Журнал "Системы Безопасности" № 3‘2020

www.secuteck.ru июнь – июль 2020 УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 97 l должно регулярно выполняться обновление программного обеспечения; l на предприятии должна быть разработана политика информационной безопасности, учи- тывающая реагирование на инциденты инфор- мационной безопасности, инструкцию дей- ствий в нештатных ситуациях, планирование мероприятий по обеспечению безопасности; l должно быть проведено информирование и обучение персонала. Все вышеперечисленные действия должны быть уже предусмотрены в компании. Если их нет, то вопрос организации удаленного доступа лучше отложить до их появления. Так будет намного безопаснее. Только контроль или полноценное управление? Предположим, что все общие требования реа- лизованы и вы готовы дать доступ к оборудова- нию сети. Прежде всего надо сформулировать и понять задачу, стоящую в каждой конкретной ситуации перед специалистами, которые будут подключаться извне. Демонстрация экрана В некоторых случаях, когда их присутствие необходимо только для контроля действия персо- нала на месте, вообще не имеет смысла органи- зовывать удаленный доступ, а можно использо- вать специальное программное обеспечение, поз- воляющее демонстрировать пользователям экран рабочего стола (например, сервис Google Hango- uts). Никакого удаленного управления здесь нет, но специалисту на той стороне будет удобно сле- дить за действиями персонала на месте. Виртуальный рабочий стол Если все-таки необходимо удаленное управле- ние, то надо четко ограничить контур допуска. Как правило, в автоматизированных системах конфигурация даже отдельного технологиче- ского узла возможна только с информационно- го уровня, которым является сервер системы. То есть для выполнения работы с автоматизи- рованной системой надо не просто предоста- вить доступ в сеть либо к файловой структуре сервера, но и организовать виртуальный рабо- чий стол. Бывают и исключения, когда сконфи- гурировать устройство или осуществить мони- торинг его работы можно с любого АРМ, просто к нему подключенного, либо когда достаточно иметь доступ к файловой структуре оборудова- ния сети для заливки конфигурационного файла. О некоторых этих исключениях мы пого- ворим несколько позже, а пока остановимся на организации виртуального рабочего стола. Работа в системе в этом случае будет происхо- дить под действующими профилями. Так как по "удаленке" в большинстве случаев выполняются пусконаладочные работы на действующем обо- рудовании, эти профили должны иметь доста- точный уровень прав для установки приложений и изменения уже установленных для работы с текущими процессами и службами в операцион- ной системе и др. То есть профили, под которы- ми будет проходить работа сотрудника на уда- ленном рабочем месте, будут привилегирован- ными. Очень редко в технологической сети пред- усмотрен мониторинг действий таких пользова- телей, но если вы на самом деле заинтересованы в создании нормально функционирующей системы безопасности, то лучше организовать подобную систему контроля. А еще лучше рас- пространить ее не только на технологическую сеть с удаленным доступом, но и на локальную корпоративную. Предложений на рынке масса как от отечественных, так и от зарубежных ком- паний, а их стоимость сравнительно невысока. Удобное ПО для предоставления доступа Теперь после выполнения всех организационных мероприятий можно приступить к собственно соз- данию удаленного доступа к технологическому оборудованию из внешней сети. При рассмотре- нии технического аспекта организации удаленно- го доступа клиент без глубоких знаний вопросов системного администрирования сталкивается с большим количеством терминов и определений, которые трудно идентифицировать, отличить друг от друга и, наконец, просто использовать. В рам- ках данной статьи мы постараемся дать макси- мально полезный блок информации, в котором читателю не придется искать различия между тер- минами "протокол" и "запатентованная техноло- гия", но будут понятно и доходчиво определены необходимые инструменты, описаны их преиму- щества и недостатки. Первый и самый простой из обычно используе- мых способов организации удаленного досту- па – это установка программного обеспечения для подключения к виртуальному рабочему столу. На рынке представлено множество подобных решений, среди них TeamViewer, Rad- min, RMS, Remote Deskop Client от Microsoft и т.д. Все эти программы находятся в очевидном топе при подключении к технологической сети: они удобные, простые в установке (есть стандартная программа для Windows), многие имеют сво- бодные лицензии, не требуют серьезного обуче- ния персонала на объекте. Плюсом идет актив- ное развитие технологий шифрования для защиты передаваемой информации. В целом такое решение выглядит достаточно интересным для предоставления доступа к технологической сети, которая имеет выход в Интернет. На что обратить внимание? Часто технологические сети автоматизирован- ных систем имеют ограниченный набор сетевых портов для доступа к Интернету, что обосновано требованиями информационной безопасности (более того, если это не сделано, то есть повод усомниться в квалификации ИT-персонала). Программы для организации доступа к вирту- альному рабочему столу используют те же сете- вые порты для собственной работы, и систем- ный администратор для организации удаленно- го доступа должен их открыть. Для каждого ПО есть свой список портов, и используемый диа- пазон может быть достаточно широким, в то время как с точки зрения безопасности надо этот диапазон максимально сузить. Вот и полу- чается серьезный критерий выбора программ- ного обеспечения: чем меньше портов задей- ствовано в его работе, тем проще обеспечить информационную безопасность. Однако на практике использование такого про- граммного обеспечения возможно только в отношении небольших изолированных сетей. Организация подключения по RDP сама по себе является удобным проходом в закрытую сеть, которым могут воспользоваться злоумышленни- ки. Понятно, что едва ли можно ожидать скоор- динированной атаки на сервер технологической линии по производству стеклянной тары. Но в отношении крупной сети, в свою очередь соединенной со множеством других, действуют уже совсем иные правила, некоторые из них устанавливаются на законодательном уровне. Лучший способ следовать законодательству В Российской Федерации действуют два круп- ных нормативных документа, определяющих требования к защите доступа к определенным технологическим сетям: 1. Федеральный закон № 187-ФЗ "О безопас- ности критической информационной инфра- структуры". 2. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 "Об утверждении требований по обес- печению безопасности значимых объектов кри- тической информационной инфраструктуры Российской Федерации". Как и все документы в области информационной безопасности, они скорее являются руководствами по организационному обеспечению, чем реальны- ми практическими стандартами. Тем не менее ответственность за сохранность сетевой инфра- структуры в отношении крупных промышленных объектов они устанавливают, а создание по ини- циативе или попустительству собственника сети открытой "дыры" в контуре защиты явно будет нарушением федерального законодательства. В обозначенных условиях для организации под- ключения к виртуальному рабочему столу надо воспользоваться более надежным инструмен- том – создать VPN-подключение. n Продолжение следует Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Редакция советует В статье обоснована актуальность вопросов удаленного доступа к технологическим сетям, описаны требования к информацион- ной безопасности, варианты предоставления удаленного доступа к сети в зависимости от задач (контроль или управление). Решение по удаленному доступу предоставляют партнеры проекта "Информационная безопасность" – специализированный сервис-провайдер в сфере информационной безопасности, ИТ и консалтинга, лицензиат ФСБ России и ФСТЭК России – компания "Инфосекьюрити", российский дистрибьютор специализированных решений систем управления внутренней без- опасностью и оптимизации сетей Web Control, системный интегратор, консультант и поставщик комплексных решений в сфере защиты информации АО "ДиалогНаука" и другие.