Спецпроекты

На страницу обзора
Сергей Груздев, "Аладдин Р.Д.": Безопасная дистанционная работа с личного компьютера возможна

В ходе онлайн конференции 5 апреля 2023 года «Организация безопасной удалённой работы, соответствие требованиям ФСТЭК, опыт проекта в ФНС России» компания "Аладдин Р.Д.", разработчик ключевых решений для построения безопасной доверенной ИТ-инфраструктуры, поделилась опытом внедрения своего продукта Aladdin LiveOffice для организации безопасной дистанционной работы сотрудников при использовании ими недоверенных (личных) средств вычислительной техники. Как обеспечивается выполнение нормативных требований по безопасности CNews рассказал генеральный директор компании Сергей Груздев.

Сергей Груздев"Аладдин Р.Д."

CNews: Возможна ли в принципе безопасная дистанционная работа на личных средствах вычислительной техники?

Сергей Груздев: Личный компьютер априори считается «недоверенным». В нем может сидеть все, что угодно: трояны, вирусы, вредоносы…

Когда в начале пандемии нам поставили задачу обеспечить безопасную дистанционную работу сотрудников органов исполнительной власти при использовании ими личных средств вычислительной техники (а мы помним, что первыми в стране в тот период пропали ноутбуки!) – эта задача казалась нерешаемой. Это как попытаться вытащить себя за волосы из болота…

Вызов был принят, в качестве базовой мы взяли хорошо известную технологию LiveUSB, обеспечивающую загрузку компьютера с внешней флешки. Хорошо понимая, что пандемия и удалёнка – это надолго, мы сосредоточились на защите от внутреннего нарушителя.

Сергей Груздев, "Аладдин Р.Д.": Хорошо понимая, что пандемия и удалёнка – это надолго, мы сосредоточились на защите от внутреннего нарушителя

В качестве флешки для загрузки доверенной операционки мы использовали специализированный защищённый флеш-накопитель, сертифицированный для работы с гостайной. Его массово поставляем силовикам, и за счёт этого удалось здорово сэкономить время и повысить безопасность решения.

Общая идея решения, которая и обеспечила возможность безопасной дистанционной работы с подключением к государственным информационным системам (ГИС), ИСПДн и др. и работу со всеми видами служебной тайны и ДСП-информации, выглядит так: на недоверенном (личном) компьютере с внешнего защищённого носителя загружается преднастроенная замкнутая доверенная программная среда, из которой производится подключение и работа на служебном компьютере пользователя (или на виртуальном, если в организации развёрнута VDI).

При этом все задачи и все конфиденциальные документы обрабатываются внутри организации, не покидая его периметра, а на личный компьютер по защищённому каналу «прилетают» лишь отрисованные картинки экрана, а обратно «улетают» лишь скан-коды нажимаемых клавиш и координаты указателя мыши.

Пользователь при этом удалённо работает на своём рабочем компьютере, но – в терминальном режиме, в привычной для него среде (Windows, Linux). Все документы на своих привычных местах, доступ в ГИС, АСУ ТП, ИБС, ИСПДн и др., выход в интернет (если разрешён), переучиваться не надо.

При этом локальные ресурсы его личного компьютера – жёсткие диски, NAS, флешки, принтеры и пр. – которые могут быть использованы в качестве канала утечки служебной информации, либо для организации атаки на ресурсы организации – в этом режиме заблокированы и недоступны. Использовать Aladdin LiveOffice можно только на авторизованных компьютера ("привязанных" к устройству), так что если устройство попало к злоумышленнику, и он знает от него пароль, то на незнакомом компьютере устройство не заработает, и подключиться к ИС организации злоумышленник не сможет.

Более того, пользователь не знает, а следовательно и не сможет дискредитировать свой логин и пароль для удалённого подключения, адрес шлюза, настройки VPNи др. Пользователь также не сможет ни модифицировать преднастроенную программную среду, ни изменить её настройки, ни установить какое-то своё приложение, ни сохранить у себя, ни распечатать на локальный принтер служебный документ.

Ещё раз – вся работа производится на удалённом рабочем компьютере, в ИС организации.

И, кстати, в отличие от другой, альтернативной возможности организации дистанционной работы с использованием служебного ноутбука, на который в соответствии с требованиями «Мер защиты…» к 17-му Приказу ФСТЭК России должен быть установлен набор сертифицированных средств защиты (средство доверенной загрузки, сертифицированная ОС – а после ухода из страны Microsoft и отзыва у неё сертификатов, теперь российская, — антивирус, средство двухфакторной аутентификации пользователей – USB-токен или смарт-карта, средство шифрования данных на дисках и съёмных носителях, VPN-клиент, межсетевой экран), поверхность атаки у специализированного решения Aladdin LiveOffice кардинально меньше, чем у служебного ноутбука, где вся информация хранится и обрабатывается на нём. Следовательно, и риски утечки и компрометации конфиденциальной служебной информации здесь будут существенно ниже.

Краткая биография

Груздев Сергей Львович, генеральный директор компании "Аладдин Р.Д."

gruzdev_200.jpg
  • Родился 14 апреля 1963 года в городе Капустин Яр Астраханской области.
  • В 1985 году с отличием окончил МЛТИ, факультет электроники и счётно-решающей техники (ФЭСТ), выпускающий специалистов для Центра управления полётами.
  • С 1985 по 1987 гг. являлся аспирантом и преподавателем МЛТИ.
  • С апреля 1995 года по настоящее время Сергей Львович Груздев успешно возглавляет компанию "Аладдин Р.Д.".

