Обеспечение безопасности и распределение ответственности при организации удаленного доступа

Конявский В. А., д. т. н.,

зав. кафедрой защиты информации ФРКТ МФТИ

Организация удаленного доступа связана с рисками, которые не возникали при привычной форме организации работ. Необходимо осознание этих возникающих дополнительных рисков и определения приемлемых методов их блокировки. 

Добавление в состав государственной информационной системы (ГИС) удаленного пользователя эквивалентна изменению границ системы и появлению связанных с этим рисков. В частности, удаленный пользователь и его рабочее место, как правило, размещаются за пределами контролируемой зоны, что снижает уровень защищенности системы.

Очевидно, что при снижении контролируемости, а тем более – при исчезновении некоторых функций контроля, соответствующие (связанные с ними) функции защиты в процессе функционирования системы ослабляются, что ведет к снижению защищенности системы в целом.

Для сохранения достаточного уровня защищенности системы целесообразно предложить дополнительные меры и средства обеспечения защиты, которые бы компенсировали возникающие риски удаленного доступа. Так, при возникновении в системе неконтролируемой зоны или недоверенного пространства возникает необходимость применения средств криптографической защиты информации.

Рассмотрим, как наиболее важные, ГИС 1-го класса. Нас будет интересовать защита клиентского компьютера.

При обычной организации работ пользователь использует этот компьютер в своем офисе, за своим рабочим столом, в контролируемой зоне, и компьютер подключен к ЛВС, не имеющей выхода в Интернет или имеющей выход через все необходимые защитные механизмы.

При этом контролируется и фиксируется вход в офис и в конкретное помещение. Контролируется и регистрируется доступ к компьютеру. Используется контролируемая и защищенная локальная вычислительная сеть.

Теперь рассмотрим несколько основных вариантов организации удаленного доступа.

Вариант 1. Защищенный в соответствии с [1] компьютер устанавливается на территории пользователя, и используется как в автономном режиме, так и в режиме доступа к информационным ресурсам ГИС.

Поскольку компьютер размещен за пределами офиса, канал связи необходимо защитить. Для этого на компьютере дополнительно необходимо установить систему криптографической защиты информации (СКЗИ), сертифицированную ФСБ. Класс СКЗИ – не менее КС2, это минимальный уровень в условиях, когда нарушитель может получить доступ к компьютеру. Конечно, класс КС3 предпочтительнее, но ни при каких обстоятельствах нельзя использовать СКЗИ класса ниже КС2. До сих пор часто встречаются попытки использовать СКЗИ класса КС1 – вот это недопустимо совершенно. СКЗИ этого класса не требуют применения мер по защите ключей, и в результате злоумышленнику уже не нужно направлять свои усилия не на вскрытие шифра (что сложно, если СКЗИ сертифицировано), достаточно завладеть криптографическими ключами, мер по защите которых не принимается.

 В целях защиты криптографических ключей целесообразно применять решения, при которых ключи будут недоступны никому из персонала и будут храниться в неизвлекаемом виде.

Применение СКЗИ класса КС2 и выше требует установки в компьютер аппаратного модуля доверенной загрузки – АМДЗ, который должен быть сертифицирован ФСБ по классу не ниже 3Б. Отметим отдельно – в случае, когда применение СКЗИ не обязательно – для ГИС 1-го и 2-го класса достаточно использовать средство доверенной загрузки (СДЗ), сертифицированное ФСТЭК. Оно может быть как программное (СДЗ уровня BIOS), так и аппаратное (СДЗ уровня платы расширения). Для использования СКЗИ необходимо применять только аппаратные решения, и только сертифицированные ФСБ. При подготовке компьютера для удаленного доступа к ГИС это нужно иметь ввиду.

Цена подготовки клиентского компьютера по этому варианту удаленного доступа – около 100 000 руб., с учетом АМДЗ, СКЗИ и других необходимых СЗИ. Сегодня есть возможность выбора защищенных средств, и есть даже решения на базе планшетного компьютера [2].

Нагрузка на пользователя в этом варианте доступа увеличивается в связи с необходимостью строго следовать инструкции при работе с СКЗИ. Исполнение всех мер по безопасности СВТ в этом случае попадает в его зону ответственности. Ответственность работодателя касается установки правильного средства доверенной загрузки в обеспечение требования УПД.17 и требований ФСБ.

