Организация дистанционной работы с учетом требований законодательства

2020 год задал тенденцию на перевод сотрудников на дистанционный формат исполнения служебных обязанностей. Практика показала, что далеко не все организации были готовы перевести своих сотрудников на удаленный режим. Одна из причин - отсутствие средств защиты для обеспечения безопасности инфраструктуры.

Коронавирусная инфекция идет на спад, но для многих удаленный формат останется нормой. Статистика Garther показывает, что процент людей, работающих из дома, будет расти. Необходимо быть готовым осуществить данный перевод сотрудников.

При переводе сотрудника на дистанционный режим работы важным является не только технический аспект, но также и законодательный. В ситуации, когда сотрудник, работая удаленно, обращается к информации ограниченного доступа, обязательно должен выполняться правовой аспект информационной безопасности. По этой причине при выборе решения заказчику необходимо обращать внимание на соответствие требованиям регуляторов.

Дистанционная работа реализуется с помощью удаленного доступа. Начнем с самого определения:

Данный процесс не так прост, как может показаться с первого взгляда. Первоочередная задача удаленного доступа – безопасность.

На сегодняшний день вопросы защиты информации при удаленной работе регулируются следующими нормативными актами:

• Приказ ФСТЭК России №17 «Требования о защите информации не составляющей государственную тайну, содержащейся в государственных информационных системах»
  
  
• Методический документ. Меры по защите информации в государственных информационных системах
  
  
• Приказ ФСТЭК России №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  
  
• Приказ ФСТЭК России № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

Письмо ФСТЭК России от 20 марта 2020 г. N 240/84/389:

• Назначение минимально необходимых прав и привилегий пользователям при удаленной работе;

• Идентификация удаленных СВТ по физическим адресам (МАС-адресам) на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удаленный доступ, предоставление им доступа к информационным ресурсам объектов критической информационной инфраструктуры методом "белого списка";

• Обеспечение двухфакторной аутентификации работников удаленных СВТ, при этом один из факторов обеспечивается устройством, отделенным от объекта критической информационной инфраструктуры, к которому осуществляется доступ;

• Организация защищенного доступа с удаленного СВТ к серверам объектов критической информационной инфраструктуры с применением средств криптографической защиты информации (VPN-клиент);

• Применение на удаленных СВТ-средствах антивирусной защиты информации, обеспечение актуальности баз данных признаков вредоносных компьютерных программ (вирусов) на удаленных СВТ путем их ежедневного обновления;

• Исключение возможности установки работником программного обеспечения на удаленное СВТ (кроме программного обеспечения), установка и эксплуатация которого определена служебной необходимостью, реализуемое штатными средствами операционной системы удаленного СВТ или средствами защиты информации от несанкционированного доступа;

• И др.

Рекомендации НКЦКИ по обеспечению информационной безопасности при удаленном режиме работы:

• Применение функционирующих средств антивирусной защиты и межсетевого экранирования;
  
  
• Обновленные сервисы и устройства, которые используются для удаленного доступа;
  
  
• Использование двухфакторной аутентификации;
  
  
• Использование терминального удаленного доступа в сеть к виртуальному рабочему месту;
  
  
• Осуществление мониторинга безопасности систем;
  
  
• И др.

Также ФСТЭК разрабатывает требования к средствам обеспечения безопасной дистанционной работы (Требования по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах) и планируется внесение изменений в «Требования о защите информации … в государственных информационных системах» и «Меры по защите информации в ГИС»:

В рамках проработки комплексной системы защиты, для выполнения требований можно рассмотреть решение ИнфоТеКС ViPNet Terminal. Данное решение используется в ИСПДн, ГИС, КИИ и выполняет многие из перечисленных требований, в частности:

ViPNet Terminal является решением АО «ИнфоТеКС». Данное решение организует защищенный доступ к терминального рабочему месту. ViPNet Terminal осуществляет шифрование IP-трафика и выполняет функции персонального сетевого экрана. Функционал устройства решает следующие проблемы:

• Проблема внутреннего нарушителя
  

Доверенная система обеспечивает защищенное подключение к корпоративной инфраструктуре.

• Контроль над системным окружением пользователя

Перечень прикладного ПО, которое доступно пользователю для работы, контролируется администратором терминального сервера. Пользователь не сможет самостоятельно устанавливать или удалять ПО, сохранять данные на съемные носители.

• Надежная защита канала связи и терминального сервера
  

Используется собственная разработка VPN, позволяющая работать на нестабильных каналах связи.

• Возможность подключения к сети из произвольных точек
  
  

ViPNet Terminal позволяет организовать следующие виды защищенного удаленного доступа:

• Подключение к терминальному серверу Windows Server по протоколу RDP
  
  
• Подключение к Citrix по протоколам ICA, HTTP(S)
  
  
• Доступ к виртуальным рабочим столам, реализованным по технологии VMware Horizon View по протоколам PCoIP, Blast и RDP
  
  
• Доступ к виртуальным рабочим столам, реализованным по технологии IBS Parallels VDI
  
  
• Доступ к виртуальным рабочим столам, реализованным по технологии Fusion Access (по протоколу HDP — Huawei Desktop Protocol)
  
  
• Доступ к видеоконференциям TrueConf и Vinteo
  
  
• Доступ к службам, реализованным по технологии Web Access (по протоколам HTTP и HTTPS)
  
  

ViPNet Terminal может работать в многосессионном и односессионном режимах. В многосессионном режиме осуществляется несколько терминальных сессий, где каждая сессия работает в отдельном окружении и не имеет доступа к другим сессиям.

