Журнал "Information Security/ Информационная безопасность" #3, 2023

Пользователь не сможет изменить образ установленной администратором ОС, загрузить и использовать свои при- ложения, узнать или изменить настройки и параметры удаленного подключения. Он даже не знает свой пароль для уда- ленного подключения, следовательно, и не сможет его кому-то передать и дис- кредитировать. Типовые сценарии использования решения, которые актуальны сегодня: 1. Дистанционная работа сотрудников при использовании ими личных компьютеров: l во время болезни, отпуска, команди- ровки; l для сотрудников, временно уехавших из страны, но продолжающих работать дистанционно, с доступом в ИС органи- зации, что повышает риски утечки и компрометации чувствительных данных. 2. Организация безопасного доступа привилегированных пользователей к кри- тически важным информационным ресурсам организации, если стоит задача не допустить утечки, компрометации, искажения чувствительной информации, снизить вероятность атак и последствий от деструктивных действий внутренних и внешних нарушителей. 3. Организация безопасной работы внешних агентов организации. Пример использования Организация является оператором персональных данных (оформление полисов), полисы оформляют внешние агенты. Заставить внешних агентов выполнять все требования регуляторов, политик и требований организации по безопасности практически невозможно. Агенты используют для удаленной рабо- ты неконтролируемые организацией ком- пьютеры, их аккаунты (логины, пароли, настройки для подключения) могут использоваться посторонними, переда- ваться третьим лицам, контролировать их использование организация не может. Данные клиентов (персональные данные, оформленные полисы) хранятся на ком- пьютерах агентов, бесконтрольно копи- руются и утекают, попадают в консоли- дированные хакерские базы, что несет огромные репутационные риски и обо- ротные штрафы для организации. Решение: l Организация предъявляет требования к средствам для безопасной дистан- ционной работы, с помощью которых разрешено подключение к ее ИС (по ана- логии с ФНС – требования к средствам электронной подписи). l Агенты (зарабатывающие на оказании услуг по оформлению полисов) само- стоятельно приобретают нужные сред- ства или выполняют требования по защи- те своих компьютеров в соответствии с требованиями 17-го приказа ФСТЭК России ("Меры защиты") и предостав- ляют их организации для записи серти- фикатов доступа и параметров под- ключения к ее ИС. Использование спе- циализированного средства Aladdin Live- Office обходится значительно дешевле, чем защищенный по требованиям ФСТЭК и ФСБ России компьютер, кото- рый в случае с ГИС должен являться частью аттестованной ГИС, что потре- бует ее переаттестации, организации контролируемой зоны и пр. (что практи- чески нереализуемо). l При использовании Aladdin LiveOffice внешние агенты будут знать только ПИН-код своего устройства. Ни пароля, ни параметров для подключения к ИС организации они знать не будут, не смо- гут сохранять у себя данные клиентов, обрабатываемые документы – все это существенно снижает риски утечек и эко- номит бюджет организации. Еще один пример использования Организация является оператором пер- сональных данных, государственной организацией, субъектом КИИ. Для авто- матизации используется ПО 1С (Пред- приятия/Бухгалтерии/Кадры/фреш или др.). Информация в 1С – критическая для организации (данные поставщиков, кадры, цены и пр.). Продукт 1С установ- лен в закрытом контуре, ИС организации аттестована, поддержкой 1С занимается внешняя организация (1С-франчайзи). Часть функций бухучета (кадровый учет) ведет внешний совместитель. ИС атте- стована, добавить компьютер с удален- ным доступом – значит включить его в состав ИС и провести переаттестацию (предварительно выполнив все требова- ния регуляторов), это сложно и дорого. Решение: l Использование Aladdin LiveOffice, добавление его в состав аттестованной ИС (это несложно, поскольку решение безопасно и сертифицировано именно для этих целей). Проблема контроли- руемой зоны решается выпуском инструкции для пользователя. Сертификация Отдельные классы сертификации для средств дистанционной работы не пред- усмотрены, поэтому используются тре- бования по уровням доверия в зависи- мости от того, где необходимо применять LiveOffice. Решение Aladdin LiveOffice сертифи- цировано ФСТЭК России по 4-му уровню доверия и может применяться: l в государственных информационных системах (ГИС) до 1-го класса защи- щенности включительно; l в информационных системах персо- нальных данных (ИСПДн) до 1-й катего- рии включительно; l в ИС значимых объектов критической информационной инфраструктуры (КИИ) до 1-й категории включительно; l в АСУ ТП на критически важных объ- ектах до 1-го класса защищенности включительно; l в медицинских (МИС), банковских (ИБС) и других ИС до 1-го класса защи- щенности включительно; l в информационных системах общего пользования 2-го класса. В части микроэлектроники разработана отдельная версия решения на отечествен- ном IoT-микроконтроллере 1892ВМ268 – Cortex M33 с технологией TrustZone про- изводства АО НПЦ "ЭЛВИС", что дало увеличение скорости работы с зашифро- ванными разделами до 20 Мбайт/с, а это максимальная скорость для USB 2.0. Решение включено в реестр Минцифры. Для оценки работы Aladdin LiveOffice можно заказать специальный демоком- плект. В его состав входят: l USB-устройство Aladdin LiveOffice с набором предустановленного ПО, настроенные для подключения к шлюзу демозоны компании Аладдин. l Инструкция по подключению и исполь- зованию. На демонстрационном сервере раз- вернуты виртуальные рабочие места, установлены рабочие приложения. l • 57 ТЕХНОЛОГИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru На правах рекламы Таблица. Aladdin LiveOffice выпускается в двух вариантах исполнения Сертифицированная версия l для госорганизаций, органов исполнительной власти, организаций КИИ, операторов ИСПДн и пр. l когда необходимо обеспечить выполнение всех требований регуляторов l когда необходимо подключаться и дистанционно работать в аттестованных ГИС, ИСПДн и др. Коммерческая версия (СЕ) для коммерческих организаций базируется на использовании лучших практик и рекомендаций при организации безопасной дистанционной работы l когда требуется обеспечить высокий уровень безопасности и защититься от деструктивных действий инсайдеров (внутренних нарушителей, нелояльных/обиженных сотрудников, контрагентов) l когда необходимо обеспечить гибкость и минимальные изменения в ИТ-инфраструктуре Фиксированная замкнутая программная среда Достаточно гибкая программная среда, возможность установки необходимых компонент для совместимости с имеющейся ИТ- инфраструктурой Соответствие требованиям регуляторов (ФСТЭК, ФСБ, Центральный банк России) Более низкая цена