Отдельно следует подумать о выполнении требований по защите технических средств (ЗТС), и, в частности, ЗТС.2 – «организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования». Ответственность за организацию контролируемой зоны в этом случае возлагается на пользователя, а руководитель должен объяснить, что входит в это понятие, и проконтролировать, что получилось. Удалось ли пользователю ограничить физический доступ к компьютеру (соседей, детей, и др.), исключить несанкционированный просмотр (например, гостями), используется ли защита от внешних воздействий (жарко, холодно, броски питания и др.).

В целом, это возможно, и обеспечить выполнение мер – необходимо.

Отметим, что требования по ЗТС при применении планшетного компьютера могут быть значительно упрощены.

Вариант 2. Защищенный компьютер в месте расположения пользователя отсутствует, а ему нужно по долгу службы получать кратковременный доступ к ГИС.

Кратковременный доступ должен предоставляться в рамках доверенного сеанса связи (ДСС) с использованием средства обеспечения доверенного сеанса (СОДС) [3]. Длительность сеанса должна составлять не более 20 минут, при этом вероятность успешной атаки за это время низкая при использовании проверенных решений.

Особенность этого типа доступа – кратковременность. При этом загрузка сертифицированной ОС должна осуществляться с носителя, обеспечивающего ее неизменность – в качестве такового обычно применяется носитель в форм-факторе USB [3, 4, 5].

С учетом кратковременности и специальных свойств носителя можно сформулировать следующие особенности этого сценария:

• В состав ИС включаются СОДС – нужны изменения в аттестационные материалы;
• Внутреннего нарушителя нет, СОДС – персональное устройство;
• Внешний нарушитель – Н1, СКЗИ – КС1;
• Эксплуатация СКЗИ осуществляется вне контролируемой зоны;
• К ПЭВМ требования не предъявляются;
• Идентификация и аутентификация осуществляется средствами СОДС, результаты передаются по защищенному каналу в ГИС;
• Целостность ОС ПЭВМ и СКЗИ, исполняемой на ПЭВМ при хранении на СОДС обеспечивается средствами СОДС;
• Журналы идентификации/аутентификации ведутся и хранятся в защищенном и некорректируемом виде (средствами СОДС);
• СОДС должен иметь возможность настройки на интернет, настройки должны храниться в защищенной памяти СОДС;
• Целостность ОС и СКЗИ при исполнении на ПЭВМ обеспечиваются средствами динамического контроля целостности оперативной памяти, сертифицированными ФСТЭК (средства должны входить в состав СОДС);
• При использовании СКЗИ, исполняемых на средствах СОДС, неизвлекаемость криптографических ключей обеспечивается средствами СОДС;
• поскольку ПЭВМ любые, появляются требования к ОС, загружаемой с СОДС – например, настройками исключить все, кроме самого необходимого (монитор, клавиатура, мышь, Интернет);
• В составе ИС должен быть отдельный LDAP, МЭ, криптошлюз и др. периферийные СЗИ, по параметрам защищенности соответствующие требованиям к мерам защиты ГИС.

Расширение зоны ответственности пользователя в этом случае – обеспечивать установленную длительность ДСС и хранение СОДС в условиях, исключающих доступ к нему третьих лиц.

Вариант 3. Используется незащищенный компьютер пользователя, но для подключения к ГИС используются специальные средства вычислительной техники удаленного доступа (ССВТ УД), блокирующие уязвимости, появившиеся при удаленной работе сотрудников. Вариант ССВТ УД на платформе m-TrusT разработан и поставляется под торговым названием «TrusT Удалёнка». Решение сертифицировано ФСБ по классу КС3.

Схему работы при использовании ССВТ УД «TrusT Удалёнка» опишем следующим образом. К компьютеру пользователя подключен микрокомпьютер. При необходимости подключения к ГИС, с него на компьютер пользователя загружается технологическая ОС с терминальным клиентом, и микрокомпьютер становится для компьютера пользователя терминальным сервером.

• На компьютере выполняется:
  • PXE-загрузчик, интегрированный в BIOS,
  • технологическая ОС, загружаемая с «TrusT Удалёнка»,
  • ПО терминального клиента (в ОС, загруженной с «TrusT Удалёнка»);
• На «TrusT Удалёнка» исполняется:
  • СДЗ уровня BIOS Аккорд-МКТ (сертифицированное ФСТЭК России),
  • российская ОС, в том числе:
  • ПО терминального сервера (навстречу ПЭВМ),
  • ПО терминального клиента (навстречу ГИС),
  • драйвера сети, - браузер,
  • TFTP-сервер (поддержка загрузки по PXE),
  • Аккорд-X K (для изоляции программной среды по требованиям ФСБ России, сертифицирован ФСТЭК России),
  • СКЗИ DCrypt (сертифицирован ФСБ России на платформе m-TrusT на класс КС3).

