Управление привилегированным доступом (PAM) на объектах КИИ: контроль ИТ-администраторов

Привилегированные учётные записи администраторов — главная мишень атак на критическую инфраструктуру. Разбираем, как системы класса PAM, IdM/IGA реализуют модель Zero Trust, защищают от инсайдерских угроз и обеспечивают соответствие требованиям 187-ФЗ и приказа ФСТЭК № 239.

Архитектура Zero Trust и роль PAM/IdM/IGA в её реализации

Модель нулевого доверия (Zero Trust) базируется на принципе «никогда не доверяй, всегда проверяй». Применительно к управлению привилегированным доступом на объектах КИИ это означает, что даже авторизованный администратор проходит многоуровневую верификацию при каждом обращении к ресурсу.

Архитектура Zero Trust в части управления доступом опирается на три ключевые системы:

PAM (Privileged Access Management)

Контролирует привилегированные сессии, управляет паролями, записывает действия. PAM — это «последняя миля» доступа, обеспечивающая гранулярный контроль на уровне конкретных серверов, команд и временных окон.

IdM/IGA (Identity Management / Identity Governance and Administration)

Управляет жизненным циклом учётных записей: создание, назначение ролей, пересмотр прав (access review), деактивация. IGA отвечает за то, чтобы каждый пользователь имел только те права, которые необходимы для выполнения его обязанностей (принцип наименьших привилегий).

MFA (Multi-Factor Authentication)

Многофакторная аутентификация дополняет PAM и IdM, добавляя второй и третий факторы проверки. Для доступа к значимым объектам КИИ рекомендуется использовать аппаратные токены (ГОСТ-совместимые) или биометрию в дополнение к паролю.

Связка PAM + IdM/IGA + MFA образует эшелонированную систему контроля администраторов ИБ, в которой каждый компонент компенсирует слабые стороны остальных. Эта архитектура полностью соответствует принципам комплексной кибербезопасности КИИ и позволяет реализовать модель Zero Trust даже в гетерогенных инфраструктурах с элементами АСУ ТП.

Сравнение отечественных PAM-решений, сертифицированных ФСТЭК

В условиях импортозамещения на объектах КИИ выбор PAM-системы ограничивается отечественными продуктами, имеющими сертификат ФСТЭК. Ниже приведено сравнение наиболее зрелых решений российского рынка.

Выбор конкретного решения зависит от масштаба инфраструктуры, наличия АСУ ТП-сегмента, требуемого уровня интеграции и бюджета. Все перечисленные продукты включены в Реестр отечественного ПО и соответствуют требованиям к сертификации СЗИ для КИИ.

Чек-лист внедрения PAM на объекте КИИ

Внедрение PAM — комплексный проект, затрагивающий процессы, людей и технологии. Ниже приведён пошаговый чек-лист, который поможет CISO и CIO спланировать проект и избежать типичных ошибок.

Типичный срок внедрения PAM на объекте КИИ средней сложности — от 3 до 6 месяцев. Для крупных распределённых инфраструктур проект может занять до 12 месяцев. Ключ к успеху — поэтапный подход и вовлечение всех заинтересованных сторон.

Нормативные требования: 187-ФЗ, приказ ФСТЭК № 239, ГосСОПКА

Внедрение PAM-системы на объекте КИИ — не факультативная мера, а прямое выполнение требований законодательства. Рассмотрим ключевые нормативные документы.

Федеральный закон № 187-ФЗ «О безопасности КИИ»

Закон обязывает субъектов КИИ обеспечивать безопасность значимых объектов, в том числе реализовывать меры по предотвращению несанкционированного доступа. Изменения 187-ФЗ в 2025–2026 году усилили ответственность за нарушения: теперь за несоблюдение требований грозят не только штрафы, но и уголовная ответственность должностных лиц.

