Подключение к рабочим станциям с домашних ПК сотрудников - Форум по вопросам информационной безопасности

Добрый день. Бывает, что возникают ситуации, когда необходимо из дома подключиться к своей рабочей станции. Рабочая станция входит в ИСПДн. Как правильно и с помощью каких продуктов можно произвести такое подключение?

В каждом случае все индивидуально и зависит от вашей готовности к затратам экономическим, техническим, организационным и функциональным...
Варианты: СКЗИ с сертификатом ФСБ, VPN в составе СЗИ с сертификатом ФСТЭК, иные средства без сертификатов и с их обоснованием в Модели угроз...

Установка СКЗИ на домашние компьютеры сотрудников возможна?

Возможна. Но влечет за собой сложности организационного, технического и правового характера. Причем чем "инсталлированнее", тем сложностей больше. Т.е. установить тот же ViPNet Client на домашний АРМ будет сложнее (не технически, но в иных аспектах), чем сделать защищенный накопитель аля загрузочный диск (flash) с вшитыми СКЗИ на борту...
Для начала задумайтесь, возможно ли вообще обойтись без СКЗИ. Способы защиты удаленного доступа без СКЗИ также существуют...

Для начала задумайтесь, возможно ли вообще обойтись без СКЗИ. Способы защиты удаленного доступа без СКЗИ также существуют...

око, пожалуйста, приведите примеры доступных для "простых смертных" способов защиты трафика, передаваемого по сети Интернет, от несанкционированного доступа без использования криптографических методов....

Самый дешевый - использовать стойкие опенсорсные VPN-решения, при условии отсутствия нарушителей с потенциалом выше "расширенного базового" ("среднего") + отсутствии известных уязвимостей в этих решениях + проведении тестов на проникновение со стороны организации-лицензиата + УЗ4 (УЗ3 с натяжкой) по классификации ИСПДн + выполнении ряда организационных мероприятий (смена ключей и паролей доступа, персональная ответственность "домашнего" пользователя и т.д. и т.п.). Это все надо грамотно рассмотреть и обосновать в Частной модели угроз...
Если не выполняется хотя бы один из этих пунктов - можно посмотреть в сторону продуктов, имеющих сертификат ФСТЭК, но поддерживающих также по своим Техническим условиям какое-либо VPN-решение или шифрование передаваемой по сети информации в иной форме (виде). Раньше таким продуктом (из мне известных) был TrustAccess (чисто программный). Сейчас Код Безопасности перестал (вроде бы) его выпускать. Но посмотрите аналогичные программные и программно-аппаратные продукты в реестре ФСТЭК и на сайтах производителей...
Хотя я бы, лично, все-таки остановился на защищенных ОС и загрузочных flash-накопителях с СКЗИ на борту. Энергонезависимая память, минимум технических сложностей по внедрению и не такой большой перечень орг.мероприятий. Единственный недостаток - надо грузить только эту ОС для удаленного доступа. Все они на базе GNU/Linux в той или иной мере. Такие разработки есть у ОКБ САПР, у Анкада. Что-то подобное есть у Актива и у Аладдина. Вариантов много, но надо подбирать под конкретную ситуацию...

Не забываем требования по орг мерам и требования к охране режиму и хранению носителей, требования к СКЗИ и возможной попыткой "натянуть" все это на квартиру.

Если все делать «по уму» (т.е. по требованиям ФСТЭК и ФСБ), то для каждого такого домашнего ПК, чтобы организовать защищенный удаленный доступ по всем канонам, потребуется как минимум СЗИ от НСД для разграничения доступа, антивирус, персональный межсетевой экран, сертифицированное СКЗИ. Такой комплект можно оценить в 500-600 $. Плюс еще различные орг. меры, но сейчас не об этом.

Очевидно, что удаленный доступ к ресурсам компании требуется на непродолжительный период, а в остальное временя компьютером хочется пользоваться без ограничений, по своему усмотрению. Организовывать защищенную среду постоянно нет необходимости. В данном случае требуется только доверенный сеанс связи. Для реализации этой концепции компанией ОКБ САПР разработан ряд решений.

Одним из решений, которое мы внедрили уже во многих ИС (и успешно их аттестовали), является Комплекс СОДС «МАРШ!», которое представляет собой загрузочное USB-устройство с собственным микропроцессором, управляющим доступом к нескольким аппаратно разделённым областям памяти на основании назначенных для них атрибутов. Образ операционной системы СОДС «МАРШ!» (на базе Linux) включает набор функционального ПО (например: RDP-клиент, Citrix Receiver, браузер) для доступа к удаленным ресурсам, сертифицированное СЗИ от НСД и СКЗИ. Отметим, что память, где располагается образ, находится в режиме «только чтение», что исключает несанкционированную модификацию ПО и ОС, и позволяет создать доверенную вычислительную ОС и «правильную» среду функционирования СКЗИ (СЭП или VPN). Конфигурацию образа можно заказать любую. Такое решение стоит намного дешевле того комплекта СЗИ, которое я описал в самом начале. А учитывая, что данное устройство мобильное, его легко можно подключать к разным ПК (в том числе и к тонким клиентам), а АИБу вашей компании можно легко проводить периодические проверки и вести учет.

Для безопасного удаленного доступа к ресурсам также подойдут защищенные микрокомпьютеры нашей линейки «MKT», построенные на новой гарвардской архитектуре. В качестве примера приведу очень популярный «MKT‑card long». Конструктивно он компактен, оформлен как док-станция с отчуждаемым компьютером. Его программное обеспечение размещено в памяти с физически устанавливаемым доступом read only (RO), что исключает искажения программного обеспечения и обеспечивает неизменность среды функционирования. Образ операционной системы (на базе Linux) включает набор функционального ПО (например: RDP-клиент, Citrix Receiver, браузер) для доступа к удаленным ресурсам, сертифицированное СЗИ от НСД. Обеспечение стабильности СФК позволяет встраивать и применять любые сертифицированные СКЗИ. Такой компьютер с набором СЗИ также стоит намного дешевле того комплекта СЗИ, которое я описал в самом начале.

"Плюс еще различные орг. меры, но сейчас не об этом."
об этом об этом это краеугольный камень!

to sekira
Ежели нет разведки ТКУИ и инсайдеров в виде детей (чужих, ага) - вопросы орг.мер решаются не сложнее, чем на производстве...
А если вы про бумажную волокиту с тех.паспортами и проч. внутренней документацией, то максимум - состав ОТСС (в виде домашней машины и того-самого-аппаратного-токена-с-СКЗИ) + предписание по необходимым мерам контроля и ограничения доступа... Под УЗ1 (К1), конечно, не пройдет... Но за идею подключения к таким системам из дома вообще, imho, бил бы ремнем, чтобы впредь было неповадно...