Научная кооперация отраслевых мегарегуляторов и академических институтов при разработке типовых автоматизированных рабочих мест и требований по защите информации при осуществлении дистанционной работы
03.03.2021
Источник: Защита информации. ИНСАЙД, 03.03.2021, Леонид Раткин
В феврале 2021 года в рамках ежегодного форума «Технологии безопасности» в Москве была проведена серия семинаров и круглых столов по вопросам обеспечения безопасности в банковской сфере, транспортной и других отраслях. Особое внимание экспонентов и гостей форума было привлечено к актуальным вопросам защиты информации, которые были рассмотрены на одноименной XI конференции с участием представителей академических институтов, промышленных предприятий, вендоров, эксплуатантов и разработчиков систем индустриальной безопасности.
Конференция открылась вступительным словом заместителя директора ФСТЭК России В.С.Лютикова. Виталий Сергеевич сообщил о результатах работы в 2020 году и направлениях сотрудничества ФСТЭК с государственными организациями и частными предприятиями в 2021 году. В частности, отмечалась положительная динамика взаимодействия с институтами Российской академии наук (например, Институтом прикладной математики имени М.В.Келдыша РАН, Институтом системного программирования имени В.П.Иванникова РАН, Институтом программных систем имени А.К.Айламазяна РАН) и промышленными структурами по вопросам разработки систем для противодействия киберугрозам и минимизации киберрисков.
Типовое автоматизированное рабочее место (ТАРМ) государственных служащих было представлено на конференции директором Департамента проектов по информатизации Министерства цифрового развития, связи и массовых коммуникаций (Минцифры) РФ К.А.Гурзовым. Константин Александрович отметил в качестве предпосылок не только отсутствие базовых российских сервисов (согласно результатам опросов Минцифры РФ по 64 федеральным органам исполнительной власти – ФОИВам, 28% госслужащих не имеют корпоративной почты (многочисленные вневедомственные e-mail не учитываются) и цифровое неравенство (неравномерность финансирования и неравенство долей затрат на ИТ для ФОИВов и РОИВов), но также удобство применения (УП) и обслуживания (рабочие сервисы не должны уступать в УП рыночным аналогам) и информационные утечки (по данным InfoWatch, 23% утечек данных наблюдаются в госсекторе). Соответственно, для создания ТАРМ необходимо обеспечить госслужащих доступным рабочим базовым инструментом с замещением 100% бесплатных рабочих сервисов (e-mail, мессенджер, ВКС/АКС, файловое хранилище и репозитории), устранить неравенство в доступности технологий и сервисов между органами власти и предоставить возможность 100% государственных и муниципальных служащих пользоваться платформой. Также, для повышения показателей эффективности необходимо создать функционал внутриведомственных и межведомственных коммуникаций с сервисами и инструментами, не уступающими рыночным аналогам, и устранить причины несоблюдения мер информационной безопасности (ИБ) с сохранением комфортного использования.
Интересны результаты опроса 64 ФОИВов Минцифрой РФ: 83% применяют сервисы Microsoft для организации почты, 59% ФОИВов не используют технологий интеграции с коммуникационными системами, 19% не обладают комплементарными базовыми сервисами (например, по организации встреч, ведению календарей учета рабочего времени). Кроме того, до сих пор не разработан единый стандарт защиты и сохранности служебной информации! Также необходимо обеспечить доступность удобных рабочих базовых инструментов и сервисов (на базе отечественных разработок и технологий) для корпоративной почты (включая рабочий календарь и адресную книгу), мессенджеров, АКС и ВКС (согласно экспертным оценкам, современный сотрудник в среднем использует 3 бесплатных облачных мессенджера в своей работе для переписки с коллегами и через незащищенные каналы отправляет 3 Мб служебной информации ежедневно), оптимизировать работу файловых хранилищ (ФХ) и репозиторных систем (при применении корпоративного ФХ время на поиск и отправку файлов сокращается в 3 раза), и создать разветвленную систему кадрового сервиса и управления развитием (включая модули профессиональной адаптации и ориентации, управления знаниями и планирования совещаний, а также систему подготовки и обработки результатов опросов).
Интересны данные по оценке цифрового неравенства, приведенные в отчете McKinsey «Digital Russia Report», в котором утверждается, что передовой опыт в создании цифровых продуктов реализован в наиболее продвинутых регионах в формате, предполагающем общий подход для цифровизации государственных органов. По мнению экспертов, базовый бюджет на ИКТ сконцентрирован в регионах – «лидерах по цифровизации», что обуславливает необходимость передачи ИКТ и опыта работы с ними отстающим регионам. В Москве сконцентрировано порядка 40% расходов на ИКТ, в то время, как на все остальные регионы – только 60%!
