Контакты
Подписка 2026

Кто контролирует контролера?

Николай Чуприн, 15/05/19

chuprinОб особенностях контроля привилегированных пользователей на промышленных предприятиях, а также о сложностях внедрение и результатах редакции журнала Information Security рассказал руководитель отдела информационных систем Группы компаний ЕПК – Николай Чуприн.

– Как в вашей организации возникла задача контроля привилегированного доступа? Что послужило толчком к поиску решения и реализации проекта?

– После внедрения системы управления пользовательским доступом мы оценили удобство и простоту использования такого ПО. Пожалели об упущенном времени с точки зрения защиты от несанкционированного доступа, когда мы обходились только ненадежной парольной аутентификацией без дополнительной защиты. Тогда и было принято решение о необходимости скорейшей интеграции централизованного управления привилегированным доступом. Зачем подвергать рискам атак или потери самые важные корпоративные данные, которые требуются только администраторам системы? Безусловно, мы доверяем своим сотрудникам! Но в этом вопросе идет речь о том, что далеко не каждый сотрудник применяет в своей работе те или иные сведения. Доступ есть, а потребности в его использовании для выполнения конкретной работы нет. Поэтому и нужна система, которая будет определять уровни доступа и выдавать на него разрешения.

Кто выступал инициатором внедрения и заказчиком новой системы?

– Мы, как и большинство руководителей крупных компаний, считаем, что доступом к информационным ресурсам может управлять только специализированный отдел. У нас курирует эти вопросы отдельный департамент ИТ. Его сотрудники инициировали внедрение управлением доступа пользователей с помощью второго фактора. Тогда выбрали OTP – одноразовый пароль. После успешной реализации проекта двухфакторной аутентификации они же, осознавая риски бесконтрольного использования административных учетных записей, предложили и их взять под защиту.

Сформировали и утвердили задачи, которые хотим решить при использовании программного обеспечения. Потом приступили к поиску подходящего решения.

Как администраторы информационных систем отнеслись к внедрению системы PAM?

– К моменту, когда привыкали к измененному механизму получения привилегированного доступа, уже все свободно использовали ОТР. Поэтому проблем и конфликтов практически не было. Аргументация "против" разбилась о понимание важности защиты учетных данных и корпоративных секретов.

На этапе пилотного внедрения удалось полностью подстроить систему под наши требования. Поэтому переход на новый сценарий работы с привилегированными учетными записями прошел почти безболезненно для сотрудников.

Расскажите, пожалуйста, подробнее о принципе работы выбранной системы. Какие у нее особенности?

– Схема работы очень простая и распространенная в подобных системах. Сотрудник не использует административную учетную запись для выполнения рутинной работы, т.е. основная рабочая станция не является носителем привилегированной учетной записи. Когда возникает необходимость управления системой из консоли администратора, сотрудник подключается к прокси-серверу доступа по протоколу RDP. Из этого прокси-сервера открывается сессия на целевой сервер.

Сотрудник аутентифицируется с помощью своих пользовательских учетных записей (непривилегированных) и на целевой сервер попадает уже в административную сессию. При этом также используется сценарий двухфакторной аутентификации.

Сразу же начинается журналирование всех событий, происходящих во время привилегированной сессии. Фиксируется клавиатурный ввод, ведется видео- и текстовая запись. Эти данные отдельно архивируются. Мы всегда имеем доступ к ним.

Наличие в PAM функционала, позволяющего вести и архивировать разные виды фиксации событий в сессиях, и есть его преимущество. Не нужно внедрять еще одну систему для этих целей и искать способ их интеграции между собой.

Какие есть сложности в использовании нового механизма предоставления привилегированного доступа?

– Сложности как таковой не было. Был проделан большой объем предварительных работ. Первоначально подробно прописали сценарий работы системы. Под этот сценарий разрабатывались уровни доступа и списки из имеющейся базы учетных записей, кому и какой доступ предоставить. Потом заполняли базы учетных данных и раздавали доступ. Это серьезная работа, требующая тщательной проработки. Но ее нужно проделать только один раз на этапе подготовки к внедрению.

Конечно, для корректной работы системы потребовалось и выделение дополнительных мощностей и проверка отказоустойчивости, производительности и стабильности работы системы. Это все проведено в рамках пилотного внедрения. Тестируемая система показала себя с хорошей стороны.

Что изменилось после внедрения PAM? Как проект в целом повлиял на ИБ?

– Первым отмечу тот факт, что планирование и четкая проработка политики предоставления привилегированного доступа дисциплинировала сотрудников, потому что PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только тех, кому предоставлена возможность административного управления системой.

Второй, но не менее важный факт – это сокращение числа сотрудников, имеющих доступ к привилегированным учетным записям. Соответственно, чем меньше количество точек входа в консоль администратора, тем меньше риск утраты информационных ресурсов и вероятность возникновения инцидентов.

Следовательно, реализация этого проекта позволила нам уменьшить поверхность атаки на информационные ресурсы компании.

