер, которые оператор обязан реализовать в зависимости от класса (уровня) защищённости объекта.

Первый и фундаментальный технический рубеж защиты — разграничение доступа и средства защиты информации от несанкционированного доступа (СЗИ от НСД). Без него все остальные меры теряют смысл: нет смысла шифровать данные, если любой пользователь может читать их в открытом виде; нет смысла строить DMZ, если внутри периметра нет контроля привилегий.

Средство защиты информации (СЗИ) — техническое, программное, программно-техническое средство, предназначенное для защиты информации.
(ГОСТ Р 50922-2006)

Место СЗИ в нормативной базе ФСТЭК¶

Выбор и применение СЗИ в российской практике регулируется несколькими взаимосвязанными документами.

Документ	Что регулирует
Приказ ФСТЭК №117 (2025, ГИС)	Базовые и адаптированные наборы мер защиты для классов К1–К3; требования к составу СЗИ
Приказ ФСТЭК №21 (2013, ИСПДн)	Меры защиты для уровней УЗ1–УЗ4; разграничение доступа как обязательная мера
Приказ ФСТЭК №239 (2017, КИИ)	Меры защиты для категорий значимости 1–3; усиленные требования для 1-й категории
Положение о сертификации СЗИ ФСТЭК	Требования к сертификации СЗИ; уровни доверия (УД1–УД6)
ГОСТ Р 58833-2020	Идентификация и аутентификация; требования к механизмам

Уровни доверия к СЗИ (УД): Приказы ФСТЭК требуют применения сертифицированных СЗИ. Уровень доверия (УД1–УД6, где УД1 — высший) определяет глубину проверки СЗИ на наличие недекларированных возможностей. Для ГИС класса К1 требуется УД4 и выше, для значимых объектов КИИ 1-й категории — УД4 и выше.

Идентификация и аутентификация¶

Идентификация и аутентификация (ИА) — первый и обязательный рубеж любой системы разграничения доступа. Без достоверного установления личности субъекта невозможно принять правильное решение о предоставлении доступа.

Основные понятия¶

• Идентификация — процедура присвоения субъекту уникального идентификатора и его распознавания системой.
• Аутентификация — процедура подтверждения подлинности субъекта на основании предъявляемых им данных.
• Авторизация — предоставление субъекту прав доступа к ресурсам в соответствии с его полномочиями.

Факторы аутентификации¶

Фактор	Суть	Примеры	Уязвимость
Знание (что знает)	Информация, известная только субъекту	Пароль, PIN, секретный вопрос	Подбор, фишинг, утечка
Владение (что имеет)	Физический или логический объект у субъекта	Токен, смарт-карта, OTP-приложение, SMS	Кража, клонирование
Свойство (что собой представляет)	Биометрические характеристики	Отпечаток пальца, сетчатка, голос, лицо	Спуфинг, изменение биометрии

Многофакторная аутентификация (МФА) — использование двух и более различных факторов одновременно. Приказ ФСТЭК №117 требует МФА для удалённого доступа и для привилегированных учётных записей при защите ГИС класса К1 и К2.

Требования к паролям по ФСТЭК¶

Приказ №21 (мера ИА.3) и соответствующие меры Приказов №117, №239 устанавливают минимальные требования к парольной политике:

• длина пароля — не менее 8 символов (для привилегированных учётных записей — не менее 12);
• состав — буквы верхнего и нижнего регистра, цифры, специальные символы;
• срок действия — не более 90 дней для обычных пользователей;
• история паролей — запрет повторного использования последних 10 паролей;
• блокировка учётной записи — после не более 10 неуспешных попыток аутентификации.

Модели управления доступом¶

Определив, кто перед нами, система должна решить: что этому субъекту разрешено делать? Для этого используются модели управления доступом.

Дискреционное управление доступом (DAC)¶

Discretionary Access Control — владелец ресурса сам определяет, кому и какой доступ предоставить.

