Доклады, выступления, видео и электронные публикации
Обеспечение безопасности и распределение ответственности при организации удаленного доступа
Конявский В. А., д. т. н.,
зав. кафедрой защиты информации ФРКТ МФТИ
Организация удаленного доступа связана с рисками, которые не возникали при привычной форме организации работ. Необходимо осознание этих возникающих дополнительных рисков и определения приемлемых методов их блокировки.
Добавление в состав государственной информационной системы (ГИС) удаленного пользователя эквивалентна изменению границ системы и появлению связанных с этим рисков. В частности, удаленный пользователь и его рабочее место, как правило, размещаются за пределами контролируемой зоны, что снижает уровень защищенности системы.
Очевидно, что при снижении контролируемости, а тем более – при исчезновении некоторых функций контроля, соответствующие (связанные с ними) функции защиты в процессе функционирования системы ослабляются, что ведет к снижению защищенности системы в целом.
Для сохранения достаточного уровня защищенности системы целесообразно предложить дополнительные меры и средства обеспечения защиты, которые бы компенсировали возникающие риски удаленного доступа. Так, при возникновении в системе неконтролируемой зоны или недоверенного пространства возникает необходимость применения средств криптографической защиты информации.
Рассмотрим, как наиболее важные, ГИС 1-го класса. Нас будет интересовать защита клиентского компьютера.
При обычной организации работ пользователь использует этот компьютер в своем офисе, за своим рабочим столом, в контролируемой зоне, и компьютер подключен к ЛВС, не имеющей выхода в Интернет или имеющей выход через все необходимые защитные механизмы.
При этом контролируется и фиксируется вход в офис и в конкретное помещение. Контролируется и регистрируется доступ к компьютеру. Используется контролируемая и защищенная локальная вычислительная сеть.
Теперь рассмотрим несколько основных вариантов организации удаленного доступа.
Вариант 1. Защищенный в соответствии с [1] компьютер устанавливается на территории пользователя, и используется как в автономном режиме, так и в режиме доступа к информационным ресурсам ГИС.
Поскольку компьютер размещен за пределами офиса, канал связи необходимо защитить. Для этого на компьютере дополнительно необходимо установить систему криптографической защиты информации (СКЗИ), сертифицированную ФСБ. Класс СКЗИ – не менее КС2, это минимальный уровень в условиях, когда нарушитель может получить доступ к компьютеру. Конечно, класс КС3 предпочтительнее, но ни при каких обстоятельствах нельзя использовать СКЗИ класса ниже КС2. До сих пор часто встречаются попытки использовать СКЗИ класса КС1 – вот это недопустимо совершенно. СКЗИ этого класса не требуют применения мер по защите ключей, и в результате злоумышленнику уже не нужно направлять свои усилия не на вскрытие шифра (что сложно, если СКЗИ сертифицировано), достаточно завладеть криптографическими ключами, мер по защите которых не принимается.
В целях защиты криптографических ключей целесообразно применять решения, при которых ключи будут недоступны никому из персонала и будут храниться в неизвлекаемом виде.
Применение СКЗИ класса КС2 и выше требует установки в компьютер аппаратного модуля доверенной загрузки – АМДЗ, который должен быть сертифицирован ФСБ по классу не ниже 3Б. Отметим отдельно – в случае, когда применение СКЗИ не обязательно – для ГИС 1-го и 2-го класса достаточно использовать средство доверенной загрузки (СДЗ), сертифицированное ФСТЭК. Оно может быть как программное (СДЗ уровня BIOS), так и аппаратное (СДЗ уровня платы расширения). Для использования СКЗИ необходимо применять только аппаратные решения, и только сертифицированные ФСБ. При подготовке компьютера для удаленного доступа к ГИС это нужно иметь ввиду.
Цена подготовки клиентского компьютера по этому варианту удаленного доступа – около 100 000 руб., с учетом АМДЗ, СКЗИ и других необходимых СЗИ. Сегодня есть возможность выбора защищенных средств, и есть даже решения на базе планшетного компьютера [2].
Нагрузка на пользователя в этом варианте доступа увеличивается в связи с необходимостью строго следовать инструкции при работе с СКЗИ. Исполнение всех мер по безопасности СВТ в этом случае попадает в его зону ответственности. Ответственность работодателя касается установки правильного средства доверенной загрузки в обеспечение требования УПД.17 и требований ФСБ.
