02.06.2022

Безопасная "удалёнка" для КИИ: как организовать и развивать

СNEWS, июнь, 2022
Экспертная статья Сергея Петренко, директора по продуктам компании "Аладдин Р.Д."

Начавшийся в 2020 году массовый переход на удалённый формат работы значительно осложнил жизнь сотрудникам отделов информационной безопасности. Компании начали перестраивать ИТ-ландшафт, бизнес-процессы, имеющиеся ИБ-политики в сжатые сроки. Большинство существующих на рынке ИТ-решений были не способны бороться с угрозой слива конфиденциальной или критичной информации через персональные устройства своих сотрудников. За два года ситуация изменилась. CNews разбирались, какие решения сегодня позволяют держать под контролем "секреты фирмы".

Хронология "удалёнки"

2020 год ощутимо изменил жизнь в целом и ландшафт информационной безопасности, в частности. Стремительное распространение коронавируса привело к необходимости обеспечения работы значительной части сотрудников в удалённом режиме. В самом начале самоизоляции резко подорожали, а затем и вовсе исчезли из продажи ноутбуки. Ещё через некоторое время ФСТЭК России сформулировала основные подходы к обеспечению безопасного удалённого доступа, а именно необходимость использования специализированных решений на базе технологии Live USB.

2021 год, в свою очередь, принёс легализацию удалённой работы в Трудовом кодексе (407-ФЗ) и новые требования ФСТЭК России к средствам обеспечения безопасной дистанционной работы.

И, наконец, текущий 2022 год ознаменовался с одной стороны уже прочно укоренившимся трендом удалённой работы на рынке труда (пандемия кончилась, а желание работать из дома осталось), и с другой стороны — санкциями в отношении России в связи со спецоперацией на Украине и участившимися случаями кибератак на государственные и корпоративные информационные инфраструктуры.

Как при всех указанных факторах не потерять доходы, ценных специалистов, долю рынка, имидж? Как защитить критичную информацию при необходимости дистанционного доступа к ней?

Сравнение подходов к организации удалённого доступа

С началом пандемии началась активная разработка различных решений для обеспечения безопасного удалённого доступа. Подходы к решению данной задачи отличаются выбором следующих составляющих:

  • способы обеспечения доверенной среды обработки информации на стороне пользователя;
  • форм-фактор изделия;
  • методы реализации доверенного канала передачи данных.

Для обеспечения доверенной среды обработки информации нужно выполнить ряд требований. Первое — обеспечить доверенную загрузку служебной вычислительной техники (СВТ). Второе — среда обработки (операционная система) не должна содержать в себе закладки, уязвимости и недекларированные возможности, а также в системе должны отсутствовать злонамеренные программы (вирусы).

Форм-фактор конечного решения очень важен с точки зрения удобства как пользователя, так и для администратора. Представьте следующую ситуацию — ИТ службе поступила задача перевести сотрудников на "удалёнку" и для этого нужно каждому пользователю подготовить служебный ноутбук с набором средств защиты информации. В данной ситуации сразу возникают следующие вопросы:

  1. Сколько это будет стоить? Учитывая то, что в цену оконечного устройства помимо стоимости самого ноутбука должна также войти стоимость применяемых средств защиты?
  2. Сколько времени займёт подготовка? Помимо настройки операционной системы понадобится настройка средств доверенной загрузки, СКЗИ и др.

Самым удобным форм-фактором изделия для пользователя является обычная флешка. Что может быть проще и удобнее, чем просто вставить флешку в свой домашний или вообще любой недоверенный компьютер и сразу начать работать?

Импортозамещение-Известия-2022_март

Удобный формат для внедрения и развёртывания — одно из преимуществ решения Aladdin LiveOffice

При реализации доверенного канала передачи данных следует применять криптографические методы защиты информации. Зарубежным решениям в текущих реалиях санкций и обострения международных отношений доверять не представляется возможным. Следовательно, необходимо использовать только отечественные СКЗИ, сертифицированные ФСБ России.

Производители предложили целый ряд изделий, обладающих как плюсами, так и минусами, но что самое главное — ни одно из изделий не удовлетворяло полностью действующим на тот момент требованиям к обеспечению безопасного удалённого доступа.