Какие, на ваш взгляд, существуют особенности в организации ИБ при работе привилегированных пользователей на промышленных предприятиях?

– Современная промышленность стремится к роботизации. Там, где раньше производством управлял человек, сегодня управляет программа. Автоматизированное управление технологическим процессом не может и не должно оставаться беззащитным перед угрозой несанкционированного доступа к ней. Защита бесперебойного функционирования этих процессов –  важнейшая цель службы информационной безопасности.

Но настройку роботизированных систем все еще выполняют люди, поэтому пренебрегать внедрением усиленной защиты доступа административных пользователей нельзя.

От работы системы защиты доступа к управлению технологическими процессами на производстве зависит работа других подразделений и предприятия в целом.

Что повлияло на выбор конкретного поставщика решения?

– Перед выбором вендора пришлось изучить предложения на рынке еще более внимательно, чем при запуске системы аутентификации для всех пользователей. Требования департамента ИТ можно понять. Стояла задача не просто выбора оптимального решения. Нужна была беспроблемная интеграция с уже существовавшей к тому моменту системой управления пользовательским доступом.

Одни предлагали стыковку с помощью API. Другие не имели опыта поддержки сторонних решений. Остальные разработчики находились за границей.

Мы – российское предприятие и отдаем предпочтение качественным отечественным решениям. Поддерживаем, так сказать, отечественных производителей.

Поэтому приняли решение внедрить PAM от российского разработчика уже используемого нами инструмента пользовательской аутентификации. Сразу нивелировалась проблема интеграции и дальнейшего взаимодействия между нами и технической поддержкой программных продуктов, тем более мы уже привыкли к их службе поддержки. Отработанная схема взаимодействия и оперативные ответы на любые вопросы определенно склоняют чашу весов в пользу этого вендора.

Темы:ИнтервьюСКУДПерсоны
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • САКУРА 3: путь к автоматизации без границ и вечер пятницы для ИБ-отдела
    Максим Ефремов, заместитель генерального директора по информационной безопасности, “ИТ-Экспертиза”
    Мы поговорили с Максимом Ефремовым, заместителем генерального директора по ИБ компании "ИТ-Экспертиза" и владельцем программного комплекса САКУРА. Поводом стала круглая дата – год с момента анонса САКУРА версии 3. Нам стало интересно какой путь прошел релиз за это время, а также как он вписывается в контекст событий в сфере информационной безопасности сегодня.
  • Безопасность нельзя добавить постфактум. Практика DevSecOps от УЦСБ
    Евгений Тодышев, руководитель направления “Безопасная разработка” УЦСБ
    Безопасная разработка в промышленности требует постоянного поиска баланса между требованиями регуляторов, скоростью вывода продукта и жесткими ограничениями встраиваемых систем. Руководитель направления “Безопасная разработка” УЦСБ Евгений Тодышев рассказал, какие компромиссы неизбежны, а какие вредны, почему безопасность нельзя добавлять постфактум, как встроить DevSecOps в легаси и в каких случаях сервисная модель выгоднее собственной команды.
  • Энергетика уходит от формального подхода к встроенной безопасности
    Тимур Павленко, начальник департамента информационной безопасности ООО “Башкирэнерго”.
    Энергетика – одна из самых чувствительных отраслей с точки зрения киберрисков. Как выстраивается реальная киберустойчивость в условиях роста количества компьютерных атак, импортозамещения, цифровизации и динамично развивающейся законодательной базы, – рассказал Тимур Павленко, начальник департамента информационной безопасности ООО “Башкирэнерго”.
  • Luntry: защита контейнеров и Kubernetes без иллюзий
    Дмитрий Евдокимов, менеджер по разработке продукта компании “Гарда Технологии” (входит в группу компаний “Гарда”)
    Kubernetes сегодня лежит в основе инфраструктуры банков, промышленности, E-commerce и AI-платформ. Но вместе с гибкостью и скоростью бизнес получает новый уровень сложности, ведь классические подходы к защите здесь не работают. О причинах, почему контейнерная безопасность – это системная инженерная задача, а не чек-лист, мы поговорили с Дмитрием Евдокимовым, основателем и техническим директором компании Luntry.
  • Безопасность vs инновации: осознанный выбор инфобезника в финтехе
    Алексей Плешков, Независимый эксперт по информационной безопасности, эксперт BISA
    Алексей Плешков, эксперт по информационной безопасности с более чем двадцатилетним опытом, о том, как трансформировались ИБ-подходы за последние годы, почему инсайдеры сегодня опаснее внешних атак и зачем ИБ пришлось учить язык бизнеса.
  • Информационная безопасность – это не броня, а интеллект
    Наталья Милославская, доктор технических наук, профессор кафедры информационной безопасности банковских систем НИЯУ МИФИ
    Информационная безопасность превращается в важнейшую индустрию, услугами которой пользуются бизнес, государство и обычные граждане. О последних тенденциях в этой сфере мы поговорили с профессором кафедры информационной безопасности банковских систем НИЯУ МИФИ, доктором технических наук Натальей Милославской.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...