• Решение о доступе принимается владельцем объекта.
• Реализуется через списки управления доступом (ACL).
• Типичный пример: права на файлы и папки в файловых системах Windows (NTFS) и Linux (rwx).
• Недостаток: права могут быть делегированы без ведома администратора безопасности; при компрометации учётной записи владельца нарушитель наследует все его права.

Мандатное управление доступом (MAC)¶

Mandatory Access Control — доступ определяется системой на основе меток безопасности, присвоенных субъектам и объектам.

• Субъекту присваивается уровень допуска (clearance), объекту — гриф секретности (classification).
• Доступ разрешён только если уровень допуска субъекта ≥ грифа объекта.
• Владелец объекта не может предоставить доступ субъекту с недостаточным допуском.
• Применяется в государственных системах, обрабатывающих сведения разных уровней конфиденциальности.
• Реализована в отечественных СЗИ от НСД: Dallas Lock, Secret Net Studio, Аура.

Мандатная модель впервые формализована в модели Белла — Лападулы (1973): субъект с допуском уровня N может читать объекты уровня ≤ N и записывать в объекты уровня ≥ N («нет чтения вверх, нет записи вниз»). Это предотвращает утечку информации с высокого уровня на низкий.

Ролевое управление доступом (RBAC)¶

Role-Based Access Control — доступ предоставляется не конкретному пользователю, а роли; пользователь получает права, унаследованные от назначенных ему ролей.

• Права назначаются ролям (администратор, бухгалтер, оператор).
• Пользователям назначаются роли.
• Изменение прав группы пользователей требует изменения только роли.
• Наиболее распространённая модель в корпоративных системах: Active Directory, SAP, ERP-системы.
• Принцип наименьших привилегий реализуется через RBAC: роль содержит только те права, которые необходимы для выполнения функций.

Атрибутное управление доступом (ABAC)¶

Attribute-Based Access Control — развитие RBAC; решение о доступе принимается на основе атрибутов субъекта, объекта и контекста (время, место, тип устройства).

• Пример: доступ к файлу разрешён только если [роль = менеджер] AND [отдел = продажи] AND [время = рабочие часы] AND [устройство = корпоративный ПК].
• Обеспечивает тонкую гранулярность управления доступом.
• Применяется в облачных системах, Zero Trust архитектурах.

Принципы разграничения доступа¶

Помимо выбора модели, при проектировании системы доступа необходимо соблюдать ряд принципов, закреплённых в нормативных документах ФСТЭК.

Принцип минимальных привилегий¶

Каждый субъект получает только те права, которые необходимы и достаточны для выполнения его функций — и ничего сверх того.

Нарушение этого принципа — одна из наиболее частых находок при аудите ИБ. Типичные примеры: разработчики с правами администратора баз данных; бухгалтеры с доступом к кадровой документации; все сотрудники в группе «Администраторы домена».

Принцип разделения обязанностей (SoD(Separation of Duties))¶

Критически важные операции не должны выполняться одним субъектом единолично. Например: сотрудник, создающий платёжное поручение, не должен иметь права его же подтверждать.

В контексте ИБ: администратор безопасности и системный администратор должны быть разными людьми; возможности по изменению журналов аудита должны быть отделены от возможностей по настройке системы.

Принцип «необходимо знать» (Need to Know)¶

Доступ к информации предоставляется только тем, кому она необходима для выполнения конкретных должностных обязанностей — даже если уровень допуска субъекта позволяет получить к ней доступ.

Управление привилегированным доступом (PAM)¶

Привилегированные учётные записи (администраторы систем, баз данных, сетевого оборудования) — наиболее опасная категория с точки зрения модели нарушителя (нарушитель Н2, позиция «системные администраторы» из Лекции 4).

Privileged Access Management (PAM) — класс решений для управления и контроля привилегированного доступа:

• Хранение паролей привилегированных учётных записей в защищённом хранилище (vault).
• Автоматическая ротация паролей.
• Запись сессий привилегированных пользователей (session recording).
• Just-in-Time (JIT) доступ — привилегии предоставляются только на время выполнения задачи.
• Требование дополнительного подтверждения для критичных операций.

