Эволюция удаленной работы с КИИ
Спешный переход органов управления и операторов государственных информационных систем на удаленную работу, который произошел после принятия двух поручений правительства №ММ-П9-1861 от 16 марта и №ДГ-П17-1987 от 18 марта, показал, что федеральные и региональные государственные структуры не очень-то подготовлены к цифровизации. Связано это с тем, что государственные органы должны соблюдать все нормативные процедуры, в том числе и электронного взаимодействия. Особенно затруднительными в реализации оказались требования по информационной безопасности - они сформулированы в двух законах "О безопасности КИИ" и так называемом Трехглавом.
Удаленная безопасность
В соответствии с законом №187-ФЗ "О безопасности КИИ" государственные системы относятся к объектам критической информационной инфраструктуры, и поэтому их владельцы должны соблюдать соответствующие требования по защите, предъявляемые к ним ФСТЭК России. Кроме того, они работают с бюджетными деньгами, то есть вынуждены соблюдать конкурсные процедуры и все антикоррупционные требования при закупке оборудования, программного обеспечения и услуг.
В то же время в самом начале самоизоляции в прошлом году ФСТЭК опубликовала рекомендательное письмо № 240/84/389, в котором описала требования к защите удаленного администрирования объектов КИИ. В частности, вторым пунктом перечня предлагаемых мер оказалось требование предоставить всем сотрудникам, которые будут удаленно работать с объектами КИИ (для государственных компаний - это ГИС), корпоративных устройств. Причем явно сказано следующее: "Для удаленного доступа не рекомендуется использование личных средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники". То есть никакого BYOD в российском госсекторе и при работе с КИИ быть не может.
Очевидно, что не каждые российские ведомства и компании, включая даже крупные государственные корпорации с огромными ИТ-бюджетами, готовы были оперативно выдать каждому сотруднику корпоративный ноутбук или планшет для удаленной работы из дома. Причем не просто выдать, а предварительно проработать некую модель информационной безопасности при удаленном доступе сотрудников к корпоративной ИТ-инфраструктуре и разработать релевантную систему защиты информации. И, как следствие, предустановить на корпоративный ноутбук необходимый и достаточный набор средств защиты информации (в том числе, и криптографических) с необходимыми наборами сертификатов, так как это требование к ГИС, да к тому же и настроенных в соответствии с утвержденной политикой безопасности организации и бесконфликтно работающих в составе ОС.
В первую очередь, конечно, возникает вопрос финансов. Даже при относительно небольшой численности персонала снабдить каждого ноутбуком для удаленной работы из дома представляется весьма затратным. Хотя основной проблемой для государственных органов является даже не финансовые ресурсы, а закупочные процедуры, которые требуют значительного времени на проведение конкурсов.
Еще одной проблемой было то, что самого оборудования, которое в комплексе реализовывало бы все требования ФСТЭК в одном устройстве, на момент начала пандемии не было. И да, на государственные организации и ведомства распространяется требование по использованию только российских решений - для покупки других бюджеты выделить не получится, то есть такой программно-аппаратный комплекс (ПАК) для удаленного доступа к ГИС может быть только российского происхождения. В результате, ведомству мало купить устройство, на него еще нужно установить весь список средств защиты и шифрования со всеми сертификатами, а затем еще и провести аттестацию рабочего места в составе программно-аппаратного комплекса.
ТАРМ
В самый критический для государственных служащих момент Минцифры совместно с НИИ «Восход» предложило проект защищённой удаленной работы, который был реализован в рамках программы разработки Типового автоматизированного рабочего места - ТАРМ. Проект по его разработке и тестированию стартовал еще в 2019 году и должен был завершиться до конца 2020 года. В рамках этого проекта была разработана концепция использования специального загрузочного устройства - USB-ключа, с которого устанавливается защищенная операционная система. Наиболее популярной оказалась связка устройства компании «Аладдин Р.Д.» под названием LifeOffice и российской операционной системы AstraLinux, хотя нормативно и операционная система, и USB-ключ не являются фиксированными. После загрузки на любом из поддерживаемых проектом компьютеров или ноутбуков у служащего появляется возможность подключиться по защищенному каналу либо к своему стационарному компьютеру в ведомстве, либо к виртуальной машине, расположенной в VDI-ферме государственной облачной платформы ГЕОП. Доступ к последней Минцифры предложило для всех служащих. В качестве инструмента защиты коммуникаций был использован координаторы VIPnet, агенты которых входили в состав ТАРМ.
Такой ТАРМ обеспечивал следующие функции защиты: загрузку компьютера с внешнего USB-носителя, на котором записана сертифицированная операционная система; двухфакторную аутентификацию пользователя, причем ещё до запуска ОС; автоматическую настройку и подключение к шлюзу организации с использованием сертифицированного VPN; удалённое подключение к рабочему столу служебного компьютера или работу с виртуальным рабочим столом (VDI); удалённый запуск и дистанционную работу с приложениями, установленными на служебном компьютере; автономную работу со служебными документами с возможностью их сохранения на защищённый раздел USB-устройства; хранение, формирование и проверку усиленной квалифицированной электронной подписи (УКЭП) с неизвлекаемым закрытым ключом.
При этом в состав информационной системы ТАРМ были включены специальные защищённые сервисы. Первым из них стал ВКС-сервис компании TrueConf - именно с его помощью проводятся все дистанционные совещания служащих федеральных ведомств. Сейчас в нем работает более 20 тыс. пользователей. Далее был предложен защищённый мессенджер Myteam, разработанный Mail.ru.
В целом сейчас в государственном облаке ГЕОП собирается целый набор сервисов для удаленной работы сотрудников государственных служб, где предполагается наличие таких инструментов как система ВКС, обмен сообщениями, календарь, проектные группы, ведомственные порталы, новостные ленты и многочисленные модули для организации групповой удаленной работы.
На будущее
Следует отметить, что пока пандемия не закончилась. Готовиться операторам ГИС и другим владельцам объектов критической информационной инфраструктуры нужно к худшему - к организации массовой удаленной работы. Поэтому они заинтересованы в создании российских защищенных технологий организации удаленной работы, которые могли бы из коробки реализовывать большую часть требований ФСТЭК по защите удаленных рабочих мест для подключения к объектам КИИ. Впрочем, не исключаем и возможности дальнейшего смягчения требований по организации удаленного доступа.
Даже когда пандемия закончится, желание и возможность удаленно работать из дома останется. И при этом за счет использования ТАРМ можно обеспечить приемлемый уровень защищенности и безопасности. Уже сейчас это становится новым трендом в сфере HR. Люди за это сложное время прочувствовали, как это работать «из дома». Кому-то даже понравилось. Так что рождающиеся сейчас, зачастую в спешном порядке, решения для безопасного удаленного доступа к объектам КИИ однозначно будут дорабатываться, совершенствоваться и уверенно входить в портфели продуктов всех игроков рынка ИБ.
Автор: Валерий Коржов