Сравним технологии СОДС и ССВТ УД.

При сравнении технологий нужно учесть:

• Загрузка образа на ПЭВМ из m-TrusT и из СОДС почти равноценны с точки зрения безопасности, но все же лучше при использовании микрокомпьютера, в силу того что загружаемый образ минимизирован, так как его задача – только поддержка терминального клиента, и большая часть компонентов, при использовании СОДС загружаемых на ПЭВМ, исполняются на микрокомпьютере;
• Требование УПД.17 – доверенная загрузка компьютера, на котором исполняется ПО доступа к ГИС – исполняется при работе с микрокомпьютером, и не обеспечивается при загрузке с флешки, так как при загрузке с флешки не проводится контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники (при загрузке микрокомпьютера этот контроль производится СДЗ). Здесь отметим, что в некоторых рекламных материалах встречается утверждение о том, что микроконтроллер флешки загружается доверенным образом. Но доверенная загрузка флешки не означает доверенной загрузки ПЭВМ, на которой будет исполняться СКЗИ. Это подмена понятий, которая вполне может быть отнесена к недобросовестной рекламе. Доверенной должна быть загрузка СВТ, на котором исполняются СКЗИ и ПО ГИС.

С учетом отчуждения средств доступа к ГИС, в том числе криптографических, от недоверенного компьютера, для доступа с использованием «TrusT Удалёнка» получаем следующие преимущества:

№	функция	Изоляция исполнения от ресурсов ПЭВМ		Примечания
		СОДС	m-TrusT
1	ОС	-	+	ОС исполняется на m-TrusT
2	СКЗИ	-	+	СКЗИ размещается и исполняется на m-TrusT
3	Ключи СКЗИ	-	+	Криптографические ключи не попадают в память недоверенной ПЭВМ.
4	ПО ТК	-	+	Терминальный клиент исполняется на доверенном m-TrusT
5	Сетевое ПО	-	+	То же
6	Браузер	-	+	То же

 

При этом, за счет реализации в m-TrusT функции неизвлекаемого ключа, возможно использовать ключ до 3-х лет.

Одновременно не требуется дополнительный ключевой носитель и меры по контролю этих носителей.

Отметим, что требования ЗТС должны выполняться и в этом случае.

Подводя итог сказанному выше, можно отметить, что решения на базе СОДС (в том числе «МАРШ!» и LiveOffice) можно использовать в ГИС 3-го класса защищенности, а для ГИС высоких классов можно рекомендовать использовать защищенные планшеты или ССВТ УД «TrusT Удалёнка», как решение более стойкое и недорогое.

Что же касается распределения ответственности – распределить ее можно по-разному, например, так, как описано выше. Однако отвечать за потерю данных реально будет всегда руководитель.

Дополнительно компенсировать возникающие риски (в части финансовых потерь) может помочь применение экономических инструментов – таких, как страхование информационных рисков [6].

СПИСОК ЛИТЕРАТУРЫ:

1. Приказ ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
2. Планшет СКЗИ ready «ПКЗ 2020» // Официальный сайт ОКБ САПР [электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/planshetSKZIreadyPKZ2020 (дата обращения: 16.04.2021).
3. СОДС // Официальный сайт ОКБ САПР [электронный ресурс]. URL: https://www.okbsapr.ru/products/storage/compute/sods/ (дата обращения: 16.04.2021).
4. Aladdin LiveOffice // Официальный сайт Аладдин [электронный ресурс]. URL: https://www.aladdin-rd.ru/catalog/liveoffice (дата обращения: 16.04.2021).
5. С-Терра Пост 4.2 // Официальный сайт S-Terra [электронный ресурс]. URL:   https://www.s-terra.ru/products/catalog/s-terra-post-4-2/ (дата обращения: 16.04.2021).
6. Вусс Г. В., Конявский В. А., Хованов В. Н. Система страхования информационных рисков // Финансовый бизнес. 1998. № 3. С. 34.

Автор: Конявский В. А.

Дата публикации: 04.06.2021

Библиографическая ссылка: Конявский В. А. Обеспечение безопасности и распределение ответственности при организации удаленного доступа // Information Security/Информационная безопасность. М., 2021. № 2. С. 33–35.

---