Отдельно следует подумать о выполнении требований по защите технических средств (ЗТС), и, в частности, ЗТС.2 – «организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования». Ответственность за организацию контролируемой зоны в этом случае возлагается на пользователя, а руководитель должен объяснить, что входит в это понятие, и проконтролировать, что получилось. Удалось ли пользователю ограничить физический доступ к компьютеру (соседей, детей, и др.), исключить несанкционированный просмотр (например, гостями), используется ли защита от внешних воздействий (жарко, холодно, броски питания и др.).
В целом, это возможно, и обеспечить выполнение мер – необходимо.
Отметим, что требования по ЗТС при применении планшетного компьютера могут быть значительно упрощены.
Вариант 2. Защищенный компьютер в месте расположения пользователя отсутствует, а ему нужно по долгу службы получать кратковременный доступ к ГИС.
Кратковременный доступ должен предоставляться в рамках доверенного сеанса связи (ДСС) с использованием средства обеспечения доверенного сеанса (СОДС) [3]. Длительность сеанса должна составлять не более 20 минут, при этом вероятность успешной атаки за это время низкая при использовании проверенных решений.
Особенность этого типа доступа – кратковременность. При этом загрузка сертифицированной ОС должна осуществляться с носителя, обеспечивающего ее неизменность – в качестве такового обычно применяется носитель в форм-факторе USB [3, 4, 5].
С учетом кратковременности и специальных свойств носителя можно сформулировать следующие особенности этого сценария:
- В состав ИС включаются СОДС – нужны изменения в аттестационные материалы;
- Внутреннего нарушителя нет, СОДС – персональное устройство;
- Внешний нарушитель – Н1, СКЗИ – КС1;
- Эксплуатация СКЗИ осуществляется вне контролируемой зоны;
- К ПЭВМ требования не предъявляются;
- Идентификация и аутентификация осуществляется средствами СОДС, результаты передаются по защищенному каналу в ГИС;
- Целостность ОС ПЭВМ и СКЗИ, исполняемой на ПЭВМ при хранении на СОДС обеспечивается средствами СОДС;
- Журналы идентификации/аутентификации ведутся и хранятся в защищенном и некорректируемом виде (средствами СОДС);
- СОДС должен иметь возможность настройки на интернет, настройки должны храниться в защищенной памяти СОДС;
- Целостность ОС и СКЗИ при исполнении на ПЭВМ обеспечиваются средствами динамического контроля целостности оперативной памяти, сертифицированными ФСТЭК (средства должны входить в состав СОДС);
- При использовании СКЗИ, исполняемых на средствах СОДС, неизвлекаемость криптографических ключей обеспечивается средствами СОДС;
- поскольку ПЭВМ любые, появляются требования к ОС, загружаемой с СОДС – например, настройками исключить все, кроме самого необходимого (монитор, клавиатура, мышь, Интернет);
- В составе ИС должен быть отдельный LDAP, МЭ, криптошлюз и др. периферийные СЗИ, по параметрам защищенности соответствующие требованиям к мерам защиты ГИС.
Расширение зоны ответственности пользователя в этом случае – обеспечивать установленную длительность ДСС и хранение СОДС в условиях, исключающих доступ к нему третьих лиц.
Вариант 3. Используется незащищенный компьютер пользователя, но для подключения к ГИС используются специальные средства вычислительной техники удаленного доступа (ССВТ УД), блокирующие уязвимости, появившиеся при удаленной работе сотрудников. Вариант ССВТ УД на платформе m-TrusT разработан и поставляется под торговым названием «TrusT Удалёнка». Решение сертифицировано ФСБ по классу КС3.
Схему работы при использовании ССВТ УД «TrusT Удалёнка» опишем следующим образом. К компьютеру пользователя подключен микрокомпьютер. При необходимости подключения к ГИС, с него на компьютер пользователя загружается технологическая ОС с терминальным клиентом, и микрокомпьютер становится для компьютера пользователя терминальным сервером.
- На компьютере выполняется:
- PXE-загрузчик, интегрированный в BIOS,
- технологическая ОС, загружаемая с «TrusT Удалёнка»,
- ПО терминального клиента (в ОС, загруженной с «TrusT Удалёнка»);
- На «TrusT Удалёнка» исполняется:
- СДЗ уровня BIOS Аккорд-МКТ (сертифицированное ФСТЭК России),
- российская ОС, в том числе:
- ПО терминального сервера (навстречу ПЭВМ),
- ПО терминального клиента (навстречу ГИС),
- драйвера сети, - браузер,
- TFTP-сервер (поддержка загрузки по PXE),
- Аккорд-X K (для изоляции программной среды по требованиям ФСБ России, сертифицирован ФСТЭК России),
- СКЗИ DCrypt (сертифицирован ФСБ России на платформе m-TrusT на класс КС3).
