Доклады, выступления, видео и электронные публикации
Средства обеспечения контролируемой вычислительной среды удаленного пользователя
Те, кто не считает, что хоть какая-то защиты лучше, чем никакой, а понимает всю опасность безосновательной самоуспокоенности, отдает себе отчет в том, какие меры на самом деле должны приниматься при переводе сотрудников на удаленную работу.
Пример серьезного отношения к защите информации, как обычно, подал Банк России, сформулировав в информационном письме [1] рекомендации по организации мобильного удаленного доступа:
«…
- применение технологий виртуальных частных сетей;
- применение многофакторной аутентификации;
- применение терминального доступа (по возможности);
- мониторинг и контроль действий пользователей удаленного мобильного доступа.
Организационные и технические меры, необходимые для реализации указанных рекомендаций при осуществлении удаленного мобильного доступа, содержатся в национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст.».
Две последние рекомендации – как раз о том, чтобы минимизировать потенциальное негативное влияние персональной вычислительной среды пользователя, которая, во-первых, не защищена должным образом, во-вторых, предоставляет ему слишком много возможностей.
Несмотря на то, что хорошо понятно, как оборудовать личные компьютеры сотрудников так, чтобы их можно было безболезненно включить в корпоративную IT-инфраструктуру, эти действия представляются мало реальными.
В то же время для ряда операций работа в доверенной вычислительной среде является абсолютно необходимой. Апеллируя к уже упомянутым финансовым организациям – это выполнение криптографических операций, которые допускается выполнять только с использованием СКЗИ не ниже КС2 [2, 3, 4].
В таких условиях наиболее приемлемым способом организации удаленной работы сотрудников является выдача им устройств, с которых они будут получать удаленный доступ к информационной системе.
Если доступ должен быть не только удаленным, но и мобильным, то это, очевидно, должен быть планшет.
Единственный планшет с установленным СДЗ уровня платы расширения, сертифицированным ФСБ России как АПМДЗ класса 1Б – это планшет разработки ОКБ САПР «ПКЗ 2020» [5]. В его специально предусмотренный для этого слот (а не на место какого-либо другого устройства) установлен Аккорд-АМДЗ (сертификат СФ/527-3214 от 10.10.2017 года). Это позволяет использовать на планшете любое СКЗИ класса КС2 и КС3, в формуляре которого в качестве АПМДЗ указан Аккорд-АМДЗ (это большинство российских СКЗИ). Планшет может приобретаться с предустановленным СКЗИ или оно может устанавливаться самостоятельно.
Форм-фактор: планшет-трансформер (планшет + клавиатура)
Размер экрана: 11,6 дюйма
Разрешение экрана: 1920 x 1080
Автоповорот: есть
Аккумулятор: 9600 мАч, Li-Ion, что обеспечивает работу без подзарядки в течение всего дня.
Процессор: Intel® Celeron® N3450
Видеоускоритель: Intel® HD Graphics 500
ОЗУ: 8 ГБ
Встроенная память: 64 ГБ
Сенсорный экран: есть, 10 точек
Основная камера: 8 МПк
Дополнительная камера: 6 МПк
Динамики: встроенные, стерео
Микрофон: встроенный
Встроенный модем: 3G+LTE(передача данных)
WiFi: 802.11 a/b/g/n/ac
Bluetooth: 4.0
Разъем карты памяти: MicroSD, не более 64 ГБ
USB: 2 x USB3.0
Разъем гарнитуры: 3,5 мм
ОС: Windows x64 8.1 и выше, Linux x86-64 с версией ядра выше 4.0
Необходимо подчеркнуть, что единственность «ПКЗ 2020» определяется не только тем, что это единственное уже интегрированное решение, «под ключ». Установить СДЗ уровня платы расширения в распространенные сегодня планшеты без ущерба для функциональности планшета невозможно в принципе. Даже если в них есть для этого свободный слот m.2 (обычно единственный m.2 занят WiFi-модулем), то он имеет выход не на PCI, а на SSD, то есть для установки АПМДЗ он не годится.
Если даже есть свободный слот подходящего вида (с ключами А-Е), то особенности питания планшетов делают невозможным выполнение функции «сторожевого таймера» – разрыва питания – так, как они реализованы во всех остальных АПМДЗ, кроме Аккорда. В Аккорде-АМДЗ сторожевой таймер сделан с учетом особенностей применения на планшетах.
Поэтому предложения от поставщиков «защищенных планшетов» нуждаются в тщательном осмыслении – в каком отношении этот планшет защищенный, в том ли, которое требуется.
Не всегда, однако, удаленная работа должна быть непременно мобильной. В сложившихся условиях она довольно часто может быть вполне стационарной, но из дома.
В этом случае возможно применения менее дорогих решений, чем индивидуальные планшеты для каждого сотрудника.
Как правило, у сотрудников дома есть какой-никакой компьютер и периферия к нему.
