Aladdin LiveOffice: Обеспечиваем безопасную дистанционную работу по требованиям ФСТЭК
О существующих требованиях ФСТЭК России к организации безопасной дистанционной работы в текущих условиях, ключевых угрозах и рисках, решениях и методах рассказывают Сергей Груздев, генеральный директор компании "Аладдин Р.Д.", Дмитрий Шевцов, начальник 2-го Управления ФСТЭК России и Максим Судаков, консультант Отдела правовой защиты информации и организации деятельности территориальных подразделений УИБ ФНС России.
Содержание |
Даже после окончания пандемии многие компании продолжают работать в гибридном или удаленном режиме. При этом вопросам защиты удаленного доступа сотрудников до сих пор уделяется недостаточное внимание. Бизнесу и госсектору особенно важно понимать и исполнять регуляторные требования и стандарты организации дистанционной работы. Они касаются в первую очередь использования информационных систем, идентификации и аутентификации, в особенности для объектов критической информационной инфраструктуры.
Немного истории
Обеспечение безопасности дистанционной работы и удаленного доступа к информационным системам было изначально предусмотрено во всех законодательных требованиях о защите информации в ГИС и безопасности объектов КИИ, а также в составе мер и способов защиты персональных данных. Они касались идентификации и аутентификации пользователей при удаленном подключении, регистрации событий при его обеспечении, применения мобильных устройств, подключаемых к ГИС и КИИ. Однако, было одно «но» ― все эти меры предполагали использование только служебной техники.
Именно пандемия COVID-19, повлекшая за собой массовый переход сотрудников компаний на удаленную работу, привела к обновлению требований регулятора. Бизнесу и госструктурам требовалось в считанные дни перевести персонал в дистанционный режим и обеспечить при этом безопасность данных.
В марте 2020 года мы оперативно разработали комплекс первоочередных мер по переводу госслужащих на «удаленку» и довели эти рекомендации до всех государственных органов. Первый блок касался обеспечения безопасной дистанционной работы с использованием служебного оборудования. Второй ― применения технологии LiveUSB в работе с домашними ПК, так как мы понимали, что служебной техники на всех не хватит и нужно экстренно внедрять новые инструменты для работы с ресурсами, ― говорит Дмитрий Шевцов, начальник 2-го Управления ФСТЭК России. |
Эксперты ФСТЭК прописали требования к содержимому LiveUSB носителей. В частности, на них должны быть установлены средства криптографической защиты информации, сертифицированные ФСТЭК и ФСБ России. Использовать такую технологию для организации дистанционной работы рекомендовалось только при необходимости организации удаленного доступа сотрудников к информационным ресурсам. Также требовалось определить, кто имеет право такого доступа, с каких устройств, какие носители информации при этом используются. Ключевым требованием становилась идентификация и двухфакторная аутентификация пользователей.
Требования регуляторов в сфере организации дистанционной работы
Права и обязанности работодателей и сотрудников при дистанционной работе определяет Федеральный закон №407-ФЗ и требования ФСТЭК России к средствам обеспечения безопасной «удаленки» (Приказ ФСТЭК России №32 от 16 февраля 2021). Вместе с ними появились и первые программные решения, позволяющие реализовать все предписания регулятора.
Требования ФСТЭК, касающиеся конкретных мер и использования средств защиты данных, обязаны выполнять владельцы и операторы государственных информационных систем, субъекты критической информационной инфраструктуры, а также операторы систем персональных данных.Известный писатель-фантаст Сергей Лукьяненко выступит на TAdviser SummIT 28 ноября. Регистрация
В обязательном порядке применение сертифицированных средств обеспечения безопасности дистанционной работы требуется для защиты государственных информационных ресурсов. Такая норма предусмотрена Федеральным законом №149, Постановлением Правительства России №330 и Приказом ФСТЭК России №17. В остальных случаях решение об использовании средств защиты компании принимают самостоятельно.
