Журнал "Information Security/ Информационная безопасность" #2, 2020

Пример серьезного отношения к защите информации, как обыч- но, подал Банк России, сформулировав в информационном пись- ме 1 рекомендации по организации мобильного удаленного доступа: "...применение технологий вир- туальных частных сетей; при- менение многофакторной аутентификации; применение терминального доступа (по воз- можности); мониторинг и конт- роль действий пользователей удаленного мобильного досту- па. Организационные и техниче- ские меры, необходимые для реализации указанных реко- мендаций при осуществлении удаленного мобильного досту- па, содержатся в национальном стандарте Российской Феде- рации ГОСТ Р 57580.1–2017 “ Безопасность финансовых (банковских) операций. Защита информации финансовых орга- низаций. Базовый состав орга- низационных и технических мер ” , утвержденном приказом Федерального агентства по тех- ническому регулированию и метрологии от 08.08.2017 № 822-ст.". Две последние рекомендации – как раз о том, чтобы минимизи- ровать потенциальное негатив- ное влияние персональной вычислительной среды пользо- вателя, которая, во-первых, не защищена должным образом, во-вторых, предоставляет ему слишком много возможностей. Мобильный доступ: планшет "ПКЗ 2020" Несмотря на то что хорошо понятно, как оборудовать лич- ные компьютеры сотрудников так, чтобы их можно было без- болезненно включить в корпо- ративную ИT-инфраструктуру, эти действия представляются мало реальными. В то же время для ряда опе- раций работа в доверенной вычислительной среде является абсолютно необходимой. Апел- лируя к уже упомянутым финан- совым организациям, это выполнение криптографических операций, которые допускается выполнять только с использо- ванием СКЗИ не ниже КС2 2 . В таких условиях наиболее приемлемым способом органи- зации удаленной работы сотрудников является выдача им устройств, с которых они будут получать удаленный доступ к информационной системе. Если доступ должен быть не только удаленным, но и мобиль- ным, то это, очевидно, должен быть планшет. Единственный планшет с установленным СДЗ уровня платы расширения, сертифици- рованным ФСБ России как АПМДЗ класса 1Б, – это план- шет разработки ОКБ САПР "ПКЗ 2020" 3 . В его специально предусмотренный для этого слот (а не на место какого-либо другого устройства) установлен "Аккорд-АМДЗ" (сертификат СФ/527-3214 от 10.10.2017 г.). Это позволяет использовать на планшете любое СКЗИ класса КС2 и КС3, в формуляре кото- рого в качестве АПМДЗ указан "Аккорд-АМДЗ" (это большин- 34 • ТЕХНОЛОГИИ Средства обеспечения контролируемой вычислительной среды удаленного пользователя е, кто не считает, что хоть какая-то защита лучше, чем никакой, а понимает всю опасность безосновательной самоуспокоенности, отдает себе отчет в том, какие меры на самом деле должны приниматься при переводе сотрудников на удаленную работу. Т Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР”, к.ф.н. Характеристики планшета "ПКЗ 2020" Форм-фактор: планшет-трансформер (планшет + клавиатура) Размер экрана: 11,6 дюйма Разрешение экрана: 1920x1080 пкс Автоповорот: да Аккумулятор: 9600 мАч, Li-Ion, что обеспечивает работу без подзарядки в течение всего дня Процессор: Intel® Celeron® N3450 Видеоускоритель: Intel® HD Graphics 500 ОЗУ: 8 Гбайт Встроенная память: 64 Гбайт Сенсорный экран: да, 10 точек Основная камера: 8 Мпкс Дополнительная камера: 6 Мпкс Динамики: встроенные, стерео Микрофон: встроенный Встроенный модем: 3G + LTE (передача данных) Wi-Fi: 802.11 a/b/g/n/ac Bluetooth: 4.0 Разъем карты памяти: microSD, не более 64 Гбайт USB: 2 x USB3.0 Разъем гарнитуры: 3,5 мм ОС: Windows x64 8.1 и выше, Linux x86-64 с версией ядра выше 4.0 1 Письмо Банка России от 20.03.2020 г. № ИН-014-56/17 “Информационное письмо о мерах по обеспечению киберустойчивости и информационной безопасности в условиях распространения новой коронавирусной инфекции (COVID-19)". https://www.cbr.ru/ StaticHtml/File/59420/20200320_in-014-56_17.pdf?utm_source=sendpulse&utm_medium=email&utm_campaign=aktualnie-ugrozi-pri- organizat&spush=ZHVnYXJvdkBva2JzYXByLnJ1 2 Положение Банка России от 17.04.2019 г. № 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента". ГОСТ Р 57580.1–2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер”. Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации. https://www.garant.ru/products/ipo/prime/doc/72075160/ 3 Планшет СКЗИ Ready “ПКЗ 2020". https://www.okbsapr.ru/products/accord/planshetSKZIreadyPKZ2020/