ENG
Привилегированные доступы — особая защита по новым требованиям ФСТЭК

С 1 марта 2026 года вступили в силу Требования о защите информации, утвержденные Приказом ФСТЭК России № 117 от 11 апреля 2025 г. Теперь все государственные информсистемы (ГИС), системы госорганов и подведомственных учреждений при создании и модернизации обязаны соответствовать новому своду правил.

Одно из ключевых изменений — пункт 48 Требований, который вводит четкий порядок работы с привилегированными учетными записями. Разберем основные положения:

  1. Отсутствие нелегальных доступов. Исключена возможность получения привилегированного доступа теми, кому он не положен, а также использование расширенных прав не по регламенту.

  2. Минимум прав. Каждая привилегированная запись создается только под конкретные задачи пользователя.

  3. Полная персонификация. Если у учетной записи есть права создавать другие привилегированные записи — она должна быть строго персональной.

  4. Строгая аутентификация. Доступ — только через строгую либо усиленную многофакторную аутентификацию.

  5. Разделение ролей. Запрещено совмещать в одной учетной записи функции администратора, разработчика и администратора безопасности.

  6. Чистота активов. Все неиспользуемые привилегированные записи подлежат блокировке и удалению.

  7. Сброс стандартных настроек. Встроенные записи (типа root или admin) должны быть отключены либо переименованы с полной сменой аутентификационных данных.

  8. Тотальное логирование. Каждое действие под привилегированной записью регистрируется, контроль ведется постоянно.

Почему это стало критичным именно сейчас?

Многие компании уже живут с этими проблемами, но до 1 марта на них можно было закрывать глаза. Теперь за несоответствие — предписания и санкции. Узнаете свою ситуацию?

  • Общий «рут» и никакой ответственности. Несколько администраторов ходят под одной общей записью с доступом к корневому домену. При инциденте киберкриминалисты просто не поймут, кто именно выполнил rm -rf или изменил конфигурацию на сотне серверов.

  • Подрядчики как «черный ящик». Вендоры и аутсорсеры заходят удаленно (RDP, SSH), могут менять всё что угодно, но их действия нигде не записываются. Случись инцидент — доказать регулятору (да и самому себе), что подрядчик не украл данные, будет просто нечем.

  • Слепая вера в сисадмина. Сотрудник с полным доступом к 1С, ERP или «Альт Сервер» копирует платежки в личную папку или проводит нерегламентные операции. У службы безопасности и топ-менеджмента нет инструментов это вовремя увидеть.

Ваша задача — вернуть контроль

Перед вами стоит хотя бы один из этих вопросов?

  1. В инфраструктуре сотни «бесхозных» привилегированных записей и групп, которые невозможно контролировать?
  2. Подрядчики и удаленные сотрудники могут технически повысить себе права или злоупотребить доступом?

  3. После 1 марта 2026 года ваша система перестала соответствовать требованиям ФСТЭК?

  4. Корпоративные данные уже под угрозой, и злоумышленникам открыт путь к ключевым системам?

Всё это решается с помощью Privileged Access Management (PAM) — систем управления привилегированным доступом.

Решение: Infrascope от NGR Softlab

Angara Security предлагает не просто коробочное средство, а внедрение и тонкую настройку Infrascope — российской PAM-системы от компании NGR Softlab. Решение закрывает все восемь требований п. 48 Приказа № 117 и полностью меняет подход к управлению доступами.

Мы обеспечиваем:

  1. Полный контроль привилегированных записей. Управление паролями, правами и разрешенными наборами действий из единого окна.

  2. Защита чувствительных данных. Маскирование информации (паспортные данные, финансы, персональные сведения) на лету, чтобы подрядчик или оператор не видели того, что им знать не нужно.

  3. Непрерывное протоколирование. Каждое действие привилегированного пользователя записывается и доступно для аудита.

  4. Безопасная рутина. Автоматизация типовых задач без передачи секретов и паролей в руки человека.