Они имеют право выбрать либо специализированное, сертифицированное программное обеспечение, либо тот продукт, который соответствует требованиям к безопасности информации. Для персональных данных форма не определена, поэтому субъект критической информационной инфраструктуры или оператор СПДН могут самостоятельно провести оценку соответствия и применять собственную систему защиты информации, ― комментирует Д. Шевцов. |
Требования к организации безопасной дистанционной работы ФСТЭК разрабатывало совместно с представителями ФСБ и разработчиками средств защиты информации в рамках рабочей группы при Минцифры России.
Как отмечает Дмитрий Шевцов, сертифицированные ФСТЭК решения можно применять как при работе со служебной техникой, так и с личной. А вот использование самописных систем всегда чревато рисками. В первую очередь ― утечками данных, происходящими из-за недостаточных мер по защите информации.
Контроль за соблюдением требований регулятора
ФСТЭК России регулярно проводит проверки госорганов и контролирует соответствие ГИС всей полноте требований, в том числе в случае организации удаленной работы сотрудников. При выявлении недостатков и нарушений выписываются соответствующие предписания.
Аттестация рабочего места для дистанционной работы обязательна только для ГИС. В ее рамках эксперты оценивают, насколько решение соответствует требованиям по безопасности информации, проверяют включена ли служебная техника в контур информационной системы, а также проведена ли полная инвентаризация всех ресурсов. Для субъектов КИИ, операторов информационных систем и систем персональных данных такая аттестация сугубо добровольная.
В требованиях ФСТЭК также прописано, что решение для безопасной дистанционной работы обязательно должно быть сертифицировано, а его установка на личную технику сотрудников должна вестись в строгом соответствии с технической документацией на нее. При этом ПО необходимо привязать к конкретному ноутбуку или компьютеру ― учтенному и авторизованному. За все эти процедуры всегда отвечает администратор информационной системы.
На страже безопасности данных
Помимо сертифицированных средств доверенной загрузки, ОС и двухфакторной аутентификации, для безопасной работы необходимо использовать сертифицированные СКЗИ для защиты канала передачи данных и шифрования защищаемой информации на LiveUSB с дистанционным доступом к системе через технологии RDP и VDI, с централизованным управлением LiveUSB и удаленным администрированием.
На рынке пока представлено только одно сертифицированное решение на основе технологии LiveUSB ― Aladdin LiveOffice, созданное в 2021 году специально для организации безопасной удаленной работы в государственных структурах, предприятиях КИИ, банках, органах исполнительной власти и коммерческих компаниях.
В момент массового перехода госструктур и бизнеса на удаленную работу в магазинах начался дефицит ноутбуков, а сотрудников нужно было обеспечивать рабочей техникой. Поэтому, регуляторам пришлось идти на вынужденную меру ― разрешить специалистам госучреждений использовать домашние компьютеры и ноутбуки для работы с ГИС. Риск заключался в том, что личная техника может нести определенные угрозы ― вирусы, трояны, шпионское и вредоносное ПО, а доступ к к ней возможно есть не только у сотрудника. Поэтому требовалось создать изолированную замкнутую среду, позволяющую защитить систему от атак, несанкционированных загрузок и выгрузок, сохранений документов.
Для нас это был технологический вызов с крайне интересной задачей. Технология LiveUSB существует достаточно давно, но раньше она была очень нишевая, ее использовали только администраторы для восстановления компьютеров, например. Нам же нужно было разработать решение, позволяющее использовать домашнюю технику изолировано от содержательной части обрабатываемой на ней информации, и чтобы при этом пользователь не знал своих логинов и паролей, не мог распечатать, скопировать и сохранить служебную информацию, ― комментирует Сергей Груздев, генеральный директор компании "Аладдин Р.Д.". |
Как работает Aladdin LiveOffice
Aladdin LiveOffice ― российское комплексное программно-аппаратное решение для организации инфраструктуры удаленных рабочих мест. Оно позволяет безопасно подключаться к сети организации и государственным информационным системам не только с корпоративных, но и личных устройств сотрудников.
При использовании Aladdin LiveOffice все процессы ведутся в терминальном режиме из замкнутой доверенной программной среды. Документы обрабатываются на служебном компьютере или виртуальном рабочем месте (VDI) в защищённом периметре организации. На ПК или ноутбук пользователя передаются отрисованные экраны, а с него – коды нажатых клавиш на клавиатуре и движения мышки.
