Журнал "Системы Безопасности" № 3‘2020

В опрос предоставления удаленного доступа к отдельным элементам ИT-инфраструктуры никогда не был так актуален, как сегодня. Мно- гие предприятия полностью отказались от посе- щения сотрудниками офисов, а подрядными организациями – технологических объектов. При этом в условиях, когда деятельность неко- торых компаний может полностью приостано- виться, многие системные администраторы или лица, их заменяющие, не обращают внимание на обеспечение элементарной информацион- ной безопасности. Удаленный доступ – Must-Have для бизнеса Для многих системных администраторов и спе- циалистов по информационной безопасности выражение "безопасный удаленный доступ" является априори из области фантастики. В неко- тором смысле они правы. Предоставление уда- ленного доступа может повысить уязвимость системы подобно тому, как любые ворота суще- ственно повышают уязвимость самой неприступ- ной крепости. Тем не менее в средневековых замках ворота были обычным делом, а вот в некоторых российских компаниях удаленный доступ подрядчику для мониторинга технологи- ческой сети представляется несбыточной мечтой. Во-первых, хотелось бы отметить, что удален- ный доступ сегодня – это не безумная хотелка ленивого подрядчика и крайнее средство при введении режима самоизоляции при вирусной инфекции. Удаленный доступ часто является единственно возможным условием организа- ции постоянного онлайн-мониторинга разветв- ленных технологических систем. Без предостав- ления удаленного доступа существенно возрас- тает стоимость проведения работ по техниче- скому обслуживанию, оперативной настройке и элементарной перезагрузке оборудования. В некоторых экстренных случаях удаленный доступ просто необходим для подключения спе- циалистов производителя и обслуживающей организации. Для компаний, которые передают вопросы обслуживания и эксплуатации на аут- сорсинг, отсутствие удаленного доступа снижает оперативность, качество и объем выполнения работ подрядчиками. Наконец, некоторые конт- ролирующие организации требуют предостав- ления удаленного доступа к компонентам тех- нологических систем на время проведения тех или иных испытаний (например, АО "АТС" и АО "СО ЕЭС" в энергетике). Во-вторых, современный уровень технологий позволяет организовать удаленный доступ с достаточной разумной степенью защищенно- сти даже при минимальных вложениях в разви- тие ИT-инфраструктуры. В-третьих, абсолютно защищенной не может быть даже полностью закрытая сеть. А ведь тех- нологические сети тем или иным образом все- гда связаны с корпоративной сетью или Интер- нетом. То есть даже при отсутствии удаленного доступа к элементам сети риск появления и обнаружения злоумышленниками уязвимо- стей в контуре безопасности сохраняется. Под предлогом недопустимости увеличения этого риска и действуют различные сетевые службы, полностью пресекая любые предложе- ния по организации "удаленки". Тем не менее вопрос поддержания информационной без- опасности состоит не в ограничении производ- ственной функциональности объекта, а в обес- печении его безопасной работы в рамках, необходимых для выполнения задач. И подоб- но тому, как бухгалтерия не может управлять заводом (хотя это и распространенное на прак- тике явление в российских реалиях), специали- сты информационной безопасности должны выполнять свою работу и искать безопасные технологические решения, а не ограничивать деятельность компании в целом под предлогом отказа от рискованных операций. Вероятный негативный эффект от предоставления удален- ного доступа чаще связан с неправильно поставленной общей структурой обеспечения информационной безопасности, чем с конкрет- ными действиями с удаленного компьютера. Требования, без выполнения которых не стоит и начинать Для начала обозначим общий круг вопросов, которые нужно решить в технологической сети автоматизированной системы до ее выхода в свет внешней сети. В целом все это элементар- ные действия, которые должны быть в любом стандарте предприятия или в инструкции по работе системного администратора, но не лиш- ним будет их повторить: l при подключении к сетевым элементам долж- на функционировать идентификация и аутен- тификация пользователей; l должен регулярно проводиться аудит инфор- мационной безопасности; l должна быть организована антивирусная защита; l необходимо обеспечение целостности и доступности сети; l должна быть организована защита автомати- зированной системы и ее компонентов, а также прочих элементов технологической сети; l должно осуществляться централизованное управление конфигурацией сети; июнь – июль 2020 www.secuteck.ru УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 96 Ярослав Мироненко Заместитель генерального директора АО "РЭС Групп" Предоставление безопасного удаленного доступа к автоматизированным технологическим системам. Часть 1 В данной статье освещены практические особенности организации безопасного уда- ленного доступа и современные технологии, которые, с одной стороны, позволяют обеспечить стабильное подключение, а с другой – оставляют ваши данные конфи- денциальными. Акцент сделан на специфике подключения к технологическим систе- мам, но универсальность используемой ИТ-инфраструктуры и общие принципы сете- вого администрирования делают ее полезной при рассмотрении вопросов удален- ного подключения к любой сети www.bilibili.com