Приказ ФСТЭК №117 (мера УПД.6) прямо предписывает управление привилегированными учётными записями. Для ГИС класса К1 и объектов КИИ 1-й категории PAM-решения фактически стали обязательным элементом системы защиты.

Классификация СЗИ от НСД¶

Средства защиты от несанкционированного доступа — наиболее широкая категория СЗИ. Разберём основные классы.

Программные СЗИ от НСД¶

Устанавливаются поверх операционной системы и обеспечивают дополнительный контроль доступа, мандатные метки, контроль целостности и аудит.

Продукт	Производитель	Особенности
Secret Net Studio	ООО «Код Безопасности»	Мандатный доступ, контроль устройств, шифрование, сертификат ФСТЭК
Dallas Lock	ООО «Конфидент»	Мандатный и дискреционный доступ, замкнутая программная среда
Аура 1.2.4	НПО «Эшелон»	Мандатное управление доступом, поддержка Astra Linux
ViPNet SafePoint	ИнфоТеКС	Контроль доступа, шифрование, VPN-клиент

Средства контроля и управления доступом к устройствам¶

Предотвращают несанкционированное подключение внешних устройств (USB, CD/DVD, Bluetooth) и контролируют операции с данными через внешние интерфейсы.

• DeviceLock DLP — контроль портов и устройств, теневое копирование.
• Secret Net Studio — встроенный контроль устройств.
• Kaspersky Endpoint Security — контроль устройств как часть EPP-платформы.

Системы управления идентификацией и доступом (IAM /IDM)¶

Централизованное управление учётными записями, ролями и правами доступа в масштабе организации.

• Создание, изменение, блокировка учётных записей по регламентированным процессам.
• Ролевая модель на уровне всей организации (не только отдельных систем).
• Регулярный пересмотр прав — автоматические кампании по сертификации доступа.
• Интеграция с HR-системой — автоматическое создание/блокировка учётных записей при приёме/увольнении.

Российские решения: 1IDM (ГК «Солар»), Indeed AM, KerioControl. Международные: SailPoint, Saviynt, CyberArk (в части IAM).

Контроль целостности¶

Контроль целостности — механизм обнаружения несанкционированных изменений в файлах, конфигурациях и программном обеспечении.

Механизмы реализации:

• Хэш-суммы — вычисление контрольных значений (SHA-256, ГОСТ Р 34.11) для критичных файлов при установке; периодическое сравнение текущих значений с эталонными.
• ЭЦП программного кода — проверка цифровой подписи исполняемых файлов перед запуском.
• Замкнутая программная среда (ЗПС) — запуск только авторизованного программного обеспечения из белого списка (application whitelisting).
• Системы мониторинга целостности файлов (FIM) — непрерывный мониторинг изменений в критичных директориях и реестре.

Приказ ФСТЭК №21 (мера ОЦЛ.1) и аналогичные меры Приказов №117, №239 требуют контроля целостности программного обеспечения и средств защиты информации. Для объектов КИИ 1-й категории контроль целостности должен осуществляться в режиме реального времени.

Регистрация и аудит событий¶

Регистрация событий — обязательная мера во всех нормативных документах ФСТЭК. Без журналов аудита невозможно ни обнаружить инцидент, ни провести его расследование.

Что подлежит регистрации¶

Меры группы РСБ (Регистрация событий безопасности) по Приказам ФСТЭК определяют минимальный состав регистрируемых событий:

• Вход/выход пользователей (успешный и неуспешный).
• Запуск/завершение процессов и приложений.
• Операции с объектами доступа (чтение, запись, удаление, изменение прав).
• Изменения в конфигурации системы и СЗИ.
• Запуск средств защиты и изменение их конфигурации.
• Подключение/отключение внешних носителей.
• Сетевые соединения (для привилегированных учётных записей).

SIEM-системы¶

Security Information and Event Management (SIEM) — класс решений для централизованного сбора, хранения и анализа событий безопасности с множества источников.

