MWC 2018
2018
Computex
IFA 2018
Трансформация менеджера паролей из утилиты в критический элемент инфраструктуры не случайна. Она обусловлена влиянием множества факторов: цифровой трансформацией бизнеса и государственных организаций, переходом к гибридным моделям (локальная инфраструктура + облачные сервисы), эволюцией нацеленных на кражу учётных данных кибератак, экспоненциальным ростом числа цифровых идентификаторов сотрудника и нормативным прессингом со стороны регуляторов рынка, требующих задокументированных, управляемых и подконтрольных механизмов работы с конфиденциальной информацией. В российских реалиях на эту картину наложился курс на импортозамещение и обеспечение технологического суверенитета страны.
Киберустойчивость сегодня становится одним из ключевых факторов непрерывности бизнеса и доверия к цифровой инфраструктуре (источник изображения: Kevin Ku / unsplash.com)
По данным аналитиков, до 80% атак начинаются с компрометации учётных данных. Столь высокий показатель обусловлен слабыми, повторно используемыми или утёкшими паролями, которые остаются главным вектором проникновения в корпоративные сети. В этих условиях менеджер паролей, обеспечивающий генерацию, безопасное хранение и автоматическую подстановку уникальных длинных комбинаций символов для каждой учётной записи, является первым эшелоном защиты от несанкционированного доступа.
Более того, современные менеджеры паролей не только упрощают доступ к учётным записям, но и позволяют централизованно контролировать политику паролей. С помощью гибкой ролевой модели администраторы реализуют принцип наименьших привилегий — сотрудники получают доступ только к тем ресурсам, которые необходимы им для работы. Решения также помогают выявлять утечки, внедрять многофакторную аутентификацию и интегрироваться с каталогами Active Directory, LDAP и SIEM-системами.
По функциональной начинке упомянутые решения практически вплотную приблизились к продуктам класса PAM (Privileged Access Management), которые управляют привилегированными учётными записями и являются неотъемлемой частью защиты значимых объектов критической информационной инфраструктуры (КИИ). Таким образом, менеджер паролей перестал быть просто утилитой — он стал инструментом разграничения доступа и обеспечения аутентификации, то есть полноценным средством защиты информации (СЗИ).
Принципиально важно, чтобы такие решения как менеджер паролей соответствовали требованиям регуляторов и обеспечивали высокий уровень доверия со стороны бизнеса и государства. Особенно это касается программных разработок, используемых в КИИ. Такое ПО, во-первых, в соответствии с новыми требованиями закона «О безопасности критической информационной инфраструктуры» должно быть исключительно отечественным и зарегистрированным в реестре Минцифры, а во-вторых, иметь соответствующие лицензии и сертификаты — без них продукт не пройдёт аттестацию, не будет принят службой безопасности и не выдержит проверки регуляторных органов.
Применительно к менеджерам паролей это означает наличие сертификата Федеральной службы по техническому и экспортному контролю, и такой документ есть у «Пассворка» — единственного в настоящий момент менеджера паролей, сертифицированного ФСТЭК России.
Менеджер паролей «Пассворк» (источник изображения: passwork.ru)
«Пассворк» сертифицирован по 4-му уровню доверия — наивысшему из применяемых для коммерческих средств защиты информации. Сертификат подтверждает, что продукт соответствует самым строгим требованиям российского регулятора и может применяться в критически важных государственных и корпоративных системах. Менеджер паролей может использоваться в государственных информационных системах (ГИС) — до 1 класса защищённости включительно, информационных системах персональных данных (ИСПДн) — до 1 уровня защищённости включительно, на значимых объектах критической информационной инфраструктуры (КИИ) — до 1 категории включительно и в автоматизированных системах управления технологическими процессами (АСУ ТП) — до 1 класса защищённости включительно.
Для организаций, не подпадающих под обязательные требования регуляторов, сертификат ФСТЭК служит важным индикатором качества и надёжности решения — он подтверждает соответствие «Пассворка» самым высоким ИБ-стандартам в России, гарантирует отсутствие в нём скрытых недокументированных функций, а также то, что разработка продукта построена по принципам безопасного жизненного цикла программного обеспечения — с учётом требований к безопасности на всех этапах: от проектирования до тестирования и выпуска обновлений.
«Пассворк» работает на российском IT-рынке с 2014 года и имеет в своём активе лицензии ФСТЭК и ФСБ России на деятельность в сфере защиты информации. Разрабатываемый компанией продукт упрощает совместную работу с корпоративными паролями и обеспечивает их хранение на сервере организации или в облаке в зашифрованном виде. Ключевые возможности «Пассворка»:
- Разграничение прав — гибкая ролевая модель доступа позволяет внедрить принцип наименьших привилегий и детально контролировать права каждого сотрудника.
- Интеграция и автоматизация — полнофункциональный API для встраивания в любые рабочие процессы, интеграция с Active Directory, LDAP и SAML SSO для упрощенной аутентификации и управления пользователями.
- Архитектура нулевого разглашения — клиентское шифрование гарантирует, что данные шифруются прямо на устройствах пользователей и передаются на сервер в защищённом виде.
- Контроль безопасности — инструменты аудита помогают вовремя находить слабые, старые или скомпрометированные пароли и отслеживать любые подозрительные действия пользователей.
- Многофакторная аутентификация — безопасный вход обеспечивают биометрия, ключи доступа (Passkeys) и поддержка аппаратных ключей.
- Импортозамещение — продукт зарегистрирован в реестре отечественного ПО и подходит для компаний, переходящих на российские решения.
Открытый для аудита исходный код менеджера паролей позволяет проверить его на предмет любых уязвимостей, что является важным для многих крупных предприятий. В условиях импортозамещения и жёстких требований регуляторов «Пассворк» объединяет соответствие стандартам безопасности и удобство управления секретами.
Источник:
