Адрес документа: http://lib.itsec.ru/forum.php?sub=13963&from=0
| Автор: ГОСТ | 72104 | 17.05.2017 14:19 |
|
Добрый день. Бывает, что возникают ситуации, когда необходимо из дома подключиться к своей рабочей станции. Рабочая станция входит в ИСПДн. Как правильно и с помощью каких продуктов можно произвести такое подключение?
|
|
| Автор: oko | 72109 | 17.05.2017 20:49 |
|
В каждом случае все индивидуально и зависит от вашей готовности к затратам экономическим, техническим, организационным и функциональным...
Варианты: СКЗИ с сертификатом ФСБ, VPN в составе СЗИ с сертификатом ФСТЭК, иные средства без сертификатов и с их обоснованием в Модели угроз... |
|
| Автор: ГОСТ | 72112 | 18.05.2017 08:49 |
|
Установка СКЗИ на домашние компьютеры сотрудников возможна?
|
|
| Автор: oko | 72128 | 18.05.2017 23:01 |
|
Возможна. Но влечет за собой сложности организационного, технического и правового характера. Причем чем "инсталлированнее", тем сложностей больше. Т.е. установить тот же ViPNet Client на домашний АРМ будет сложнее (не технически, но в иных аспектах), чем сделать защищенный накопитель аля загрузочный диск (flash) с вшитыми СКЗИ на борту...
Для начала задумайтесь, возможно ли вообще обойтись без СКЗИ. Способы защиты удаленного доступа без СКЗИ также существуют... |
|
| Автор: kate | 72130 | 18.05.2017 23:40 |
|
Для начала задумайтесь, возможно ли вообще обойтись без СКЗИ. Способы защиты удаленного доступа без СКЗИ также существуют...
око, пожалуйста, приведите примеры доступных для "простых смертных" способов защиты трафика, передаваемого по сети Интернет, от несанкционированного доступа без использования криптографических методов.... |
|
| Автор: oko | 72133 | 19.05.2017 04:25 |
|
Самый дешевый - использовать стойкие опенсорсные VPN-решения, при условии отсутствия нарушителей с потенциалом выше "расширенного базового" ("среднего") + отсутствии известных уязвимостей в этих решениях + проведении тестов на проникновение со стороны организации-лицензиата + УЗ4 (УЗ3 с натяжкой) по классификации ИСПДн + выполнении ряда организационных мероприятий (смена ключей и паролей доступа, персональная ответственность "домашнего" пользователя и т.д. и т.п.). Это все надо грамотно рассмотреть и обосновать в Частной модели угроз...
Если не выполняется хотя бы один из этих пунктов - можно посмотреть в сторону продуктов, имеющих сертификат ФСТЭК, но поддерживающих также по своим Техническим условиям какое-либо VPN-решение или шифрование передаваемой по сети информации в иной форме (виде). Раньше таким продуктом (из мне известных) был TrustAccess (чисто программный). Сейчас Код Безопасности перестал (вроде бы) его выпускать. Но посмотрите аналогичные программные и программно-аппаратные продукты в реестре ФСТЭК и на сайтах производителей... Хотя я бы, лично, все-таки остановился на защищенных ОС и загрузочных flash-накопителях с СКЗИ на борту. Энергонезависимая память, минимум технических сложностей по внедрению и не такой большой перечень орг.мероприятий. Единственный недостаток - надо грузить только эту ОС для удаленного доступа. Все они на базе GNU/Linux в той или иной мере. Такие разработки есть у ОКБ САПР, у Анкада. Что-то подобное есть у Актива и у Аладдина. Вариантов много, но надо подбирать под конкретную ситуацию... |
|
| Автор: sekira | 72135 | 19.05.2017 07:02 |
|
Не забываем требования по орг мерам и требования к охране режиму и хранению носителей, требования к СКЗИ и возможной попыткой "натянуть" все это на квартиру.
|
|
| Автор: Андрей, ОКБ САПР | 72173 | 23.05.2017 00:26 |
|
Если все делать «по уму» (т.е. по требованиям ФСТЭК и ФСБ), то для каждого такого домашнего ПК, чтобы организовать защищенный удаленный доступ по всем канонам, потребуется как минимум СЗИ от НСД для разграничения доступа, антивирус, персональный межсетевой экран, сертифицированное СКЗИ. Такой комплект можно оценить в 500-600 $. Плюс еще различные орг. меры, но сейчас не об этом.