К этой периферии можно подключить защищенный АРМ на базе специализированного микрокомпьютера с аппаратной защитой данных m-TrusT [6]. Он обладает «вирусным иммунитетом», благодаря Новой гарвардской архитектуре, а состав его ПО формируется при заказе и пользователем самостоятельно быть изменен не может, то есть сотрудник не сможет реализовать попытку расширить свои возможности путем установки какого-то дополнительного ПО, пользуясь тем, что средство вычислительной техники находится в его распоряжении. В состав m-TrusT входит резидентный компонент безопасности, в котором реализовано СДЗ, физический ДСЧ, установлено серифицированное средство разграничения доступа. Все это создает предпосылки для использования на нем СКЗИ классов КС2 и КС3. Так, недавно с положительным результатом завершены исследования соответствия СКЗИ Dcrypt 1.0 v.2 классу КС2 (вариант исполнения 29) и КС3 (вариант исполнения 30) при исполнении на специализированном компьютере с аппаратной защитой данных m-TrusT.
Для работы с АРМ на базе m-TrusT в режиме терминального доступа надо указать при заказе, что в ОС микрокомпьютера должно быть установлено ПО терминального клиента.
После завершения работы можно перекоммутировать периферию обратно к домашнему ПК.
Наконец, самый бюджетный вариант для работы сотрудника со своего домашнего компьютера, но исключающий влияние этого компьютера на ИС, к которой сотрудник получает удаленный доступ – это средство обеспечения доверенного сеанса связи (СОДС) «МАРШ!» [7].
При начале доверенного сеанса связи пользователь загружается с «МАРШ!а», обеспечивая тем самым доверенную среду. Далее стартует терминальный клиент (или виртуальный клиент, или браузер – смотря как именно организована удаленная работа в ИС) и начинается сессия.
Загрузка производится из защищённой от записи памяти, жёсткий диск компьютера не используется. Конфигурация загруженной операционной системы максимально ограничивает свободу пользователя: ему недоступны органы управления операционной системы, рабочая среда полностью изолирована от посторонних сетевых соединений, открытый трафик отсутствует, а после завершения работы в терминальной сессии (или в браузере и т. д.) сеанс связи завершается, не давая пользователю делать лишнего.
После загрузки ОС с «МАРШ!а» на произвольный домашний компьютер сотрудника и старта браузера устанавливается доверенный сеанс связи с VPN-шлюзом центральной ИС, закрытые ключи и сертификаты для которого хранятся в защищённой памяти «МАРШ!», и доступ к ним возможен только из ОС «МАРШ!а», поэтому подключиться к ИС со своего компьютера, закгруженного не с «МАРШ!а», а с жесткого диска, и использовать ключи VPN, хранящиеся на «МАРШ!е», пользователь не сможет.
В случае, если работать планируется в режиме web-доступа, через браузер, МЭ из состава ПО в загружаемой ОС позволит задать единственно возможный адрес соединения, чтобы пользователь по ошибке не зашел в рамках доверенного сеанса связи на какой-то небезопасный ресурс.
Плюс решения еще и в том, что пользователю не придется вообще никак изменять привычный уклад жизни – отключил «МАРШ!», перезагрузился – и используешь домашний компьютер по его прямому назначению.
Перечисленные в этой статье средства обеспечения удаленной работы в ИС объединяет три ключевых момента:
- они делают удаленную работу сотрудника безопасной для ИС;
- они не требуют внесения существенных изменений в саму ИС;
- их использование несложно и не накладывает ограничений на использование сотрудником его личных устройств, что предельно важно.
В стрессовой ситуации необходимо стараться снижать уровень стресса, а не усиливать его дополнительными усложнениями жизни. И так хватает.
Список литературы:
- Письмо Банка России от 20.03.2020 № ИН-014-56/17 «Информационное письмо о мерах по обеспечению киберустойчивости и информационной безопасности в условиях распространения новой коронавирусной инфекции (COVID-19)» [электронный ресурс]. URL: https://www.cbr.ru/StaticHtml/File/59420/20200320_in-014-56_17.pdf?utm_source=sendpulse&utm_medium=email&utm_campaign=aktualnie-ugrozi-pri-organizat&spush=ZHVnYXJvdkBva2JzYXByLnJ1 (дата обращения: 02.04.2020).
- Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
- ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
- Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации [электронный ресурс]. URL: https://www.garant.ru/products/ipo/prime/doc/72075160/ (дата обращения: 02.04.2020).
- Планшет СКЗИ Ready «ПКЗ 2020» [электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/planshetSKZIreadyPKZ2020/ (дата обращения 02.04.2020).
- M-TrusT [электронный ресурс]. URL: https://www.okbsapr.ru/products/newharvard/m-trust/ (дата обращения: 02.04.2020).
- СОДС [электронный ресурс]. URL: https://www.okbsapr.ru/products/storage/compute/sods/ (дата обращения: 02.04. 2020).
Автор: Конявская-Счастная (Конявская) С. В.
Дата публикации: 26.05.2020
Библиографическая ссылка: Конявская С. В. Средства обеспечения контролируемой вычислительной среды удаленного пользователя // Information Security/Информационная безопасность. М., 2020. № 2. С. 34–35.
Метки документа:
mkt
аутентификация
вирусы и антивирусы
доверенный сеанс связи (дсс) и средства его обеспечения (содс)
защита клиентских рабочих мест
идентификация
криптография
марш!
пкз 2020
различные типы свт (ibm system z/моноблок/ноутбук и другие)
система удаленного доступа/распределенная система
уязвимости/угрозы/атаки
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.