Журнал "Information Security/ Информационная безопасность" #2, 2020

К счастью, почти все понимают, что удаленная работа сотрудников с ресур- сами системы, если она производится с использованием их домашних компью- теров, ноутбуков, личных планшетов и смартфонов, несет в себе угрозы без- опасности системы. Но в качестве реше- ния этой проблемы предлагаются прак- тически исключительно средства защиты канала и средства идентификации и аутентификации пользователей (в форм- факторах, позволяющих использовать их, например, на iPad). Применение этих средств при органи- зации доступа к ресурсам информа- ционной системы (ИС) с неконтролируе- мых устройств сотрудника дает только один эффект – безосновательной само- успокоенности. Защитного эффекта они не дают, если не защищено СВТ, с кото- рого осуществляется доступ. Мобильные рабочие места Наиболее остро вопрос необходимости защиты клиентского СВТ стоит для орга- нов государственной власти и местного самоуправления, которым необходимо обеспечить защищенный удаленный доступ сотрудников к ресурсам государст- венных и ведомственных ИС, в том числе для выполнения операций, связанных с применением криптографических средств. Планшеты, на которых не установлено средство доверенной загрузки, сертифи- цированное ФСБ России как АПМДЗ, нельзя использовать для этих операций – это прямо противоречит требованиям регулятора. Но в стандартные планшеты зарубежного производства невозможно установить АПМДЗ, это объективное ограничение их конструкции. Эффектив- ность работы сотрудников среднего и высшего звена при использовании таких планшетов существенно снижается. Однако существует отечественный планшет с хорошими характеристиками и встроенным АПМДЗ класса 1Б 1 . Для орга- нов государственной власти и местного самоуправления нормальным решением является оснащение сотрудников такими мобильными рабочими местами. Но оно не может считаться приемлемым для всех без исключения организаций, вынужден- ных сейчас перейти на удаленную работу: приобрести защищенные планшеты для сотрудников могут далеко не все. Домашние компьютеры В то же время ограничиться установ- кой VPN-клиента на домашние компью- теры сотрудников – значит создать защи- щенный канал доставки в ИС организа- ции как минимум вирусов. А ведь неза- щищенный компьютер на входе в систе- му – это еще и гостеприимно раскрытая дверь для хакера: он тоже сможет войти в вашу систему по защищенному каналу, ведь взять под контроль домашний ком- пьютер абсолютного большинства поль- зователей совсем несложно. Умалчивать об этом неприемлемо, однако это происходит. Причина не толь- ко в недобросовестности, но еще и в том, что защиту личных устройств при- нято считать нерешаемой проблемой. Оснастить домашние компьютеры ком- плектом всех необходимых средств защиты, с одной стороны, непомерно дорого, а с другой – это наложит на пользователя огромное количество ограничений, с которыми на своем собст- венном личном устройстве никто, как правило, не намерен мириться. Более того, совершенно невозможно ожидать, что средства защиты информации на домашних компьютерах, даже если они там окажутся, будут как следует настрое- ны, да еще и постоянно. Доверенный сеанс связи Уже много лет существует технология, позволяющая использовать недоверен- ный компьютер для удаленного доступа к защищенной ИС. Технология называется "доверенный сеанс связи" 2 (ДСС) и базируется на том, что для случаев, когда компьютер постоянно работает в незащищенном режиме и только периодически должен использоваться в защищенном (но защи- щенном надежно), загрузка среды для доступа к защищенной ИС должна про- изводиться из физически изолированной от основного компьютера памяти, недо- ступной для изменения. Если в составе загружаемой среды есть преднастроенные средства защиты (МЭ, VPN, средство разграничения досту- па), загрузка производится из защищен- ной от записи памяти, жесткий диск компьютера не используется, конфигу- рация загруженной ОС максимально ограничивает свободу пользователя (ему недоступны органы управления ОС, рабо- чая среда полностью изолирована от посторонних сетевых соединений, откры- тый трафик отсутствует, а после завер- шения работы в браузере сеанс связи завершается, не давая пользователю делать ничего лишнего), то создаются все предпосылки для безопасной для ИС удаленной работы с ее ресурсами. По завершении работы в ИС организации пользователь отключает средство обес- печения доверенного сеанса связи, пере- загружает компьютер и без ограничений пользуется всеми небезопасными ресур- сами, которыми хочет и привык. Когда плюсы перевешивают минусы Технология ДСС создает пользовате- лю некоторое неудобство: нужно пере- загружаться для смены сеанса. Однако это несравнимо с неудобствами, накла- дываемыми полным комплектом защи- ты, создающим такой же уровень защи- щенности для ПК. И столь же суще- ственно различие их стоимости: средство обеспечения ДСС стоит ориентировочно в два раза меньше, чем комплект ста- ционарной защиты, и в пять раз меньше, чем защищенный планшет. Цены, конечно, нужно уточнять у поставщика, и зависят они от конкретной ОС, СКЗИ и многого другого, но это уже не предмет данной статьи. l 6 • В ФОКУСЕ САМОИЗОЛЯЦИЯ НЕ ЗАЩИТИТ ОТ ЗАРАЖЕНИЯ информационную систему изнь давно научила нас гибко реагировать на изменения ситуации. Поэтому, как только возникла необходимость удаленной работы в системах, в которых это было до сих пор не предусмотрено, в специализированных журналах и сетевых СМИ сразу появилась масса предложений по организации удаленной работы, в том числе защищенной. Это целый новый рынок, и, хотя все надеются, что просуществует он недолго, было бы нерационально не обратить на него внимание. Ж Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР", к.ф.н. Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 Конявская С.В. “Очевидное-невероятное” версии 2020 года: планшет “СКЗИ ready”// Information Security (Информационная безопасность). 2020. № 1. С. 33. 2 Конявский В.А. Серебряная пуля для хакера // Защита информации. INSIDE. 2013. № 4. С. 54–56. Конявский В.А. Серебряная пуля для хакера (Окончание) // Защита информации. INSIDE. 2013. № 5. С. 69–73.

RkJQdWJsaXNoZXIy Mzk4NzYw