Очевидно, что удаленный доступ к ресурсам компании требуется на непродолжительный период, а в остальное временя компьютером хочется пользоваться без ограничений, по своему усмотрению. Организовывать защищенную среду постоянно нет необходимости. В данном случае требуется только доверенный сеанс связи. Для реализации этой концепции компанией ОКБ САПР разработан ряд решений. Одним из решений, которое мы внедрили уже во многих ИС (и успешно их аттестовали), является Комплекс СОДС «МАРШ!», которое представляет собой загрузочное USB-устройство с собственным микропроцессором, управляющим доступом к нескольким аппаратно разделённым областям памяти на основании назначенных для них атрибутов. Образ операционной системы СОДС «МАРШ!» (на базе Linux) включает набор функционального ПО (например: RDP-клиент, Citrix Receiver, браузер) для доступа к удаленным ресурсам, сертифицированное СЗИ от НСД и СКЗИ. Отметим, что память, где располагается образ, находится в режиме «только чтение», что исключает несанкционированную модификацию ПО и ОС, и позволяет создать доверенную вычислительную ОС и «правильную» среду функционирования СКЗИ (СЭП или VPN). Конфигурацию образа можно заказать любую. Такое решение стоит намного дешевле того комплекта СЗИ, которое я описал в самом начале. А учитывая, что данное устройство мобильное, его легко можно подключать к разным ПК (в том числе и к тонким клиентам), а АИБу вашей компании можно легко проводить периодические проверки и вести учет. Для безопасного удаленного доступа к ресурсам также подойдут защищенные микрокомпьютеры нашей линейки «MKT», построенные на новой гарвардской архитектуре. В качестве примера приведу очень популярный «MKT‑card long». Конструктивно он компактен, оформлен как док-станция с отчуждаемым компьютером. Его программное обеспечение размещено в памяти с физически устанавливаемым доступом read only (RO), что исключает искажения программного обеспечения и обеспечивает неизменность среды функционирования. Образ операционной системы (на базе Linux) включает набор функционального ПО (например: RDP-клиент, Citrix Receiver, браузер) для доступа к удаленным ресурсам, сертифицированное СЗИ от НСД. Обеспечение стабильности СФК позволяет встраивать и применять любые сертифицированные СКЗИ. Такой компьютер с набором СЗИ также стоит намного дешевле того комплекта СЗИ, которое я описал в самом начале. |
|
| Автор: sekira | 72176 | 23.05.2017 09:31 |
|
"Плюс еще различные орг. меры, но сейчас не об этом."
об этом об этом это краеугольный камень! |
|
| Автор: oko | 72177 | 23.05.2017 10:01 |
|
to sekira
Ежели нет разведки ТКУИ и инсайдеров в виде детей (чужих, ага) - вопросы орг.мер решаются не сложнее, чем на производстве... А если вы про бумажную волокиту с тех.паспортами и проч. внутренней документацией, то максимум - состав ОТСС (в виде домашней машины и того-самого-аппаратного-токена-с-СКЗИ) + предписание по необходимым мерам контроля и ограничения доступа... Под УЗ1 (К1), конечно, не пройдет... Но за идею подключения к таким системам из дома вообще, imho, бил бы ремнем, чтобы впредь было неповадно... |
|
| Автор: sekira | 72178 | 23.05.2017 10:07 |
|
"бил бы ремнем, чтобы впредь было неповадно..."
золотые слова... |
|
| Автор: Андрей , ОКБ САПР | 72180 | 23.05.2017 12:01 |
|
"...Но за идею подключения к таким системам из дома вообще, imho, бил бы ремнем, чтобы впредь было неповадно..."
Сегодня в штате многих компаний есть удаленные сотрудники + есть сотрудники, которым необходим удаленный доступ к корпоративной сети, например, во время коммандировки. С развитием современных коммуникаций это уже норма. Да и если это идет на пользу бизнесу (решение оперативно каких-либо задач из дома), то почему нет? Главное - правильно организовать. |
|
| Автор: Андрей , ОКБ САПР | 72181 | 23.05.2017 12:05 |
|
Прошу прощения, сделал опечатку в слове "командировка".
|
|
| Автор: oko | 72182 | 23.05.2017 12:34 |
|
to Андрей
Бизнес бизнесом, а гос.ресурс гос.ресурсом. Аналогично с ПДн (хотя бывают исключения, согласен)... Главный фактор: работа из командировок - это нормально, работа на дому - это неограниченное число каналов утечки, как ни крути. Вот за такие поползновения и надо бить по рукам. Потому как информация имеет свойство просачиваться, а человек имеет свойство искать послаблений в любой среде после некоторого времени эксплуатации вверенной ему системы... Впрочем, тот же МАРШ штука любопытная и полезная. Нужно лишь меру знать, с чем у конечных эксплуатантов, зачастую, проблемы... |
|
| Автор: Андрей , ОКБ САПР | 72183 | 23.05.2017 13:18 |
|
Мы считаем, что "МАРШ!", и любой другой наш продукт, реализующий концепцию "доверенного сеанса связи", как раз позволяет снизить риск утечки корпоративной информации, если человек работает удаленно.
Не важно - командировка или дом. В командировке тоже может быть неограниченное число каналов утечки. В том или ином случае, юзер является удаленным. Тут важно, чтобы пользователь работал с ресурсом, используя доверенное средство (с доверенной вычислительной средой), и АИБ это мог проконтролировать. Да, в командировку можно пользователя отправить с корпоративным ноутбуком с предустановленными СЗИ (минимальную их стоимость я озвучивал выше). Домашний ПК обустраивать таким набором СЗИ нерентабельно, плюс ко всему, это будет вторжением в частную жизнь, если АИБ будет все контролировать, что происходит дома. Поэтому решения, реализующие концепцию ДСС, для удаленной домашней работы идеально подходят. |
|
| Автор: oko | 72184 | 23.05.2017 13:46 |
|
to Андрей
Вы рассматриваете проблематику однобоко. Без учета психологии конечного сотрудника... Если совсем упрощенно, то работа в командировке психологически предусматривает некоторую "замкнутость". Сотрудник инстинктивно будет охранять свою "точку подключения" и "доверенный канал" от лиц, способных реализовать утечку данных (хоть по визуалке, хоть иным способом). А вот в домашних условиях работает подсознательный принцип "мой дом - моя крепость". И там повышается вероятность утечки "по случайности" для лиц, "доверенных" для сотрудника, но "недоверенных" для предприятия (и бизнеса вообще). А дальше работает принцип "просачивания информации". Если все это смоделировать, то явственно выходит, что доверенный канал - это не главное... |
|
| Автор: Андрей , ОКБ САПР | 72185 | 23.05.2017 14:39 |
|
to oko
С Вами согласен, я рассматривал проблему с технической стороны. Естественно, что при организации удаленного доступа сотрудников необходимо вводить ряд организационных/административных мер, например: инструкции о том, как пользоваться и хранить технические средства, используемые для удаленного доступа, соглашение о неразглашении защищаемой информации и т.д. |
|
| Автор: Никита | 72477 | 02.06.2017 12:06 |
|
Если бумажную сторону уже обсосали, расскажу о технической.
Если кратко, то RDP в браузере с двухфакторной авторизацией по сертификату или токену. Всяко будет надежнее, чем VPN при условно скомпрометированном домашнем ПК. |
|
| Автор: nekto | 72479 | 02.06.2017 13:53 |
|
to Никита | 72477
Браузер на скомпрометированном ПК не лучше домашнего ПК... Если поставить софт, записывающий видео с экрана, то и браузер тоже будет записан... Без доверия к операционной системе проблему вообще не решить... Поэтому - Либо доверенное железо (рабочий ноутбук, планшет и т.п.) с доверенной ОС, либо съёмный загрузочный носитель, с доверенной ОС... И только после можно говорить о защите канала... |
|
| Автор: oko | 72485 | 03.06.2017 20:26 |
|
to nekto
Либо комплексная проверка средствами АВЗ перед установлением соединения... Либо изоляция памяти, выделенной для обработки ИОД, включая видеопоток (на уровне видеодрайвера и оперативной памяти со свопом)... Либо прием/передача/отображение ИОД в семантически неявном виде с использованием кодификаторов уровня баз данных ИОД... Подходов масса - выбирай на вкус, цвет и назначение (не все вышесказанное относится к обычной удаленной работе юзера/админа в операционной среде защищаемой ИС, разумеется)... to Никита Предложенный вами подход прекраен, удобен и прост. Жаль только, что в части безопасности он устарел лет на 5. Рекомендую почитать соответствующие технические бумаги... |
|
| Автор: nekto | 72503 | 06.06.2017 11:51 |
|
to oko | 72485
Проверка неизвестной ОС недостаточна (она может эмулироваться каким-то руткитом и пройдёт проверку)... Если нет доверия к среде функционирования и к учетным записям SYSTEM или администратора, можно считать что память и содержимое экрана читаете не только Вы... Например если как в системах банк-клиент использовать подтверждения по одноразовым паролями с внешнего источника - например по СМС - это защитит только от изменений, т.е. целостность но не может гарантировать конфиденциальность... Хотя если подумать, то стенография поможет обеспечить конфиденциальность... но на стороне сервера нужны дополнительные средства, обрабатывающие эти данные... |
|
Просмотров темы: 5633
Copyright © 2004-2019, ООО "ГРОТЕК"
