Журнал "Information Security/ Информационная безопасность" #2, 2020

ство российских СКЗИ). План- шет может приобретаться с предустановленным СКЗИ, или оно может устанавливаться самостоятельно. Необходимо подчеркнуть, что уникальность "ПКЗ 2020" опре- деляется не только тем, что это единственное уже интегриро- ванное решение, под ключ. Установить СДЗ уровня платы расширения в распространен- ные сегодня планшеты без ущерба для функциональности планшета невозможно в прин- ципе. Даже если в них есть для этого свободный слот m.2 (обычно единственный m.2 занят Wi-Fi-модулем), то он имеет выход не на PCI, а на SSD, то есть для установки АПМДЗ он не годится. Если даже есть свободный слот подходящего вида (с ключа- ми А-Е), то особенности питания планшетов делают невозмож- ным выполнение функции сто- рожевого таймера – разрыва питания – так, как они реализо- ваны во всех остальных АПМДЗ, кроме "Аккорда". В "Аккорде- АМДЗ" сторожевой таймер сде- лан с учетом особенностей при- менения на планшетах. Поэтому предложения от поставщиков "защищенных планшетов" нуждаются в тща- тельном осмыслении: в каком отношении этот планшет защи- щенный, в том ли, которое тре- буется. Стационарный доступ: АРМ на базе m-TrusT Однако не всегда удаленная работа должна быть непремен- но мобильной. В сложившихся условиях она достаточно часто может быть стационарной, но из дома. В этом случае возможно при- менение менее дорогих реше- ний, чем индивидуальные план- шеты для каждого сотрудника. Как правило, у сотрудников дома есть какой-никакой ком- пьютер и периферия к нему. К этой периферии можно подключить защищенный АРМ на базе спе- циализированного микроком- пьютера с аппаратной защитой данных m-TrusT 4 . Он обладает "вирусным иммунитетом" благо- даря Новой гарвардской архи- тектуре, а состав его ПО фор- мируется при заказе и пользо- вателем самостоятельно быть изменен не может, то есть сотрудник не сможет реализо- вать попытку расширить свои возможности путем установки какого-то дополнительного ПО, пользуясь тем, что средство вычислительной техники находится в его распоряжении. В состав m-TrusT входит рези- дентный компонент безопасно- сти, в котором реализовано СДЗ, физический ДСЧ, установлено сертифицированное средство разграничения доступа. Все это создает предпосылки для использования на нем СКЗИ классов КС2 и КС3. Так, недавно с положительным результатом завершены исследования соот- ветствия СКЗИ Dcrypt 1.0 v.2 классу КС2 (вариант исполне- ния 29) и КС3 (вариант испол- нения 30) при исполнении на специализированном компью- тере с аппаратной защитой дан- ных m-TrusT. Для работы с АРМ на базе m-TrusT в режиме терминаль- ного доступа надо указать при заказе, что в ОС микрокомпью- тера должно быть установлено ПО терминального клиента. После завершения работы можно перекоммутировать периферию обратно к домаш- нему ПК. Работа с домашнего ПК: доверенный сеанс связи "МАРШ!" Наконец, самый бюджетный вариант для работы сотрудника со своего домашнего компью- тера, но исключающий влияние этого компьютера на ИС, к кото- рой сотрудник получает уда- ленный доступ, – это средство обеспечения доверенного сеан- са связи (СОДС) "МАРШ!" 5 . При начале доверенного сеанса связи пользователь загружается с "МАРШ!", обес- печивая тем самым доверенную среду. Далее стартует терми- нальный клиент (или виртуаль- ный клиент, или браузер – смот- ря как именно организована удаленная работа в ИС) и начи- нается сессия. Загрузка производится из защищенной от записи памяти, жесткий диск компьютера не используется. Конфигурация загруженной операционной системы максимально ограничи- вает свободу пользователя: ему недоступны органы управления операционной системы, рабочая среда полностью изолирована от посторонних сетевых соеди- нений, открытый трафик отсут- ствует, а после завершения работы в терминальной сессии (или в браузере и т.д.) сеанс связи завершается, не давая пользователю делать что-то лишнее. После загрузки ОС с "МАРШ!" на произвольный домашний компьютер сотрудника и старта браузера устанавливается доверенный сеанс связи с VPN- шлюзом центральной ИС, закрытые ключи и сертификаты для которого хранятся в защи- щенной памяти "МАРШ!". Доступ к ним возможен только из ОС "МАРШ!", поэтому под- ключиться к ИС со своего ком- пьютера, загруженного не с "МАРШ!", а с жесткого диска, и использовать ключи VPN, хра- нящиеся на "МАРШ!", пользо- ватель не сможет. В случае если работать плани- руется в режиме веб-доступа, через браузер, МЭ из состава ПО в загружаемой ОС позволит задать единственно возможный адрес соединения, чтобы поль- зователь по ошибке не зашел в рамках доверенного сеанса связи на какой-то небезопасный ресурс. Плюс решения еще и в том, что пользователю не придется вообще никак менять привычный уклад жизни: отключил "МАРШ!", перезагрузился и используешь домашний компьютер по его пря- мому назначению. Удобно, безопасно, без стресса Перечисленные в этой статье средства обеспечения удален- ной работы в ИС объединяют три ключевых момента: 1) они делают удаленную работу сотрудника безопасной для ИС; 2) они не требуют внесения существенных изменений в саму ИС; 3) их использование неслож- но и не накладывает ограниче- ния на использование сотруд- ником его личных устройств, что предельно важно. В стрессовой ситуации необходимо стараться снижать уровень переживаний, а не уси- ливать его дополнительными усложнениями жизни. И так хва- тает. l • 35 ТЕХНОЛОГИИ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ОКБ САПР см. стр. 48 NM 4 M-TrusT. https://www.okbsapr.ru/products/newharvard/m-trust/ 5 СОДС. https://www.okbsapr.ru/products/storage/compute/sods/

RkJQdWJsaXNoZXIy Mzk4NzYw