• Агрегация журналов из разнородных источников (ОС, СЗИ, сетевое оборудование, приложения).
• Корреляция событий — выявление цепочек событий, соответствующих сценариям атак.
• Алертинг — оповещение при срабатывании правил корреляции.
• Хранение журналов в защищённом виде для последующего расследования.

Российские SIEM-решения (актуально после ухода западных вендоров с рынка в 2022):

Продукт	Производитель
MaxPatrol SIEM	Positive Technologies
RuSIEM	RuSIEM
Kaspersky Unified Monitoring and Analysis Platform (KUMA)	«Лаборатория Касперского»

Для ГИС класса К1 и значимых объектов КИИ 1-й категории Приказы ФСТЭК требуют сбора и анализа журналов аудита. Использование SIEM-системы является наиболее эффективным способом реализации этих требований при наличии более 50 источников событий.

Замкнутая программная среда¶

Замкнутая программная среда (ЗПС) — механизм, при котором на защищаемом узле разрешён запуск только явно авторизованного программного обеспечения. Любой неавторизованный исполняемый файл блокируется.

Практическое значение: ЗПС является одной из наиболее эффективных мер против атак с использованием вредоносного ПО, поскольку даже если нарушитель доставил вредоносный файл на узел, он не сможет его выполнить.

Ограничения: высокая операционная нагрузка на администраторов (необходимо постоянно обновлять белый список при установке ПО и обновлений). Не подходит для рабочих мест разработчиков и аналитиков данных.

Сквозной пример: меры ИА и УПД для ИСПДн кадровой службы¶

На основе актуальных угроз из Лекции 5 определим конкретные меры.

Актуальная угроза (УБИ)	Мера защиты	Группа по Приказу №21	Реализация
УБИ.002: фишинг → компрометация учётной записи HR	МФА для всех пользователей системы	ИА.3	OTP-приложение (второй фактор) + корпоративный пароль
УБИ.003: злоупотребление правами администратора СУБД	PAM-система, запись сессий, JIT-доступ	УПД.6	CyberArk / Indeed PAM; ротация паролей СУБД каждые 30 дней
УБИ.005: использование учётных данных уволенного	Интеграция IAM с HR-системой: блокировка в день увольнения	УПД.4	IDM-система с автоматическим деактивированием
УБИ.001: SQL-инъекция → доступ к БД	RBAC: приложение обращается к СУБД через сервисную учётную запись с минимальными правами	УПД.2	Отдельная роль только с правами SELECT/INSERT для необходимых таблиц
УБИ.004: ransomware	Контроль целостности, ЗПС на серверах, ограничение запуска ПО	ОЦЛ.1, ЗСВ.3	Secret Net Studio на серверах; белый список процессов

Что дальше¶

• Следующая тема: 7. Криптографическая защита информации — защита данных в хранилище и при передаче
• Технический контекст: 8. Защита сетевой инфраструктуры — МЭ, IDS/IPS защищают периметр, но требуют корректного разграничения доступа внутри него
• Связь с аудитом: 5. Технический аудит и пентест — аудитор проверяет именно реализацию мер ИА, УПД, РСБ
• Связь с менеджментом: 9. Управление доступом — общий обзор мер, здесь углублён до уровня конкретных СЗИ

Список литературы и нормативных актов¶

• Приказ ФСТЭК России №117 от 11.04.2025 — меры ИА, УПД, РСБ, ОЦЛ для ГИС
• Приказ ФСТЭК России №21 от 18.02.2013 — те же группы мер для ИСПДн
• Приказ ФСТЭК России №239 от 25.12.2017 — меры для значимых объектов КИИ
• ГОСТ Р 58833-2020 — «Защита информации. Идентификация и аутентификация»
• ГОСТ Р ИСО/МЭК 27002-2021 — меры управления ИБ; разделы 5.15–5.18 (управление доступом)
• Требования к уровням доверия СЗИ ФСТЭК России (Приказ №76 от 2019) — классификация СЗИ по УД1–УД6
• Shostack A. «Threat Modeling: Designing for Security» — связь моделирования угроз и выбора контрмер