Решение легко встраивается в существующие корпоративные ИТ-инфраструктуры, обладает широкими возможностями кастомизации, а также позволяет существенно сэкономить бюджет на организацию дистанционной работы за счёт возможности защищенного использования личных устройств работников компании. Продукт сертифицирован ФСТЭК России и помогает обеспечить полное выполнение требований регулятора.
Среди особенностей решения:
- Выполнено в форм-факторе загружаемого USB-носителя (LiveUSB).
- Загрузка сертифицированной операционной системы семейства Linux позволяет создать безопасную изолированную среду со встроенными средствами защиты информации и набором программного обеспечения, необходимого для реализации защищённого удалённого доступа, включая двухфакторную аутентификацию и электронную подпись.
- Доступ к рабочему столу служебного компьютера обеспечивается автоматически подключаемым VPN- и RDP-соединением.
- Совокупность аппаратных и программных компонентов, сертифицированных на соответствие требованиям ФСТЭК и ФСБ России, позволяет безопасно работать с информацией ограниченного распространения (в том числе для служебного пользования).
Пользователь работает в комфортной среде, где все документы и папки размещены на своих привычных местах, и не нужно переучиваться в новой системе, это очень удобно. Фактически это полноценная альтернатива служебному ноутбуку с набором установленных средств защиты, обеспечивающих выполнение требований регулятора, но при этом сильно дешевле. А для того, чтобы обезопасить служебную информацию от фотокопий, мы разработали технологию нанесения водяных знаков. Они не мешают работе, но в случае утечки данных в формате скриншотов или фотографий экрана помогут быстро вычислить злоумышленника, ― поясняет С. Груздев. |
Aladdin LiveOffice позволяет:
- Использовать устройство для работы только на авторизованных компьютерах.
Например, на личном домашнем и служебном компьютере.
- При удалённом подключении к ИС организации отказаться от использования запоминаемых паролей, вводимых пользователями вручную. Это существенно повысит безопасность, ведь если пользователь не знает свой пароль, то и не сможет его дискредитировать, используя в соцсетях и в других электронных сервисах.
- Использовать надёжную двухфакторую аутентификацию (2ФА) пользователей: строгую или усиленную.
- Владельцам крупных ГИС организовать безопасную работу своих контрагентов, не являющихся сотрудниками организации.
Aladdin LiveOffice в качестве защищённого терминала обеспечивает работу в преднастроенной, замкнутой доверенной среде, все процессы производятся в среде организации, скопировать документы, загрузить в систему вирус или троян контрагент не сможет. Такое решение в 5-10 раз дешевле, чем аттестованный по требованиям безопасности компьютер, удобнее и безопаснее.
Aladdin LiveOffice может использоваться для организации дистанционного или смешанного режима работы:
- В государственных информационных системах (ГИС) до 1-го класса защищённости включительно.
- В информационных системах персональных данных (ИСПДн) до 1-го уровня защищённости включительно.
- В ИС значимых объектов критической информационной инфраструктуры (КИИ) до 1-ой категории включительно.
- В АСУ ТП на критически важных объектах до 1-го класса защищённости включительно.
- В медицинских (МИС), банковских (ИБС) и других ИС до 1-го класса защищённости включительно.
- В информационных системах общего пользования II класса.
- Для юридически значимого электронного документооборота.
- Для работы со всеми видами тайн и сведений, кроме гостайны.
- При реализации требований по защите информации от НСД для АС классов защищённости 1Г, 1Д, 2Б, 3Б.
Токен блокирует возможность скопировать информацию на другие диски или устройства, распечатать обрабатываемую служебную информацию, загрузить с внешнего носителя или из интернета любой файл и передать его в ИС организации. Также Aladdin LiveOffice закрывает прямой выход в интернет и доступ к данным при краже или утере носителя.
Решение может администрироваться дистанционно с использованием системы централизованного управления JMS, которая автоматизирует большинство рутинных операций и позволяет обновлять пользовательские настройки, профили, цифровые сертификаты, ключи.
