Если у вас возникли вопросы, или появилось предложение, напишите нам

Какие есть вообще варианты защитить удалёнку

Вариантов три.

  1. защитить домашний компьютер пользователя в соответствии с Приказом ФСТЭК России №17 (при этом на компьютер нужно установить модуль доверенной загрузки – аппаратный или программный – в зависимости от класса ГИС, например, ПАК «Аккорд‑АМДЗ» или СДЗ уровня BIOS «Аккорд‑МКТ», а также средства разграничения доступа – ПАК «Аккорд-Х», СПО «Аккорд‑Х K», СПО «Аккорд‑Win64 K»);
  2. предоставить пользователю средство обеспечения доверенного сеанса (СОДС), с помощью которого пользователь сможет получать кратковременный доступ к ГИС в рамках доверенного сеанса связи (ДСС) со своего незащищенного компьютера. При этом загрузка сертифицированной ОС должна осуществляться с носителя, обеспечивающего ее неизменность – в качестве такового обычно применяется носитель в форм-факторе USB (например, СОДС «МАРШ!»);
  3. предоставить пользователю специальное средство вычислительной техники удалённого доступа (ССВТ УД), с помощью которого пользователь сможет получать кратковременный доступ к ГИС со своего незащищенного компьютера через СКЗИ.

Реализация первых двух вариантов работы, так или иначе, сопряжена с некоторыми затруднениями.

Цена клиентского компьютера в рамках первого варианта довольно высока. Связано это с необходимостью защиты канала связи, так как клиентское рабочее место находится за пределами защищенной корпоративной инфраструктуры. В общем случае для защиты канала на компьютер пользователя необходимо установить систему криптографической защиты информации (СКЗИ) соответствующего класса защиты – КС2. Применение СКЗИ класса КС2, в свою очередь, и выше требует установки в компьютер аппаратного модуля доверенной загрузки – АМДЗ (или СДЗ – средства доверенной загрузки – если применение СКЗИ не обязательно). Кроме того, такой вариант работы характеризуется высокой нагрузкой на пользователя, так как именно на пользователя возлагается ответственность по обеспечению мер по защите технических средств (ЗТС) рабочего места (ограничение физического доступ к своему рабочему месту, исключение несанкционированного просмотра экрана и т. д), а также строго соблюдать инструкции при работе с СКЗИ. В частности, в целях защиты криптографических ключей целесообразно применять решения, при которых ключи будут недоступны никому из персонала и будут храниться в неизвлекаемом виде. Следует отметить, что в случае с планшетным компьютером требования ЗТС выполнить гораздо легче – его можно носить с собой, идя попить кофе, переворачивать экраном вниз, садясь возле окна или зеркала – держать под углом.

Во втором варианте организации удалённого доступа требований к компьютеру пользователя не предъявляется, так как неважно на какой машине будет работать пользователь – доступ к ГИС он получает только в рамках ДСС, при котором целостность среды и СКЗИ контролируется непосредственно самим СОДС. Однако следует учесть, что СОДС, как правило, выполнено в форм‑факторе USB, и ввод его в ИС повлечет необходимость внесения соответствующих изменений в аттестационные документы. Кроме того, при исполнении на недоверенном компьютере пользователя проверенной ОС, находящейся на СОДС, возникает необходимость контролировать целостность этой ОС непосредственно на клиентском месте. Для этого необходимы специальные средства динамического контроля целостности, которые должны быть установлены на само СОДС. Дополнительно необходимы отдельный протокол LDAP, межсетевой экран, криптошлюз и др. периферийные средства защиты информации (СЗИ), по параметрам защищенности соответствующие требованиям к мерам защиты ГИС.

Необходимо отметить, что при реализации удалённого доступа по второму варианту для меры УПД.17 – обеспечение доверенной загрузки – не выполняется прямо прописанное требование контроля целостности программного обеспечения и аппаратных компонентов средств вычислительной техники, При загрузке с флешки средства компьютера, на который загружается ОС, никак не контролируются, а именно об этом говорится в требовании.

В рамках третьего варианта подключение к ГИС выполняется через ССВТ УД, блокирующее уязвимости, появившиеся при удалённой работе сотрудников.

Этот вариант описан на родительской страничке.

от базиса
к надстройке
Кнопка связи