  5. Второй фактор защиты. Дополнительная аутентификация для всех корпоративных систем.

  6. Временные привилегии. Выдача доступов на время и строго по согласованию.

  7. Полный цикл жизни секретов. Безопасное хранение, выдача и автоматическое обновление паролей, токенов и ключей.

  8. Поведенческий анализ (UEBA). Автоматическое выявление аномалий в действиях администраторов. 

Как это работает на практике

Infrascope убирает прямой доступ к целевому ресурсу. Взамен создается защищенный изолированный сеанс, в котором:

  • Для подрядчиков — полная сессионная запись. Система пишет видео с экрана и фиксирует ввод всех команд в тексте. Если подрядчик вдруг запускает скрипт шифрования или пытается стереть системные логи — офицер безопасности мгновенно завершает сессию. Доступно и наблюдение онлайн с возможностью перехватить управление.

  • Для системных администраторов — цифровой профиль. Модуль поведенческой аналитики (UEBA) строит нормальный профиль поведения. Если администратор вдруг начал работать ночью или запускает нетипичные для себя команды, Infrascope оповещает SOC еще до того, как данные утекут.

  • Для чувствительных данных — маскирование. Номера паспортов, карт и другие критичные сведения автоматически скрываются или подменяются «звездочками» — администратор работает с системой, но не видит секретных данных. 

Infrascope — первый российский PAM со встроенной поведенческой аналитикой, который превращает хаос в управлении доступом администраторов и подрядчиков в персонализированный, полностью подотчетный процесс.

Мы поможем закрыть требования регулятора, исключить риски компрометации и, наконец, понять, кто и что на самом деле делает в вашей инфраструктуре.


27.05.2026

Другие публикации

Risk-Based Vulnerability Management: как перестать гадать и начать управлять

Количество публично раскрываемых уязвимостей растёт, а крупная организация не может устранять все находки одинаково быстро. Поэтому главный вопрос для управления уязвимостями — не «как закрыть все CVE», а «какие из них создают наибольший риск именно для нашего бизнеса». На ответ влияют не только техническая оценка, но и доступность актива из сети, его роль в критическом процессе, наличие признаков эксплуатации, компенсирующие меры и реальное покрытие средствами защиты.

15.07.2026

Специалисты Angara MTDR зафиксировали новую фишинговую рассылку от группировки Rare Werewolf

Фишинговая кампания нацелена на российские организации. Основной целью злоумышленников является первичное закрепление в ИТ-инфраструктуре жертвы и кража пользовательских учётных данных.

08.07.2026

Атаки типа «отказ в обслуживании» становятся угрозой для российских организаций

22 мая 2026 года ФСТЭК России опубликовал рекомендации по повышению защищенности от атак типа «отказ в обслуживании». Они предназначены для государственных органов и организаций, провайдеров связи, субъектов КИИ и содержат конкретные меры по защите от различных типов DoS-атак. Также документ прописывает порядок действий по обеспечению безопасности объектов КИИ и технической защиты информации при реализации DoS-атак.

03.07.2026

Почему DLP не даёт результата без аналитики инцидентов

Системы предотвращения утечек данных (DLP) традиционно воспринимаются как один из базовых инструментов защиты информации. Они контролируют каналы передачи данных, выявляют попытки вывода чувствительной информации и позволяют блокировать или фиксировать такие действия. На уровне ожиданий бизнеса всё выглядит достаточно просто: внедрение DLP — снижение риска утечек.

26.06.2026

Практические рекомендации и примеры оценки показателя защищенности с учетом актуальных требований ФСТЭК России

Российское регулирование в области информационной безопасности в 2025–2026 гг. совершило колоссальный сдвиг. ФСТЭК России утвердила новые нормативные акты, которые полностью пересмотрели подходы к оценке защищенности информационных систем госсектора, субъектов критической информационной инфраструктуры (КИИ).

24.06.2026

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах