Система управления привилегированными учетными записями (Privileged Access Management, PAM) от компании CyberArk получила сертификат соответствия требованиям ФСТЭК России. Это дает возможность использовать инструмент для управления паролями, логинами и сессиями доступа к информационным системам персональных данных (ИСПДн). Сертификацией продукта занималась компания iTPROTECT, она же является эксклюзивным партнером по распространению сертифицированной системы.
Системы класса PAM необходимы для обеспечения контроля действий администраторов ИТ-ресурсов и централизованного управления их правами. Решения позволяют уменьшить риск неконтролируемого доступа к ИТ-активам, а также автоматизировать управление паролями на серверах. Это ускоряет аудит и расследование инцидентов, а также упрощает оценку качества услуг внешних ИТ-подрядчиков, особенно когда их несколько.
Полученный сертификат подтверждает наличие в системе CyberArk встроенных средств защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих гостайну, в соответствии с требованиями ФСТЭК России к средствам обеспечения безопасности по 6-му уровню доверия. Сертификация по этому уровню позволяет использовать PAM для управления учетными данными в системах, содержащих персональные данные до 100 тыс. человек (субъектов), в организациях всех отраслей, кроме медицины. Например, речь может идти про администрирование сегментов ИСПДн, размещенных в нескольких облачных средах, которые курируются несколькими подрядчиками. В этом случае администрировать систему без PAM – крайне рискованно. А использовать несертифицированные средства управления учетными данными запрещено на уровне приказа ФСТЭК №21.
Кроме того, CyberArk Privileged Access Security Solution может применяться для администрирования систем субъектов КИИ. В соответствии с приказом ФСТЭК №235 подключение к системам КИИ может осуществляться только с использованием сторонних инструментов. Для коммерческих организаций, за исключением случая администрирования ИСПДн, наличие сертификата ФСТЭК не является обязательным.
«Завершение очередного этапа сертификации нашего флагманского решения - это последовательный, и, конечно, ожидаемый шаг навстречу нашим заказчикам и партнёрам. CyberArk уважает интересы и требования российских пользователей и профильных регуляторов. Мы не переоцениваем значимость этого события, однако уверены, что одобрение ФСТЭК повысит и без того высокий уровень комфорта и безопасности наших пользователей в России. Российский рынок – очень важен для CyberArk, и эта приятная формальность - очередное тому подтверждение». – комментирует Олег Котов, региональный директор CyberArk.
В рамках процесса сертификации предварительные испытания системы проводились в лаборатории iTPROTECT, сертификационные испытания - в испытательной лаборатории АО «НПО Эшелон», экспертное заключение выдано АО «Лаборатория ППШ».
«Многие клиенты предоставляют доступ к своим корпоративным ресурсам внешним специалистам, например, в рамках техподдержки или ИТ-аутсорсинга. Выявить ответственного за неполадки или утечку конфиденциальных учетных данных в отсутствие PAM-инструмента, будет сложно. Также с помощью хранилищ в PAM-системах можно минимизировать риски, связанные с распространением паролей от конечных систем. Поэтому спрос на такого рода решения продолжает быть высоким. PAM-система от CyberArk – одна из самых востребованных на рынке, поэтому участие в ее сертификации было для нас особенно важным» - комментирует Максим Головлев, технический директор iTPROTECT.
