Доклады, выступления, видео и электронные публикации

Средства обеспечения контролируемой вычислительной среды удаленного пользователя

Те, кто не считает, что хоть какая-то защиты лучше, чем никакой, а понимает всю опасность безосновательной самоуспокоенности, отдает себе отчет в том, какие меры на самом деле должны приниматься при переводе сотрудников на удаленную работу.

Пример серьезного отношения к защите информации, как обычно, подал Банк России, сформулировав в информационном письме [1] рекомендации по организации мобильного удаленного доступа:

«…

- применение технологий виртуальных частных сетей;

- применение многофакторной аутентификации;

- применение терминального доступа (по возможности);

- мониторинг и контроль действий пользователей удаленного мобильного доступа.

Организационные и технические меры, необходимые для реализации указанных рекомендаций при осуществлении удаленного мобильного доступа, содержатся в национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст.».

Две последние рекомендации – как раз о том, чтобы минимизировать потенциальное негативное влияние персональной вычислительной среды пользователя, которая, во-первых, не защищена должным образом, во-вторых, предоставляет ему слишком много возможностей.

Несмотря на то, что хорошо понятно, как оборудовать личные компьютеры сотрудников так, чтобы их можно было безболезненно включить в корпоративную IT-инфраструктуру, эти действия представляются мало реальными.

В то же время для ряда операций работа в доверенной вычислительной среде является абсолютно необходимой. Апеллируя к уже упомянутым финансовым организациям – это выполнение криптографических операций, которые допускается выполнять только с использованием СКЗИ не ниже КС2 [2, 3, 4].

В таких условиях наиболее приемлемым способом организации удаленной работы сотрудников является выдача им устройств, с которых они будут получать удаленный доступ к информационной системе.

Если доступ должен быть не только удаленным, но и мобильным, то это, очевидно, должен быть планшет.

Единственный планшет с установленным СДЗ уровня платы расширения, сертифицированным ФСБ России как АПМДЗ класса 1Б – это планшет разработки ОКБ САПР «ПКЗ 2020» [5]. В его специально предусмотренный для этого слот (а не на место какого-либо другого устройства) установлен Аккорд-АМДЗ (сертификат СФ/527-3214 от 10.10.2017 года). Это позволяет использовать на планшете любое СКЗИ класса КС2 и КС3, в формуляре которого в качестве АПМДЗ указан Аккорд-АМДЗ (это большинство российских СКЗИ). Планшет может приобретаться с предустановленным СКЗИ или оно может устанавливаться самостоятельно.

Форм-фактор: планшет-трансформер (планшет + клавиатура)

Размер экрана: 11,6 дюйма

Разрешение экрана: 1920 x 1080

Автоповорот: есть

Аккумулятор: 9600 мАч, Li-Ion, что обеспечивает работу без подзарядки в течение всего дня.

Процессор:  Intel® Celeron® N3450

Видеоускоритель: Intel® HD Graphics 500

ОЗУ:  8 ГБ

Встроенная память: 64 ГБ

Сенсорный экран: есть, 10 точек

Основная камера: 8 МПк

Дополнительная камера: 6 МПк

Динамики: встроенные, стерео

Микрофон: встроенный

Встроенный модем: 3G+LTE(передача данных)

WiFi: 802.11 a/b/g/n/ac

Bluetooth: 4.0

Разъем карты памяти: MicroSD, не более 64 ГБ

USB: 2 x USB3.0

Разъем гарнитуры: 3,5 мм

ОС: Windows x64 8.1 и выше, Linux x86-64 с версией ядра выше 4.0 

Необходимо подчеркнуть, что единственность «ПКЗ 2020» определяется не только тем, что это единственное уже интегрированное решение, «под ключ». Установить СДЗ уровня платы расширения в распространенные сегодня планшеты без ущерба для функциональности планшета невозможно в принципе. Даже если в них есть для этого свободный слот m.2 (обычно единственный m.2 занят WiFi-модулем), то он имеет выход не на PCI, а на SSD, то есть для установки АПМДЗ он не годится.

Если даже есть свободный слот подходящего вида (с ключами А-Е), то особенности питания планшетов делают невозможным выполнение функции «сторожевого таймера» – разрыва питания – так, как они реализованы во всех остальных АПМДЗ, кроме Аккорда. В Аккорде-АМДЗ сторожевой таймер сделан с учетом особенностей применения на планшетах.

Поэтому предложения от поставщиков «защищенных планшетов» нуждаются в тщательном осмыслении – в каком отношении этот планшет защищенный, в том ли, которое требуется.

Не всегда, однако, удаленная работа должна быть непременно мобильной. В сложившихся условиях она довольно часто может быть вполне стационарной, но из дома.

В этом случае возможно применения менее дорогих решений, чем индивидуальные планшеты для каждого сотрудника.

Как правило, у сотрудников дома есть какой-никакой компьютер и периферия к нему.