CNews: Может ли пользователь сохранить рабочие документы на вашей защищённой флешке?

Сергей Груздев: В базовой версии работа ведётся в терминальном режиме, и все обрабатываемые документы сохраняются на служебном компьютере пользователя, на сервере, в ИС организации – так, чтобы у пользователя ничего не оставалось.

Однако, при проектировании Аladdin LiveOffice мы предусмотрели возможность смешанного режима работы – дом/командировка/офис, или возможность автономной работы с документами – скачал, что тебе нужно на защищённый зашифрованный раздел устройства LiveOffice, отключил онлайн (например, из-за плохой или дорогой связи), поработал автономно (для этого дополнительно устанавливаются нужные пакеты офисного и др. ПО), сохранил результаты на защищённом разделе или загрузил их в ГИС.

Такую кастомизацию можно делать под конкретные задачи и бизнес-процессы.

Кстати, «на борт» устройства можно установить и клиента ВКС для организации защищённой видеоконференцсвязи, с условием, что сервер ВКС стоит в контуре организации, а не в публичном облаке.

CNews: Может ли пользователь сфотографировать информацию с экрана, а затем слить её в интернет?

Сергей Груздев: Нам довольно часто задают этот вопрос, и даже просят как-то защититься от фотографирования экрана. Да, с экрана можно сделать фото. Но сфотографировать экран со служебным документом или персональными данными можно и на работе. В чем принципиальная разница – дома или на работе?

Если сотрудник пошёл на это – то это уже вопрос к службе внутренней безопасности, или уже к другому ведомству

Защититься от фотографирования экрана технически сложно. Чаще, спрашивая про защиту от фотографирования экрана, имеют в виду возможность идентифицировать того, кто сфотографировал служебный документ и слил его в интернет или в соцсети. А для этого у нас есть дополнительное решение – водяные знаки, которые выводятся на экран, глазу они практически не заметны, но позволяют по сделанной фотографии точно определить серийный номер устройства, на котором производилась работы, а по нему и пользователя, который это сделал. Знание того, что наказание неотвратимо – для подобных нарушителей очень серьёзный сдерживающий фактор. Это даёт хороший положительный эффект.

Сергей Груздев, "Аладдин Р.Д.": Знание того, что наказание неотвратимо – очень серьёзный сдерживающий фактор

CNews: Как выглядит работа пользователя при использовании вашего решения Aladdin LiveOffice? Нужно будет переучиваться?

Сергей Груздев: Работать с устройством очень просто, и переучиваться не нужно.

Схема работы пользователя выглядит так: (1) пользователь подключает USB-ключ (Aladdin LiveOffice) и (2) включает свой компьютер, (3) нажимает F12 (F8 или др. в зависимости от типа ПК) – производится переключение на загрузку операционной системы с внешнего USB-носителя, (4) до загрузки ОС производится аутентификация пользователя (после ввода правильного пароля), затем - (5) проверка авторизации компьютера, далее (6) загружается сертифицированная доверенная российская ОС с предустановленными и преднастроенными приложениями, необходимыми для дистанционной работы (замкнутая доверенная программная среда), (7) производится подключение к сети (Ethernet или WiFi), (8) осуществляется строгая или усиленная двухфакторная аутентификация пользователя, (9) автоматически устанавливается VPN-соединение со шлюзом организации (VipNet, «Застава» или др. сертифицированные VPN), (10) по RDP-протоколу устанавливается подключение к рабочему столу служебного компьютера или виртуального (VDI). Далее – всё как обычно, как будто пользователь работает в офисе на своём рабочем месте – подключается в ГИС, работает с привычными ИС, подписывает документы своей электронной подписью (LiveOffice также является и средством формирования и проверки усиленной квалифицированной электронной подписи).

CNews: Aladdin LiveOffice позволяет безопасно работать даже в государственных информационных системах?

Сергей Груздев: Решение AladdinLiveOffice сертифицировано ФСТЭК России по 4-му классу. Это позволяет использовать его в органах исполнительной власти, в государственных структурах, в банках, в организациях ОПК и др. для организации безопасной дистанционной работы с обработкой всех видов тайн (кроме гос. тайны) и всех видов служебных сведений.

Например, в государственных информационных системах (ГИС), до 1-го класса защищённости, в информационных системах персональных данных (ИСПДн), до 1-го уровня защищённости персональных данных, в информационных системах значимых объектов критической информационной инфраструктуры (КИИ), включая объекты 1-й категории. В формуляре к продукту мы, кстати, указываем полный список тайн и служебных сведений, с которыми можно осуществлять работу, среди них – налоговая, банковская, врачебная, нотариальная тайна, тайна следствия, страхования и др.

CNews: Могут ли коммерческие организации использовать Аladdin LiveOffice?

Сергей Груздев: Да, конечно, для этого у нас есть более гибкая настраиваемая версия продукта, позволяющая подстроить наше решение под текущую ИТ-инфраструктуру организации. Возможностей для «маневра» и кастомизации решения здесь сильно больше.

CNews: Последний вопрос: какова стоимость данного решения?

Сергей Груздев: Когда нам ставили задачу обеспечить сотрудников органов исполнительной власти средствами безопасной дистанционной работы была установлена и цена для такого решения – она должна быть в 5-7 раз дешевле, чем служебный ноутбук с установленным набором необходимых сертифицированных средств защиты, о которых я говорил выше). Мы уложились в установленные нормы.

erid:5GmBfDyaРекламодатель: АО «Аладдин Р.Д.ИНН/ОГРН: 7719165935/1027739490415Сайт: www.aladdin-rd.ru