При разработке защищенной среды ТАРМ одной из ключевых является подсистема ИБ ТАРМ. Среди проблем ИБ следует особо отметить утечку конфиденциальных документов или их временных копий при временной передаче собственных устройств третьим лицам, их продаже, сдаче в ремонт, взломе или утере, а также удаленной работе вне закрытого контура, утечку из-за преднамеренного копирования конфиденциальной информации из ведомственных информационных систем (ИС), угрозу взлома несертифицированных TSL устаревших версий 1.1. и 1.2 (среднее время реализации атаки – 38 часов), а также утечку конфиденциальной информации через онлайн-сервисы или мессенджеры при обмене и общении в рабочих группах с неконтролируемым составом участников, а также отсутствие антивирусов. Мерами пресечения кибератак и минимизации киберугроз являются в частности, применение доверенного программного обеспечения и среды исполнения (загрузка с защищенного «токена»), аутентификация с применением УКЭП с «гостированной» защитой системы обмена данными (VIPNet), запрет копирования загружаемых данных на незащищенные носители, антивирусная защита с контролем целостности и мониторингом уровня защищенности, а также сетевая сегментация с выявлением и предотвращением вторжений и постоянный контроль действий и коммуникаций пользователя с фиксацией ИБ-событий.
Типовой внутренний ИБ-нарушитель (63% всех утечек по данным InfoWatch) – это рядовой сотрудник, имеющий доступ к информации ограниченного доступа в связи с должностными обязанностями. Как правило, он не соблюдает регламент работы с ДСП (не считает его важным, будучи с ним ознакомленным формально), применяет собственный телефон и/или планшет (для работы с e-mail и другими ресурсами по документообороту), недоволен отношением у нему со стороны руководства (уровень зарплаты и премий, отсутствие карьерного роста и другие «демотивирующие» факторы), часто использует открытые мессенджеры и онлайн-сервисы и готов сотрудничать с внешними нарушителями за вознаграждение (следствие финансовых затруднений).
ТАРМ является полностью (на 100%) доверенным ПО и инструментом безопасной удаленной работы с информацией ограниченного доступа (ДСП), предполагающим строгую аутентификацию и «гостированную» защиту обмена данными с применением УКЭП, мониторингом действий и коммуникаций пользователя и передаваемых данных, при этом DLP позволяет выявлять и блокировать передачу чувствительной информации. При переходе всех ведомств на ТАРМ повысится межведомственная эффективность и взаимодействия ФОИВ, РОИВ и Органов местного самоуправления (ОМСУ) с населением, будет возможна безопасная удаленная работа с любого места с противодействием утечкам информации, равноправным доступом всех органов государственной власти к общей витрине приложений, гибкая модель ценообразования (базовый набор сервисов SaaS – единый для всех, остальные опции подключаются дополнительно, в т.ч., оборудование и ПО), унификация технических решений с едиными SLA (информатизация ФОИВов, РОИВов и ОМСУ в едином темпе в рамках общей «Дорожной карты») и применимость технологических решений ТАРМ для предоставления населению и бизнесу всего спектра услуг.
Возможная следующая классификация ФОИВов, РОИВов и ОМСУ: ведомства с базовым уровнем развития (ВБУР) ИТ, «консервативные ведомства» (КВ) и «продвинутые ведомства» (ПВ): соответственно, для них разработаны различные стратегии. Как правило, ВБУР ИТ недоукомплектованы современными средствами ИТ и имеют сложности с бюджетом: для них обеспечена доступность сервисов ТАРМ для всех сотрудников ведомства в условиях ограниченного бюджета, предусмотрена возможность работы с любого типа устройств, включая домашние ПК, увеличен срок использования существующего парка оборудования на 30% за счет технологии VDI, а также обеспечены передовые механизмы ИБ. КВ, не имеющие «проблем с бюджетом», традиционно следуют «исторически сложившимся» стандартам ИТ, сложившимся на «классическом» офисном ПО: переход на ТАРМ обеспечит сокращение затрат и повышение автоматизации рабочих мест, оптимизирует кадровую политику, сократит санкционные риски и будет способствовать импортозамещению коммерческих сервисов повысит уровень ИБ в условиях коллективной работы с другими ведомствами благодаря применению единых политик, стандартов и методик. Наконец, для ПВ, активно инвестирующих в развитие внутренних и внешних ИТ-сервисов и применяющих в повседневной жизни современные технологии, благодаря ТАРМ повышается эффективность работы госслужащих за счет предоставления универсальных и объединенных сервисов коммуникации и коллективной работы с другими ведомствами с возможностью создания и публикации новых сервисов ФОИВ и культуры «client experience» (клиентский опыт, получаемый при упрощении процедур подключения и применения сервиса ТАРМ с единым стандартизированным и интуитивно-понятным интерфейсом).