Режим позволяет одновременно подключаться к информационным системам, обрабатывающим информацию разных категорий конфиденциальности с выполнением всех требований регуляторов по разграничению и контролю доступа.

У данного решения есть следующие варианты исполнения:

1. Исполнение LiveUSB – загрузочный USB-носитель, который может быть подключен к ПК или ноутбуку. ViPNet Terminal LiveUSB превращает любую подходящую станцию в защищенное рабочее место
   
   
2. Исполнение T – выполнено на базе компактного компьютера TONK TN1902. К данному исполнению необходимо подключить USB-мышь, клавиатуру и обеспечить подключение к сети
   

На данный момент имеются следующие сертификаты соответствия:

1. Сертификат соответствия требованиям ФСБ СКЗИ класса КС1 на исполнение LiveUSB
   
2. Сертификат соответствия требованиям ФСБ МЭ 4 класса на исполнение LiveUSB
   
   

В 2021 году планируется сертификация Исполнения T (КС3, МЭ 4 класса)

Схема внедрения

ViPNet Terminal взаимодействует внутри виртуальной сети ViPNet. Сеть ViPNet – это виртуальная защищенная сеть, которая разворачивается поверх локальных или глобальных сетей любой структуры.

Для защиты информации в сети ViPNet использует специальное программное обеспечение, выполняющее следующие функции:

• Фильтрация всего IP-трафика сетевых узлов
  

Фильтрация трафика осуществляется в соответствии с заданными на узле правилами.

• Шифрование соединений между узлами сети ViPNet
  

Для шифрования трафика используются симметричные ключи, которые создаются и распределяются централизованно.

Управление защищенной сетью ViPNet происходит через программу ViPNet Центр управления сетью (ЦУС). Сетевые узлы ViPNet делятся на два типа:

• Клиент (ViPNet-клиент), который предназначен для работы пользователей сети ViPNet. Сетевой узел ViPNet Terminal является клиентом.
  
• Координатор (ViPNet-координатор) — сервер сети ViPNet, реализующий VPN.
  
  

Также сеть ViPNet может включать компьютеры без программного обеспечения ViPNet, защищенные с помощью технологии туннелирования. Эти узлы называются «туннелируемыми», их трафик защищают ViPNet-координаторы.

Для функционирования ViPNet Terminal необходимо установить связь с терминальным сервером. Возможны следующие варианты подключения:

1. ViPNet Terminal находится внутри локальной сети вместе с терминальным сервером:

2. ViPNet Terminal находится во внешней сети и подключение к терминальному серверу осуществляется через технологию туннелирования:

3. На терминальном сервере развернуто ПО ViPNet Coordinator и Terminal устанавливает с ним связь напрямую:

Меню ViPNet Terminal выглядит следующим образом:

Из главного меню возможно терминальное подключение к станциям и доступ к web-ресурсам.

В меню настроек есть следующие разделы:

• ViPNet VPN
  
• Межсетевой экран
  
• Терминальные серверы
  
• Прикладные сервисы
  
• Сетевые интерфейсы
  
• Системные настройки
  

В разделе «ViPNet VPN» находятся сетевые узлы, с которыми есть защищенная связь. Также отсюда возможно подключение к станциям по RDP:

В разделе «Межсетевой экран» настраиваются фильтры открытой и защищенной сетей:

Межсетевой экран может работать в следующих режимах:

• VPN и Интернет
  

В данном режиме разрешена работа в сети ViPNet и открыт доступ в Интернет.

• VPN
  

Разрешена только работа в защищенной сети ViPNet.

• Интернет
  

Разрешен выход в Интернет, но доступ к защищенной сети закрыт.

• Блокировать сеть
  

При выборе этого режима блокируются все входящие и исходящие соединения. Работа в защищенной сети ViPNet и в Интернете невозможна.

• Отключить защиту
  

В данном режиме прекращается шифрование и фильтрация трафика ViPNet-драйвером. Работа с ресурсами защищенной сети ViPNet невозможна, но есть доступ к ресурсам Интернета. При этом все настроенные на узле сетевые фильтры применяться не будут.

• Интернет через шлюз
  

Доступ к открытым ресурсам Интернета осуществляются через координатор. Работа с защищенными ресурсами сети ViPNet запрещена. Режим используется для работы, например, находясь в общественном месте, где для доступа к Интернету используется сеть Wi-Fi.

В разделе «Терминальные серверы» можно настроить подключение к терминальным серверам:

В системных настройках стоит отдельно рассказать о вкладке «Перенаправление устройств».

В данной вкладке можно настроить, какие устройства будут перенаправляться с клиента на терминальный сервер. Например, проброс USB-носителя с терминала на сервер.

В настройках прокси можно задать подключение к прокси-серверу:

Заключение

Решение ViPNet Terminal зарекомендовало себя как средство защиты для организации удаленной работы, связанной с обработкой информации ограниченного доступа. Устройство защищает инфраструктуру компании: закрывает технический аспект защиты и аспект формального соответствия требованиям регуляторов.

Если Вас заинтересовало данное решение или остались вопросы – заполните форму ниже. Наш специалист свяжется с вами в ближайшее время