Защита удалённого доступа по требованиям ФСБ
Начиная с 2016 года, ряд наших клиентов столкнулся с определёнными ограничениями на удалённое подключение к своим компьютерам. Эти ограничения были озвучены сотрудниками территориальных органов ФСБ в результате плановых проверок государственных казённых учреждений, и касаются недопустимости использования в них большинства программ для удалённого доступа.
Эти требования обоснованы. Законодательные нормы на текущий момент таковы, что допустимым считается только удалённое подключение, защищённое при помощи криптографии по стандартам ГОСТ. Поскольку в нашей стране всем, что касается контроля за шифровальными и криптографическими средствами, занимается ФСБ, то далее мы будем говорить об удалённом подключении (или канале) по требованиям ФСБ. Почему нужно именно такое подключение?
Дело в том, что почти на всех компьютерах федеральных казённых учреждений хранится конфиденциальная информация (обычно это персональные данные (далее ПДн) и/или служебная тайна), которая по закону должна быть защищена.
Мероприятия по защите конфиденциальной информации осуществляются в соответствии с «Требованиями к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденными приказом ФСТЭК №17 от 11.02.2013 (в ред. Приказа ФСТЭК от 15.02.2017 №27).
Мероприятия по защите конкретно ПДн осуществляются в соответствии с «Требованиями к защите ПДн при их обработке в ИСПДн», утвержденными ПП РФ от 01.11.2012 г. №1119, и «Составом и содержанием организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн», утвержденными приказом ФСТЭК России от 18.02.2013 г. №21 (далее «Состав и содержание...»).
Пункт 6 «Состава и содержания...» перечисляет, как именно должны быть реализованы меры по управлению доступом субъектов доступа к объектам доступа. При этом указано, что для всех уровней защищенности «...должен быть реализован защищенный удаленный доступ субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети» (пункт УПД.13). И в числе мер, обеспечивающих защиту, как следует из разъяснений контролирующих органов, обязательно должна присутствовать криптография.
В официальной трактовке ФСТЭК, изложенной в ответе на наш запрос, указывается, что «… использование средств криптографической защиты информации для обеспечения безопасности ПДн необходимо в следующих случаях:
если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью средств криптографической защиты информации...», и далее «...К случаям, когда угрозы безопасности ПДн могут быть нейтрализованы только с помощью средств криптографической защиты информации, относятся:
передача ПДн по каналам связи, не защищённым от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче ПДн по информационно-телекоммуникационным сетям общего пользования)».
Под внешними информационно-телекоммуникационными сетями подразумевается, в первую очередь, сеть Интернет.
Таким образом, нормативные требования относительно защиты удалённого подключения довольно однозначны, и их надо выполнять. Мы можем предложить нашим клиентам следующие варианты:
1. Подключение при помощи нашего криптографически защищённого канала. Поскольку мы являемся лицензиатом ФСБ, мы имеем право оказывать данную услугу. Поскольку как базовый вариант мы внедрили оборудование марки "Континент" от компании «Кода безопасности», то схема работы следующая: Вы покупаете специальное ПО (так называемую клиентскую часть) "Континент-АП", мы предоставляем Вам сертификат и устанавливаем клиентскую часть на любом из Ваших компьютеров, после чего всё готово к работе.
2. Подключение через сторонние организации-лицензиаты ФСБ. Поскольку у такой организации уже существует вся необходимая инфраструктура, нам нужно просто присоединиться к ней. Для того, чтобы создать защищённый канал в сети организации-оператора, нужно также установить на своём компьютере и на компьютере клиента (Вашем компьютере) клиентскую часть. Поэтому мы и наши клиенты закупаем нужное количество клиентских частей, устанавливаем их на своих компьютерах и начинаем работу.
В данный момент мы можем предложить в рамках этого варианта работу через ПО VipNet Client (оператор — АО «Калуга Астрал»).
Сразу оговоримся, что устанавливать клиентскую часть любой программы, использующей криптографию, должны лицензированные специалисты, так как это обязательное требование законодательства. Наши специалисты готовы помочь с установкой и настройкой клиентской части программы.
После предварительных работ по первому или второму варианту всё готово к работе. При необходимости удалённого подключения на нашей стороне и стороне клиента запускается программа (аналогично запуску стандартного ВПН-соединения в Windows), после чего в созданном ВПН-туннеле запускается любая удобная для Вас программа для удалённого доступа (любое ПО на базе *vnc или популярные у наших клиентов программы RMS и Ассистент, внесённые в Список российского ПО). После запуска такой программы наш специалист и бухгалтер клиента могут работать, как обычно.