Архитектура платформы ТАРМ следующая: технические и функциональные компоненты объединяют инструментарий для работы с управляемыми страницами, системой поиска, управления правами пользователей, уведомлениями и событиями, моделями бизнес-процессов и компонентами отчетности, профилями сотрудников и групп и «интеграционным слоем». В ТАРМ предусмотрена платформа социализации госслужащих (каждый из компонентов может быть заменен в течение 5 суток), интегрирующие новостные ленты, ведомственные порталы, рабочие календари и адресные книги, проектные группы, почтовые сервисы, мессенджеры, кадровые профили, системы рейтингования и оценки рабочих достижений, ВКС и АСК, блоки управления задачами и поручениями, файловые хранилища и репозитории (включая криптографические и стеганографические репозитории), а также инструменты подготовки отчетных форм и опросных листов, управления знаниями, социальной инженерии, HR-менеджмента, кадрового и управленческого потенциала и развития. В Security Operations Center представлены Data Leak Prevention (DLP), средства антивирусной защиты, межсетевые экраны, доверенное ПО среды исполнения, средства строгой аутентификации (VPN) и средства сбора и анализа событий ИБ.
По поручению Правительства РФ разработаны «Требования к устройствам обеспечения безопасной удаленной работы», обеспечивающие возможность сотрудникам ФОИВов и РОИВов, а также государственных организаций удаленно работать с ГИС с использованием неаттестованных средств вычислительной техники (включая личные). Согласно Требованиям, защищенное устройство должно обеспечивать хранение, формирование и проверку усиленной квалифицированной электронной подписи (УКЭП) с неизвлекаемым закрытым ключом, удаленный запуск и дистанционную работу с установленными на служебном компьютере приложениями, автоматическую настройку и подключение к шлюзу организации с применением сертифицированного ключа, загрузку компьютера с внешнего USB-носителя (например, LiveUSB – средства обеспечения безопасной дистанционной работы сотрудников ФОИВ, РОИВ и госструктур) с записанной сертифицированной ОС, автономную работу со служебными документами и возможностью их сохранения на защищенный раздел USB-устройства, удаленное подключение к рабочему столу служебного компьютера (Remote Desktop) или работу с виртуальным рабочим столом (VDI), и двухфакторную аутентификацию. В соответствии с Требованиями, защищенное устройство должно быть сертифицировано для работы в ИС общего пользования (II класса), в ИС значимых объектов критической информационной инфраструктуры (КИИ) по первую категорию включительно, в ГИС – по первый класс защищенности включительно, в медицинских ИС, банковских ИС и других отраслевых ИС – по первый класс защищенности включительно, в ИС персональных данных – по первый уровень защищенности включительно.
Применение защищенного устройства в удаленном ТАРМ позволяет проводить централизованное удаленное администрирование устройства (например, обновлять пользовательские настройки, профили, цифровые сертификаты, ключи доступа), отказаться от применения запоминаемых паролей (вводимых пользователями вручную при удаленном подключении к ИС организации), использовать личный компьютер для автономной или дистанционной работы с возможностью обработки документов ограниченного распространения, применять надежную двухфакторную аутентификацию пользователей и задействовать привычный USB-токен при работе со служебным компьютером (в частности, в качестве защищенной «флешки» для хранения конфиденциальной информации, для УКЭП в СЭД и различных электронных сервисах и Web-порталах). Разработанное защищенное устройство предотвращает доступ к сохраненным в своей памяти служебным или пользовательским данным в случае утери или кражи устройства, загрузку на компьютер любого файла (возможно, зараженного) с внешнего носителя или из сети Интернет с передачей его в ИС организации, копирование или сохранение обрабатываемой служебной информации на накопители (локальные и съемные диски, флеш-карты и т.д.), выход в Интернет при дистанционной работе напрямую со своего личного компьютера (минуя средства защиты организации), печать обрабатываемой служебной информации на локальный или сетевой принтер, использование LiveUSB на неавторизованном (неизвестном) компьютере. Необходимый уровень безопасности достигается комбинированным применением сертифицированных ОС, сертифицированных VPN и средств VDI, с выполнением всех задач на служебном ПК или на VM (на неаттестованный ПК передаются лишь выводимые на экран изображения).