Проанализировав рынок предлагаемых решений, ФСТЭК России был разработан новый документ "Требования по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах" (приказ № 32 от 16 февраля 2021 года).

Импортозамещение-Известия-2022_март

Aladdin LiveOffice является готовым "коробочным" продуктом, сертифицированным по требованиям ФСТЭК России

Большая часть положений данных требований уже была реализована и апробирована на момент их публикации в сертифицированном ранее изделии — средство обеспечения безопасной дистанционной работы Aladdin LiveOffice компании "Аладдин Р.Д.".

Область применения Aladdin LiveOffice

Aladdin LiveOffice может применяться:

  • при реализации мер защиты в ГИС до 1-го класса защищённости включительно;
  • при обеспечении до 1-го уровня защищённости ПДн включительно при их обработке в ИСПДн;
  • при реализации мер защиты в АСУП и АСУ ТП на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды до 1-го класса защищённости включительно;
  • в значимых объектах КИИ до 1-ой категории включительно;
  • в информационных системах общего пользования II класса;
  • для обработки любой конфиденциальной информации, доступ к которой ограничен в соответствии с Конституцией РФ и федеральными законами (кроме государственной тайны).

Варианты применения

Основными вариантами применения Aladdin LiveOffice можно рассматривать следующие:

  1. В качестве средства работы из дома. Пользователь получает доступ к своему привычному рабочему месту, с которым он работал до этого в офисе. Все изменения, производимые пользователем, остаются на рабочем компьютере внутри сети организации, что позволяет строить систему защиты информации уже на имеющихся средствах защиты информации, применяемых внутри организации.
  2. В качестве полнофункционального сертифицированного решения для защищённого доступа в государственную информационную систему (ГИС) или другую информационную систему (ИС).

Рассмотрим следующую ситуацию — возникла необходимость предоставления доступа к информационной системе (ИС) страховой компании страховому агенту, который не является штатным сотрудником. Сразу возникают вопросы:

Какие аутентификационные данные необходимо вводить данному сотруднику?

Как избежать компрометации аутентификационной информации?

Насколько можно доверять компьютеру субъекта доступа?

Для решения данных вопросов как раз можно применять изделие Aladdin LiveOffice. Такому пользователю выдаётся преднастроенный токен Aladdin LiveOffice. Только в защищённой сессии Aladdin LiveOffice он может попасть в ИС и осуществить там разрешённые ему действия. Аутентификационная информация хранится в защищённом разделе карты памяти изделия. Компьютер, используемый для доступа в ИС, становится в данном случае доверенным за счёт применения комплекса мер защиты, реализованных в Aladdin LiveOffice.

Изделие активно развивается, и сценариев его применения становится всё больше и больше, не нанося ущерб установленным требованиям безопасности.

Техническое описание решения

Aladdin LiveOffice представляет собой комплексное решение, которое, с одной стороны, позволяет использовать недоверенные (в том числе личные) средства вычислительной техники, а с другой — предоставляет возможность подключаться к рабочему компьютеру, сетям ГИС, ИСПДн, КИИ и т.д. Решение реализовано в виде токена Live USB и предоставляет следующие возможности:

  • дистанционное подключение к своему служебному компьютеру;
  • удалённая работа в привычной среде, с набором привычных приложений и документов — как в офисе;
  • удалённая работа с конфиденциальными документами;
  • работа с различными системами ЭДО и использование УКЭП;
  • выход в Интернет разрешён только со служебного компьютера через корпоративный шлюз;
  • строгая или усиленная двухфакторная аутентификация (2ФА), отказ от применения простых запоминаемых пользователями паролей.

Импортозамещение-Известия-2022_март

Упрощённая архитектура решения Aladdin LiveOffice

Как видно из представленной архитектуры, базовым компонентом решения Aladdin LiveOffice является защищённый машинный носитель информации (ЗМНИ). Суть подхода заключается в том, что пользователь на недоверенном (например, домашнем) компьютере загружается по технологии Live USB с токена и абсолютно прозрачно попадает в привычное ему окружение — рабочий стол своего офисного компьютера. Реализация решения заключается в следующем: ЗМНИ содержит ряд разделов флеш-памяти с разной степенью защиты, содержащих компоненты комплексного решения.

