Внедрение системы управления привилегированным доступом

• Исключить возможность утечек данных и других недопустимых событий информационной безопасности, включая несанкционированное копирование информации внутри и за пределами защищаемого контура;

• Повысить уровень защищённости информации, размещаемой в Центре обработки данных Правительства Пермского края;

• Обеспечить контроль действий подрядных организаций и предотвратить реализацию атак типа «атака на цепочку поставок» за счёт использования системы управления привилегированным доступом;

• Повысить надёжность и устойчивость функционирования информационной инфраструктуры региона;

• Обеспечить контроль сроков действия и параметров доступа пользователей;

• Обеспечить возможность внедрения двухфакторной аутентификации для повышения безопасности входа;

• Обеспечить технологическую совместимость и импортонезависимость решений за счёт использования отечественного программного обеспечения и компонентов.

2025

• Предотвращены риски несанкционированного доступа и утечек данных из инфраструктуры ЦОД;

• Внедрено централизованное управление привилегированными учетными записями и контроль действий пользователей, включая подрядные организации;

• Обеспечена возможность внедрения двухфакторной аутентификации для повышения уровня защиты критически важных систем;

• Обеспечена прозрачность и управляемость процессов доступа к ГИС;

• Снижены риски человеческого фактора за счёт автоматизации операций и применения политик безопасности, трудозатраты ИТ-подразделений сокращены на 20–40%;

• Обеспечено соответствие требованиям регуляторов: ФСТЭК (приказы №17, №21), ФСБ (приказ №378), Федерального закона №152-ФЗ, Постановлений Правительства РФ №676 и №1119;

• Обеспечена полная совместимость и независимость от зарубежных решений благодаря использованию отечественного сертифицированного ПО;

• Повышен общий уровень киберустойчивости, надёжности и защищённости ИТ-инфраструктуры ЦОД Правительства Пермского края.

NGR Softlab PAM (Infrascope)

В проекте не используются решения из каталога Global CIO

Одной из ключевых сложностей при реализации проекта стала необходимость интеграции PAM-решения с уже существующей, разнородной инфраструктурой ЦОД, включающей большое количество сервисов, учетных записей и уровней доступа. Требовалось выстроить единые процессы аутентификации и контроля действий пользователей, не нарушая стабильность работы критически важных систем. Дополнительным вызовом стало обучение сотрудников новым принципам работы с привилегированными учетными записями и настройка политик безопасности в соответствии с действующими регламентами и требованиями регуляторов.

Начиная с 2022 года, в Центре обработки данных Правительства Пермского края постепенно совершенствовался подход к защите информации при подключении к инфраструктуре ЦОД. Первоначальная схема строилась на шифровании каналов связи с использованием ViPNet, что обеспечивало защищённую передачу данных, но не позволяло контролировать действия всех участников процесса.

Со временем реализованных мер защиты стало недостаточно. Подрядные организации получили широкий перечень прав и возможность удалённого доступа к инфраструктуре ЦОД для выполнения работ по обновлению, техническому сопровождению и сбору данных. При этом отсутствовал централизованный контроль за их действиями и актуальными списками ответственных лиц.

В результате сложились три основные проблемы:

1. отсутствие достоверных сведений об инфраструктуре и действиях исполнителей;

2. избыточный уровень привилегий у подрядных организаций;

3. высокая текучесть кадров у исполнителей и отсутствие контроля за актуальностью учётных записей.

Все эти факторы создавали риски несанкционированного доступа и утечек данных, а также усложняли контроль над выполнением регламентных работ. В связи с этим было принято решение внедрить систему класса Privileged Access Management (PAM), которая позволила бы централизованно контролировать действия привилегированных пользователей. При выборе подхода особое внимание уделялось соответствию современным требованиям к защите информации, в том числе рекомендациям НКЦКИ по минимизации возможных угроз безопасности информации при работе с подрядчиками.

В ходе конкурсных процедур было выбрано отечественное РАМ-решение Infrascope, разработанное компанией NGR Softlab. Оно включено в реестр российского ПО, имеет сертификат соответствия ФСТЭК России (4 уровень доверия) и построено на российских программных компонентах.

Внедрение началось в 2024 году и проводилось поэтапно. На старте прошли пилотные испытания, после чего система была развернута в промышленную эксплуатацию. Проект охватил 41 государственную информационную систему (ГИС) и 2 292 виртуальные машины, включая базы данных, контейнерные и веб-ресурсы.

Решение PAM Infrascope в ЦОД Пермского края обеспечивает детальное видеологирование действий пользователей, включая SSH- и RDP-сессии, контроль сроков действия учетных записей и активное противодействие недопустимым командам. Обеспечена возможность внедрения двухфакторной аутентификации. Отдельный акцент сделан на контроле действий подрядчиков.

Также проект позволил оптимизировать процессы администрирования. Автоматизация выдачи временных прав доступа и централизованное управление привилегированными учетными записями сократили трудозатраты ИТ-подразделений на 20–40%, снизили риск ошибок и повысили прозрачность работы специалистов.

Проект внедрения PAM Infrascope стал частью системной программы по повышению киберустойчивости региона. Он позволил создать прозрачную систему управления доступом к ГИС, обеспечив высокий уровень защищенности, доверия и устойчивости инфраструктуры ЦОД.

Россия, Пермский край