Требования по защите информации при осуществлении дистанционной работы были представлены в докладе начальника управления ФСТЭК России Д.Н.Шевцова. Дмитрий Николаевич напомнил о переходе на дистанционную работу государственных органов весной 2020 года, инициированном Поручением Председателя Правительства РФ от 16 марта 2020 года № ММ-П9-1861 и Поручением Заместителя Председателя Правительства РФ от 18 марта 2020 года № ДГ-П17-1987, согласно которым «в рамках принятия мер по противодействию (распространения) короновирусной инфекции предусмотрен перевод работников на дистанционный режим исполнения должностных обязанностей, обеспечивающий бесперебойное функционирование федеральных органов исполнительной власти и подведомственных организаций». Создана группа по организации удаленного рабочего места государственного служащего в рамках федерального проекта «Цифровое государственное управление» национальной программы «Цифровая экономика». В сотрудничестве с ведущими отраслевыми предприятиями и рядом академических институтов разработаны рекомендации по обеспечению безопасной дистанционной работы в ГИС. В частности, исходящим письмом ФСТЭК от 20.03.2020 № 240/22/1204 представлены рекомендации по применению дополнительных мер защиты информации в связи с переходом государственных служащих на дистанционный режим работы, с определением перечня СВТ, которые будут представлены работникам для дистанционной работы (личные СВТ для удаленного доступа использовать запрещено), идентификацией удаленных СВТ по физическим (МАС-адресам), выделением в отдельный домен работников с присвоением каждому удаленному СВТ сетевого (доменного) имени, обеспечением двухфакторной аутентификации работников удаленных АРМ, организацией защищенного удаленного доступа с удаленного СВТ с применением сертифицированных средств криптографической защиты информации (VPN-клиент), установкой на удаленные СВТ сертифицированных средств антивирусной защиты информации, исключением возможности установки работником ПО на СВТ. Также исходящим письмом ФСТЭК России от 30.03.2020 № 240/22/1379 анонсированы рекомендации по применению технологий LiveUSB для обеспечения дистанционной работы госслужащих, с определением перечня данных и информационных ресурсов (к которым предоставляется удаленный доступ), обеспечением мониторинга действий работников удаленных СВТ с ведением журнала регистрации их действий, оперативным реагированием и принятием мер защиты информации при возникновении компьютерных инцидентов. В случае невозможности применения специально предназначенных для удаленного доступа СВТ допустимо использование личных СВТ при условии реализации технологии загрузки и работы по удаленному доступу к ИС государственного органа (организации) с защищенного съемного машинного носителя информации по технологии LiveUSB. Для минимизации рисков от дополнительных угроз, к числу которых, в частности, относятся перехваты информации по каналам передачи данных (передаваемых между служебными СВТ и ИС), утечки защищаемой информации (обрабатываемой на служебном СВТ, при кражах или утерях), подмены доверенного пользователя служебного СВТ, внедрении на служебное СВТ вредоносного ПО, предлагаются в качестве мер защиты не только сертифицированное средство доверенной загрузки, сертифицированная ОС, сертифицированное средство антивирусной защиты, но и сертифицированное средство двухфакторной аутентификации пользователей с авторизацией личных СВТ, сертифицированные СКЗИ (VPN, шифрование информации), а также удаленный доступ к системе через технологии RDP и VDI.