К этой периферии можно подключить защищенный АРМ на базе специализированного микрокомпьютера с аппаратной защитой данных m-TrusT [6]. Он обладает «вирусным иммунитетом», благодаря Новой гарвардской архитектуре, а состав его ПО формируется при заказе и пользователем самостоятельно быть изменен не может, то есть сотрудник не сможет реализовать попытку расширить свои возможности путем установки какого-то дополнительного ПО, пользуясь тем, что средство вычислительной техники находится в его распоряжении. В состав m-TrusT входит резидентный компонент безопасности, в котором реализовано СДЗ, физический ДСЧ, установлено серифицированное средство разграничения доступа. Все это создает предпосылки для использования на нем СКЗИ классов КС2 и КС3. Так, недавно с положительным результатом завершены исследования соответствия СКЗИ Dcrypt 1.0 v.2 классу КС2 (вариант исполнения 29) и КС3 (вариант исполнения 30) при исполнении на специализированном компьютере с аппаратной защитой данных m-TrusT.

Для работы с АРМ на базе m-TrusT в режиме терминального доступа надо указать при заказе, что в ОС микрокомпьютера должно быть установлено ПО терминального клиента.

После завершения работы можно перекоммутировать периферию обратно к домашнему ПК.

Наконец, самый бюджетный вариант для работы сотрудника со своего домашнего компьютера, но исключающий влияние этого компьютера на ИС, к которой сотрудник получает удаленный доступ – это средство обеспечения доверенного сеанса связи (СОДС) «МАРШ!» [7].

При начале доверенного сеанса связи пользователь загружается с «МАРШ!а», обеспечивая тем самым доверенную среду. Далее стартует терминальный клиент (или виртуальный клиент, или браузер – смотря как именно организована удаленная работа в ИС) и начинается сессия.

Загрузка производится из защищённой от записи памяти, жёсткий диск компьютера не используется. Конфигурация загруженной операционной системы максимально ограничивает свободу пользователя: ему недоступны органы управления операционной системы, рабочая среда полностью изолирована от посторонних сетевых соединений, открытый трафик отсутствует, а после завершения работы в терминальной сессии (или в браузере и т. д.) сеанс связи завершается, не давая пользователю делать лишнего.

После загрузки ОС с «МАРШ!а» на произвольный домашний компьютер сотрудника и старта браузера устанавливается доверенный сеанс связи с VPN-шлюзом центральной ИС, закрытые ключи и сертификаты для которого хранятся в защищённой памяти «МАРШ!», и доступ к ним возможен только из ОС «МАРШ!а», поэтому подключиться к ИС со своего компьютера, закгруженного не с «МАРШ!а», а с жесткого диска, и использовать ключи VPN, хранящиеся на «МАРШ!е», пользователь не сможет.

В случае, если работать планируется в режиме web-доступа, через браузер, МЭ из состава ПО в загружаемой ОС позволит задать единственно возможный адрес соединения, чтобы пользователь по ошибке не зашел в рамках доверенного сеанса связи на какой-то небезопасный ресурс.

Плюс решения еще и в том, что пользователю не придется вообще никак изменять привычный уклад жизни – отключил «МАРШ!», перезагрузился – и используешь домашний компьютер по его прямому назначению.

Перечисленные в этой статье средства обеспечения удаленной работы в ИС объединяет три ключевых момента:

  • они делают удаленную работу сотрудника безопасной для ИС;
  • они не требуют внесения существенных изменений в саму ИС;
  • их использование несложно и не накладывает ограничений на использование сотрудником его личных устройств, что предельно важно.

В стрессовой ситуации необходимо стараться снижать уровень стресса, а не усиливать его дополнительными усложнениями жизни. И так хватает.

Список литературы:

  1. Письмо Банка России от 20.03.2020 № ИН-014-56/17 «Информационное письмо о мерах по обеспечению киберустойчивости и информационной безопасности в условиях распространения новой коронавирусной инфекции (COVID-19)» [электронный ресурс]. URL: https://www.cbr.ru/StaticHtml/File/59420/20200320_in-014-56_17.pdf?utm_source=sendpulse&utm_medium=email&utm_campaign=aktualnie-ugrozi-pri-organizat&spush=ZHVnYXJvdkBva2JzYXByLnJ1 (дата обращения: 02.04.2020).
  2. Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
  3. ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
  4. Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации [электронный ресурс]. URL: https://www.garant.ru/products/ipo/prime/doc/72075160/ (дата обращения: 02.04.2020).
  5. Планшет СКЗИ Ready «ПКЗ 2020» [электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/planshetSKZIreadyPKZ2020/ (дата обращения 02.04.2020).
  6. M-TrusT [электронный ресурс]. URL: https://www.okbsapr.ru/products/newharvard/m-trust/ (дата обращения: 02.04.2020).
  7. СОДС [электронный ресурс]. URL: https://www.okbsapr.ru/products/storage/compute/sods/ (дата обращения: 02.04. 2020).

 

Авторы: Конявская С. В.

Дата публикации: 26.05.2020

Издательство: Information Security/Информационная безопасность. М., 2020. № 2. С. 34-35.


Scientia potestas est
Кнопка связи