Приказ ФСТЭК № 239

Приказ определяет конкретные меры защиты значимых объектов КИИ. В части управления привилегированным доступом ключевые группы мер:

• УПД (Управление доступом) — идентификация и аутентификация пользователей, управление правами, разделение полномочий, ограничение неуспешных попыток входа.
• РСБ (Регистрация событий безопасности) — журналирование всех действий привилегированных пользователей, обеспечение целостности журналов, хранение записей не менее 6 месяцев.
• ОДТ (Обеспечение доступности) — резервирование средств управления доступом, обеспечение непрерывности функционирования PAM-системы.

PAM-система закрывает значительную часть требований УПД и РСБ «из коробки». Подробнее о полном перечне требований — в статье о требованиях к защите ЗОКИИ.

ГосСОПКА

Система государственного мониторинга компьютерных инцидентов требует от субъектов КИИ оперативно выявлять и передавать информацию об инцидентах. PAM-система значительно упрощает эту задачу: записи сессий и логи действий привилегированных пользователей становятся ключевыми артефактами при расследовании. О порядке подключения к ГосСОПКА читайте в нашем подробном руководстве.

Невыполнение перечисленных требований влечёт серьёзные последствия. Подробнее о санкциях — в материале о штрафах и проверках по КИИ в 2026 году.

Интеграция PAM с SOC, SIEM и процессами управления уязвимостями

PAM-система КИИ не должна работать изолированно. Максимальная эффективность достигается при интеграции с другими компонентами системы ИБ.

PAM + SOC/SIEM

Интеграция PAM с центром мониторинга (SOC) и SIEM-системой позволяет коррелировать события привилегированного доступа с другими индикаторами компрометации. Например, аналитик SOC получает алерт: администратор подключился к серверу в нерабочее время с нетипичного IP-адреса, а параллельно зафиксирована аномальная сетевая активность на этом сервере. Корреляция двух событий позволяет немедленно заблокировать сессию и начать расследование.

PAM + Управление уязвимостями

Привилегированные учётные записи часто становятся инструментом эксплуатации уязвимостей. Интеграция PAM с процессом управления уязвимостями (VM) позволяет автоматически ограничивать доступ к серверам с критическими неустранёнными уязвимостями или требовать дополнительного согласования для работы с ними.

PAM + IdM/IGA

Синхронизация PAM и IdM обеспечивает автоматический отзыв привилегированного доступа при изменении должности, увольнении сотрудника или истечении контракта подрядчика. Без интеграции возникает «мёртвый» доступ — привилегии, о которых никто не знает и которыми может воспользоваться злоумышленник.

Грамотная интеграция требует тщательного проектирования. Рекомендуется начать с определения сценариев использования (use cases), приоритизировать их по критичности и реализовывать поэтапно, начиная с наиболее рискованных направлений.

Итог

Управление привилегированным доступом — это не просто установка ещё одного средства защиты. Это фундаментальное изменение подхода к безопасности: переход от доверия по умолчанию к модели Zero Trust, где каждое действие администратора контролируется, записывается и может быть проанализировано.

Для объектов КИИ внедрение PAM-системы — одновременно и требование законодательства, и практическая необходимость. Инсайдерские угрозы, компрометация через подрядчиков, кража учётных данных — всё это реальные риски, которые без системного контроля администраторов ИБ могут привести к катастрофическим последствиям.

Ключевые выводы для CISO и CIO:

• PAM — обязательный элемент системы защиты значимых объектов КИИ по требованиям ФСТЭК № 239 и 187-ФЗ.
• Zero Trust невозможен без PAM — система обеспечивает гранулярный контроль «последней мили» доступа.
• Связка PAM + IdM/IGA + SIEM даёт синергетический эффект и закрывает большинство рисков привилегированного доступа.
• Отечественные решения уже достигли зрелости, достаточной для защиты объектов КИИ любой категории значимости.
• Поэтапное внедрение с пилотным контуром минимизирует риски для непрерывности бизнес-процессов.

Нужна помощь с внедрением PAM, категорированием объектов КИИ или подготовкой к проверке ФСТЭК? Специалисты sertifikat.bz помогут выбрать оптимальное решение, спроектировать архитектуру и обеспечить соответствие всем нормативным требованиям. Компания «Астелс» — более 7000 выполненных проектов с 2012 года, работаем в 60+ городах России.