Компания  «Аладдин Р.Д.», разработчик ключевых решений для построения безопасной доверенной ИТ-инфраструктуры, на площадке AM-Live при участии представителей ФСТЭК и ФНС России в начале апреля провела онлайн-конференцию на тему «Организация безопасной дистанционной работы. Соответствие требованиям ФСТЭК». Эксперты обсудили существующие требования ФСТЭК к организации безопасной дистанционной работы, а также проанализировали опыт внедрения специализированного решения Aladdin LiveOffice в ФНС России.

КЛЮЧЕВЫЕ УГРОЗЫ И РИСКИ ДИСТАНЦИОННОЙ РАБОТЫ ДЛЯ ОТЕЧЕСТВЕН-НОГО БИЗНЕСА

В дискуссии приняли участие Сергей Груздев, генеральный директор компании «Аладдин Р.Д.», Дмитрий Шевцов, начальник 2-го Управления ФСТЭК России, и Максим Судаков, консультант Отдела правовой защиты информации и организации деятельности территориальных подразделений УИБ ФНС России.

По словам Сергея Груздева, дистанционная работа стала нормой среди отечественных компаний, даже после окончания пандемии большое количество организаций продолжает использовать дистанционный режим работы сотрудников.

«К дистанционной работе привыкли и отказываться от неё никто не собирается. Шок от пандемии прошёл, появился 407-ФЗ, легализующий дистанционную работу и определяющий права и обязанности работодателей и сотрудников, появились новые требования ФСТЭК России к средствам обеспечения безопасной дистанционной работы, появилось и первое сертифицированное специализированное решение – Aladdin LiveOffice, позволяющее сотрудникам организаций, органов исполнительной власти безопасно работать с домашних компьютеров в государственных информационных системах», – рассказывает генеральный директор «Аладдин Р.Д.».

С представителем ФСТЭК России достаточно обстоятельно обсудили организацию безопасной дистанционной работы, новые требования в этой сфере. Почему они необходимы, на кого распространяются, какова ответственность за несоблюдение требований? Также коснулись темы ключевых угроз и рисков дистанционной работы для отечественного бизнеса, обозначили основные слабые места и уязвимости дистанционной работы на реальных примерах.

Классическим примером средства для дистанционной работы сотрудников является защищённый служебный ноутбук. Требования к средствам защиты, которые должны быть установлены на его «борту», подробно описаны в документе «Меры защиты…» к 17-му Приказу ФСТЭК России.

На таком служебном ноутбуке в обязательном порядке должны быть установлены сертифицированные средства: доверенной загрузки (СДЗ), российская операционная система (на базе Linux), антивирус, средство двухфакторной аутентификации пользователя (USB-токен или смарт-карта), межсетевой экран, VPN (сертифицированный по линии ФСБ России), средство прозрачного шифрования дисков (например, Secret Disk), монитор геолокации. Пользователь такого служебного ноутбука при этом иметь административных прав не должен.

Согласно 407-ФЗ, работодатель обязан обеспечить сотрудника средствами организации безопасной дистанционной работы. С учётом введённых против России санкций, ухода многих зарубежных вендоров, существенного подорожания ноутбуков, дороговизны и сложности установки, настройки, обслуживания и поддержки такого количества сертифицированных средств защиты от разных вендоров, задача организации безопасной дистанционной работы уже не выглядит тривиальной.

С началом СВО остро встала и так называемая проблема «внутреннего нарушителя».

Альтернативным вариантом служебному ноутбуку с предустановленным комплектом сертифицированных средств защиты является специализированное средство, разработанное нашей компанией – Aladdin LiveOffice.

В основе лежит технология LiveUSB, позволяющая загружать компьютер с внешнего специализированного флеш-накопителя. В результате – получился «ноутбукозаменитель» в форм-факторе обычной USB-флешки, содержащей в себе все необходимые средства для безопасной дистанционной работы с использованием любого недоверенного компьютера, например, личного, домашнего.

Эта же специализированная «USB-флешка» является ещё и средством двухфакторной аутентификации пользователей в ИС организации, и средством электронной подписи, позволяющим использовать её в системах ДБО, электронного документооборота, в различных электронных сервисах, где необходимо обеспечить юридическую значимость документов.

При этом, Aladdin LiveOffice

1) существенно безопаснее служебного ноутбука, поскольку поверхность атаки для злоумышленника здесь существенно меньше;

2) проще, поскольку пользователю требуется лишь подключить USB-ключ для загрузки, нажать F12, ввести ПИН-код для аутентификации (до загрузки ОС!), выбрать WiFi сеть и ввести пароль для подключения – всё! Всё остальное, включая подключение к своему удалённому рабочему столу (рабочего компьютера или виртуального) происходит автоматически.

3) Дешевле – такое компактное специализированное средство существенно (в 5–10 раз) дешевле своего аналога – защищённого служебного ноутбука.

Aladdin LiveOffice в качестве защищённого терминала обеспечивает дистанционную работу сотрудников или внешних контрагентов в преднастроенной замкнутой доверенной среде. Все процессы (обработка документов, их хранение) производятся в защищённой среде организации, скопировать документы, загрузить в систему вирус или троян пользователь ИС не сможет.

По словам Груздева, решение Aladdin LiveOffice позволяет работать со всеми видами тайн, кроме гостайны, и служебными сведениями, в том числе с банковской, налоговой, врачебной, нотариальной, адвокатской, аудиторской, страховой тайной, персональных данных.

Данное решение сертифицировано ФСТЭК (Сертификат ФСТЭК России № 4355 от 10.02.2021 – прим. Ред.) и обеспечивает полное выполнение требований регулятора».

Сертифицированное решение Aladdin LiveOffice предназначено для органов исполнительной власти, государственных структур, предприятий КИИ, банков, предприятий ОПК – всех, кто должен выполнять требования российских регуляторов.

Для коммерческих организаций, которые могут сами выбирать применяемые средства защиты, под существующую у них ИТ-инфра­структуру на базе LiveOffice выпускаются кастомизированные (не сертифицированные) версии».

ОПЫТ ИСПОЛЬЗОВАНИЯ ALADDIN LIVEOFFICE В ФНС

На онлайн-конференции был рассмотрен конкретный кейс успешного внедрения Aladdin LiveOffice в ИТ-инфраструктуру Федеральной налоговой службы России. ФНС России стал одним из первых крупных федеральных заказчиков, внедривший у себя в период пандемии инновационный продукт, и получил от этого существенные выгоды и преимущества. Об особенностях внедрения, использования и поддержки этого продукта, полученном эффекте рассказал представитель ФНС России Максим Судаков.

В процессе дискуссии от аудитории было получено более 300 вопросов, на которые эксперты пообещали ответить письменно. Ознакомиться с ними можно на сайте компании  «Аладдин Р.Д.»