Сравним технологии СОДС и ССВТ УД.
При сравнении технологий нужно учесть:
- Загрузка образа на ПЭВМ из m-TrusT и из СОДС почти равноценны с точки зрения безопасности, но все же лучше при использовании микрокомпьютера, в силу того что загружаемый образ минимизирован, так как его задача – только поддержка терминального клиента, и большая часть компонентов, при использовании СОДС загружаемых на ПЭВМ, исполняются на микрокомпьютере;
- Требование УПД.17 – доверенная загрузка компьютера, на котором исполняется ПО доступа к ГИС – исполняется при работе с микрокомпьютером, и не обеспечивается при загрузке с флешки, так как при загрузке с флешки не проводится контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники (при загрузке микрокомпьютера этот контроль производится СДЗ). Здесь отметим, что в некоторых рекламных материалах встречается утверждение о том, что микроконтроллер флешки загружается доверенным образом. Но доверенная загрузка флешки не означает доверенной загрузки ПЭВМ, на которой будет исполняться СКЗИ. Это подмена понятий, которая вполне может быть отнесена к недобросовестной рекламе. Доверенной должна быть загрузка СВТ, на котором исполняются СКЗИ и ПО ГИС.
С учетом отчуждения средств доступа к ГИС, в том числе криптографических, от недоверенного компьютера, для доступа с использованием «TrusT Удалёнка» получаем следующие преимущества:
№ |
функция |
Изоляция исполнения от ресурсов ПЭВМ |
Примечания |
|
СОДС |
m-TrusT |
|||
1 |
ОС |
- |
+ |
ОС исполняется на m-TrusT |
2 |
СКЗИ |
- |
+ |
СКЗИ размещается и исполняется на m-TrusT |
3 |
Ключи СКЗИ |
- |
+ |
Криптографические ключи не попадают в память недоверенной ПЭВМ. |
4 |
ПО ТК |
- |
+ |
Терминальный клиент исполняется на доверенном m-TrusT |
5 |
Сетевое ПО |
- |
+ |
То же |
6 |
Браузер |
- |
+ |
То же |
При этом, за счет реализации в m-TrusT функции неизвлекаемого ключа, возможно использовать ключ до 3-х лет.
Одновременно не требуется дополнительный ключевой носитель и меры по контролю этих носителей.
Отметим, что требования ЗТС должны выполняться и в этом случае.
Подводя итог сказанному выше, можно отметить, что решения на базе СОДС (в том числе «МАРШ!» и LiveOffice) можно использовать в ГИС 3-го класса защищенности, а для ГИС высоких классов можно рекомендовать использовать защищенные планшеты или ССВТ УД «TrusT Удалёнка», как решение более стойкое и недорогое.
Что же касается распределения ответственности – распределить ее можно по-разному, например, так, как описано выше. Однако отвечать за потерю данных реально будет всегда руководитель.
Дополнительно компенсировать возникающие риски (в части финансовых потерь) может помочь применение экономических инструментов – таких, как страхование информационных рисков [6].
СПИСОК ЛИТЕРАТУРЫ:
- Приказ ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- Планшет СКЗИ ready «ПКЗ 2020» // Официальный сайт ОКБ САПР [электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/planshetSKZIreadyPKZ2020 (дата обращения: 16.04.2021).
- СОДС // Официальный сайт ОКБ САПР [электронный ресурс]. URL: https://www.okbsapr.ru/products/storage/compute/sods/ (дата обращения: 16.04.2021).
- Aladdin LiveOffice // Официальный сайт Аладдин [электронный ресурс]. URL: https://www.aladdin-rd.ru/catalog/liveoffice (дата обращения: 16.04.2021).
- С-Терра Пост 4.2 // Официальный сайт S-Terra [электронный ресурс]. URL: https://www.s-terra.ru/products/catalog/s-terra-post-4-2/ (дата обращения: 16.04.2021).
- Вусс Г. В., Конявский В. А., Хованов В. Н. Система страхования информационных рисков // Финансовый бизнес. 1998. № 3. С. 34.
Автор: Конявский В. А.
Дата публикации: 04.06.2021
Библиографическая ссылка: Конявский В. А. Обеспечение безопасности и распределение ответственности при организации удаленного доступа // Information Security/Информационная безопасность. М., 2021. № 2. С. 33–35.
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.