Среди наиболее важных документов о защите информации при осуществлении дистанционной работы отметим «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК от 11.02.2013 № 17), «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах» (утверждены приказом ФСТЭК от 18.02.2013 № 21) и «Меры защиты информации в государственных информационных системах» (утвержден ФСТЭК 11.02.2014), в которых, в частности, рассмотрены методы многофакторной (двухфакторной) аутентификации для удаленного доступа в систему, установления (в т.ч., документального) видов доступа (разрешенных для удаленного доступа), обеспечения доверенного канала связи при удаленном доступе к системе, регистрации попыток удаленного доступа, контроля удаленного доступа пользователей (процессов, запускаемых от имени пользователей), управления удаленным запуском компонентов ПО, мониторинга и контроля удаленного доступа, очистки информации в мобильном техническом устройстве после завершения сеанса удаленного доступа. В соответствии с протоколом заседания Межведомственной комиссии Совета Безопасности РФ по ИБ от 26.10.2020 № 3, ФСТЭК России поручено разработать и утвердить «Требования по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах». Проект проходит экспертное обсуждение с анализом возможных оценок регулирующего воздействия, подготовлен к утверждению в Минюст РФ на государственную регистрацию. Также подготовлены «Изменения в Требования О защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17», Изменения в «Меры защиты информации в государственных информационных системах». При применении личных СВТ по технологии LiveUSB для обеспечения дистанционной работы возможно появление дополнительных угроз, в частности, перехвата информации по каналами передачи данных (передаваемых между LiveUSB и ИС), подмены доверенного пользователя LiveUSB, внедрения на LiveUSB вредоносного кода через личное СВТ, запуска LiveUSB с неавторизованного СВТ, несанкционированного копирования защищаемой информации с LiveUSB на носители личного СВТ, утечек защищаемой информации за счет включения сторонних периферийных устройств к личному СВТ. В качестве мер защиты, помимо сертифицированных средств доверенной загрузки, ОС и двухфакторной аутентификации, предлагаются сертифицированные СКЗИ для защиты канала передачи данных и шифрования защищаемой информации на LiveUSB с дистанционным доступом к системе через технологии RDP и VDI, с централизованным управлением LiveUSB и удаленным администрированием. Требования к средствам дистанционной работы применяются к программно-техническим системам защиты информации, обеспечивающим безопасную дистанционную работу в информационной (автоматизированной) системе с применением СВТ, не входящих в ее состав. Средства дистанционной работы применяются в ГИС по 1 класс защищенности включительно, в значимых объектах КИИ по 1 категорию включительно, в АСУТП – по 1 класс защищенности включительно, в ИСПДН – по 1 уровень защищенности включительно, в ИСОП 2 класса. Требования по безопасности информации относятся к составу средства дистанционной работы, конструкции защищенного носителя, среде функционирования средства дистанционной работы, уровню доверия средства дистанционной работы – не ниже 4 уровня доверия, средству доверенной загрузки средства дистанционной работы – не ниже 4 класса защиты, ОС средства дистанционной работы – тип «А» не ниже 4 класса защиты, идентификации и аутентификации пользователей, идентификации и авторизации СВТ, управлению доступом в средстве дистанционной работы, администрированию и централизованному управлению средством дистанционной работы, контролю целостности средства дистанционной работы, регистрации и учету событий безопасности в средстве дистанционной работы.
Выводы:
Научная кооперация отраслевых мегарегуляторов (например, ФСТЭК, Минцифры России) с академическими институтами (в т.ч., ИПС РАН, ИСП РАН, ИПМ РАН) при разработке типовых автоматизированных рабочих мест и требований по защите информации при осуществлении дистанционной работы позволила не только оптимизировать работу по ключевым направлениям ИБ с поиском капиталовложений для реализации приоритетных отраслевых инвестиционных проектов, но способствовала гармонизации законодательной базы. В частности, был выявлен и устранен ряд правовых пробелов, идентифицированы и ликвидированы внутренние и внешние противоречия в текстах ряда нормативно-правовых документов (НПД). При анализе недоработок в текстах НПД целесообразно использование механизмов компьютерной стеганографии, позволяющей не только скрывать и выявлять сообщения, но и идентифицировать скрытые взаимосвязи в текстах НПД.
Для достижения поставленных целей при создании ТАРМ предстоит решить ряд ключевых задач, в т.ч., по созданию централизованных базовых сервисов для всех органов власти с едиными стандартами и протоколами, внедрению вовлекающих механизмов и инструментов, обеспечению сквозной интеграции коммуникативных инструментов в госсекторе, формированию единого уровня доступности цифровых инструментов для всех ФОИВов, РОИВов, ОМСУ и бюджетных учреждений, централизации инфраструктуры для ИТ-решений, внедрению российских инструментов, применению ИТ с открытым исходным кодом, ориентации на передовых технологических партнеров с созданием функционала внутриведомственных и межведомственных коммуникаций, переводом госслужащих в защищенный контур, повышением контроля за передачей информации и созданием инструментария для работы с документами, имеющими гриф ДСП и другими уровнями доступа к сведениям.