Нередко у госструктур возникает вопрос как убедиться, что именно их сотрудник пользуется токеном и можно ли носитель привязать к личности человека. В планах у компании "Аладдин Р.Д." внедрить в устройство Aladdin LiveOffice технологию биометрической идентификации. Биосенсор будет считывать отпечаток пальца и только после этого запускать доступ к удаленному рабочему месту. Таким образом, посторонние люди не смогут им воспользоваться.
Практика защиты дистанционной работы в ФНС России
Федеральная налоговая служба России как государственный орган обязана соблюдать все требования регуляторов по защите информации и имеет право закупать только сертифицированные средства безопасности. Поиски подходящего решения ведомство начало еще в допандемийном 2019 году, так как возможность пользоваться удаленным рабочим столом требовалась уже на тот момент. У ФНС большой объем работы не только с ГИС, но и внутренней перепиской с подведомствами.
VPN-соединение в Налоговой службе организовано через решение «Застава», поэтому было важно, чтобы средство безопасности удаленной работы с ним не конфликтовало и не требовалось закупать новое оборудование для VPN-канала. Рабочая среда в ведомстве изолированная и состоит только из ОС Linux и RDP-соединения.
Как госорган мы искали именно сертифицированные средства, чтобы они отвечали в том числе требованиям к шифрованию канала связи, VPN-соединению. Поиски подтолкнула пандемия. В 2021 году мы купили Aladdin LiveOffice и начали внедрять его в работу. Перед нами стояла задача не только научить им пользоваться 1000 сотрудников центрального аппарата, но и подготовить инструкции для подведомственных организаций. Тестирование функциональности провели на рабочей группе из 15 человек. Мы даже не стали запускать и внедрять никакую техническую поддержку, поскольку это оказалось простое в использовании решение. Также специально для нас разработчик инсталлировал в Linux как можно больше драйверов под разные сетевые карты, что позволило решить проблему запуска ОС на различных периферийных устройства, ― рассказывает Максим Судаков, консультант Отдела правовой защиты информации и организации деятельности территориальных подразделений УИБ ФНС России. |
На данный момент порядка 500 сотрудников центрального аппарата ФНС постоянно работают в удаленном формате на домашних компьютерах и ноутбуках различной конфигурации. Используя Aladdin LiveOffice и авторизованную администратором технику, они могут решать рабочие задачи находясь где угодно. Основное требование ― обеспечить себе контролируемую зону работы, без посторонних людей. В случае утери «флэшки» доступ к учетной записи блокируется и выдается новый зашифрованный ключ.
Пользователи такой механизм работы в целом и Aladdin LiveOffice оценили положительно. Мы выдали территориальным налоговым органам по всей стране уже 3500 устройств. Несовместимость с компьютерами или ноутбуками оказалась на уровне 15-16%. В этом случае мы либо предоставляли служебную технику, либо сотруднику приходилось все же выезжать в офис, ― комментирует М. Судаков. |
А как бизнесу сделать удаленную работу безопасной
По словам Дмитрия Шевцова, самый быстрый способ ― приобрести сертифицированные решения, изучить сопутствующую документацию и требования регуляторов.
Сергей Груздев советует использовать технологии удаленного доступа к ресурсам на сервере, не предполагающие хранения информации на жестком диске компьютера или ноутбука. Если же по каким-то причинам данные нужно сохранять, то рекомендуется применять средства криптографии и зашифровать все данные на устройствах, которые выносятся за периметр организации.
Для коммерческих организаций на базе Aladdin LiveOffice мы делаем кастомизированную, не сертифицированную версию под существующую ИТ-инфраструктуру. Она также позволяет изящно и удобно решить все проблемы безопасной удаленной работы, ― говорит С. Груздев. |
Наши требования разработаны для госорганов. Но, как показывает практика последнего времени, коммерческие компании очень часто сталкиваются с утечкой служебной информации. Мы готовы делиться опытом, подходами и методами применения требований, чтобы бизнес мог их адаптировать под себя и защитить свои базы данных, ― резюмирует Д. Шевцов. |
Тренд на удалённую работу будет усиливаться, поэтому мерами обеспечения безопасности стоит заняться уже сейчас, если это не было сделано ранее. Тем более, что на рынке появились соответствующие отечественные сертифицированные комплексные решения, а сценарии их применения понятны и отработаны.