Защита удалённого доступа по требованиям ФСБ

Цель нашей компании - предложение качественного программного обеспечения, способного в разы упростить работу при ведении бухучета.

Мы уже многократно доказывали, что потребности клиентов для нас — не пустой звук. И теперь, когда изменяющиеся требования законодательства требуют обеспечить защиту удалённого подключения к клиентским компьютерам, мы готовы отреагировать сами и помочь тем, кто выбрал нас в качестве партнёра.

Начиная с 2016 года, ряд наших клиентов столкнулся с определёнными ограничениями на удалённое подключение к своим компьютерам. Эти ограничения были озвучены сотрудниками территориальных органов ФСБ в результате плановых проверок государственных казённых учреждений, и касаются недопустимости использования в них большинства программ для удалённого доступа.

Эти требования обоснованы. Законодательные нормы на текущий момент таковы, что допустимым считается только удалённое подключение, защищённое при помощи криптографии по стандартам ГОСТ. Поскольку в нашей стране всем, что касается контроля за шифровальными и криптографическими средствами, занимается ФСБ, то далее мы будем говорить об удалённом подключении (или канале) по требованиям ФСБ. Почему нужно именно такое подключение?

Дело в том, что почти на всех компьютерах федеральных казённых учреждений хранится конфиденциальная информация (обычно это персональные данные (далее ПДн) и/или служебная тайна), которая по закону должна быть защищена.

Мероприятия по защите конфиденциальной информации осуществляются в соответствии с «Требованиями к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденными приказом ФСТЭК №17 от 11.02.2013 (в ред. Приказа ФСТЭК от 15.02.2017 №27).

Мероприятия по защите конкретно ПДн осуществляются в соответствии с «Требованиями к защите ПДн при их обработке в ИСПДн», утвержденными ПП РФ от 01.11.2012 г. №1119, и «Составом и содержанием организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн», утвержденными приказом ФСТЭК России от 18.02.2013 г. №21 (далее «Состав и содержание...»).

Пункт 6 «Состава и содержания...» перечисляет, как именно должны быть реализованы меры по управлению доступом субъектов доступа к объектам доступа. При этом указано, что для всех уровней защищенности «...должен быть реализован защищенный удаленный доступ субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети» (пункт УПД.13). И в числе мер, обеспечивающих защиту, как следует из разъяснений контролирующих органов, обязательно должна присутствовать криптография.

В официальной трактовке ФСТЭК, изложенной в ответе на наш запрос, указывается, что «… использование средств криптографической защиты информации для обеспечения безопасности ПДн необходимо в следующих случаях:

если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью средств криптографической защиты информации...», и далее «...К случаям, когда угрозы безопасности ПДн могут быть нейтрализованы только с помощью средств криптографической защиты информации, относятся:

передача ПДн по каналам связи, не защищённым от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче ПДн по информационно-телекоммуникационным сетям общего пользования)». 

Под внешними информационно-телекоммуникационными сетями подразумевается в первую очередь сеть Интернет.

Таким образом, нормативные требования относительно защиты удалённого подключения довольно однозначны, и их надо выполнять. Мы можем предложить нашим клиентам следующие варианты:

1*. Подключение при помощи нашего криптографически защищённого канала. Поскольку мы являемся лицензиатом ФСБ, мы имеем право оказывать данную услугу. Вы  покупаете специальное ПО (так называемую клиентскую часть) "Континент-АП", мы предоставляем Вам сертификат и устанавливаем клиентскую часть на любом из Ваших компьютеров.

Наша лицензия: Лист 1, Лист 2

2. Подключение через сторонние организации-лицензиаты ФСБ. Поскольку у такой организации уже существует вся необходимая инфраструктура, нам нужно просто присоединиться к ней. Для того, чтобы создать защищённый канал в сети организации-оператора, нужно также установить на своём компьютере и на компьютере клиента (Вашем компьютере) клиентскую часть. Поэтому мы и наши клиенты закупаем нужное количество клиентских частей и устанавливаем их на своих компьютерах. Сразу оговоримся, что устанавливать клиентскую часть должны лицензированные специалисты организации-оператора, так как это обязательное требование законодательства.

После предварительных работ по первому или второму варианту всё готово к работе. При необходимости удалённого подключения на нашей стороне и стороне клиента запускается программа (аналогично запуску ВПН-соединения), после чего наш специалист и бухгалтер клиента могут работать, как обычно.


* Внимание! Наше оборудование пока работает в тестовом режиме, и услуга удалённого доступа через наш канал пока не может быть предоставлена. Однако уже в ближайшее время мы сможем предоставить наш защищённый канал всем желающим.