После отработки процесса загрузки со стороны BIOS/UEFI управление передаётся на загрузочный раздел ЗМНИ. На нём располагается уникальная разработка — LiveTSM, некий аналог привычного АПМДЗ. Он реализует такую ключевую функциональность, как:

  • аутентификация пользователя до загрузки ОС;
  • контроль целостности собственного кода и кода ОС;
  • регистрация и авторизация ПК.

Далее управление передаётся загрузчику ОС, расположенному на системном разделе. В решение интегрированы сертифицированные ОС семейства Linux (Astra Linux, РЕД ОС). Операционная система кроме встроенных механизмов защиты включает в себя ряд пакетов прикладного ПО, необходимого для реализации сценария безопасного дистанционного подключения к корпоративной ИТ-инфраструктуре. Это, в первую очередь, VPN-клиенты для построения защищённого шифрованного соединения от ПК пользователя до корпоративного крипто-шлюза, а также программные клиенты для удалённого подключения к служебным компьютерам (RDP). По запросам заказчиков мы можем интегрировать в решение практически любой софт для реализации технологий VPN/RDP/VDI.

Кроме служебных разделов, ЗМНИ также имеет защищённый раздел для данных пользователя (настройки Wi-Fi и пр.), который монтируется только после успешной аутентификации пользователя и только на авторизованном ПК.

Стоит обратить внимание на то, что необходимые для работы изделия артефакты (IP-адреса крипто-шлюзов, ключи VPN и т.д.) хранятся на специальном защищённом разделе флеш-памяти, который скрыт от пользователя, но доступен доверенной ОС и администратору безопасности в режиме "чтение-запись".

Плюсы использования решения Aladdin LiveOffice

Сохранение всех привычек и навыков работы. При дистанционной работе пользователи работают в привычной им среде, с обычным набором корпоративных приложений, все документы находятся в привычных местах, всё как при работе в офисе.

Готовое решение "всё в одном". В одном устройстве собран и интегрирован комплекс решений, позволяющий установить защищённое соединение с рабочим компьютером пользователя. Вся трудоёмкая работа по подбору и интеграции между собой средств защиты информации выполнена производителем. Aladdin LiveOffice является готовым "коробочным" продуктом, уже включающим все необходимые компоненты, сертифицированные по требованиям ФСТЭК России и ФСБ России.

Существенная экономия бюджета. Экономия на организации дистанционной работы за счёт возможности использования любых недоверенных (личных) компьютеров по сравнению с закупкой служебных ноутбуков и средств защиты, необходимых для выполнения требований ФСТЭК России по реализации мер защиты при удалённом доступе.

Возможность быстрого встраивания в существующую инфраструктуру. Aladdin LiveOffice легко разворачивается и настраивается в действующей ИС. Существует возможность кастомизации решения.

Типовой сценарий ввода в эксплуатацию

Подготовка носителя к эксплуатации в программе Aladdin SecureAdmin состоит из следующих этапов:

  1. Инициализация носителя. Устанавливаются настройки изделия, такие как парольная политика, политика журналирования, пароль по умолчанию и др.
  2. Персонализация носителя. В изделие вносятся специальным образом подготовленные файлы с настройками соединения.
  3. Выдача разрешения на эксплуатацию носителя на конкретных СВТ. После аутентификации пользователя производится регистрация недоверенного (личного) СВТ по принципу "запрос—ответ".

После выполнения указанных действий пользователь Aladdin LiveOffice получает доступ к своему рабочему месту и может производить необходимые действия на своём рабочем компьютере удалённо.

Этапы развития изделия

Как уже говорилось ранее — изделие уже имеет сертификат соответствия ФСТЭК России. Продукт выполняет поставленные задачи, но, как говорится, нет предела совершенству.

Компания "Аладдин Р.Д." не стоит на месте и планирует дальше развивать изделие в следующих направлениях:

  • расширение перечня поддерживаемых доверенных ОС и VPN-клиентов;
  • добавление новых возможностей для удалённого администрирования;
  • внедрение собственной разработки LiveBIO, позволяющей проводить аутентификацию с помощью отпечатков пальцев, а также реализация ещё многих идей, о которых мы обязательно расскажем в последующих публикациях.
Оригинал статьи