Гигиена КИИ. Опубликованы рекомендации регуляторов по защите удаленной работы для субъектов КИИ

Критическая инфраструктура должна работать и в критические для страны дни, в том числе и во время эпидемий. А для информационной инфраструктуры это вдвойне важнее, поскольку именно она позволяет организовать удаленную работу и в период карантина. Многие сотрудники перешли на работу из дома и общаются со своими коллегами с помощью информационной инфраструктуры. Поэтому сейчас обеспечение работы критической информационной инфраструктуры наиболее актуально. Хотя сам вирус не переносится на аппаратуру, но защищать ее функционирование от компьютерной заразы всеравно приходится.

ФСТЭК России  20 марта опубликовала рекомендательное письмо  № 240/84/389 [1], в котором описала требования к защите удаленного администрирования объектов КИИ.

1. Проведение инструктажа работников субъектов КИИ, осуществляющих удаленный доступ к объектам КИИ, о правилах безопасного удаленного взаимодействия с такими объектами.

2. Определение перечня средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники (ноутбуков, планшетных компьютеров, мобильных устройств), которые будут предоставлены работникам для удаленной работы (далее – удаленное СВТ). Для удаленного доступа не рекомендуется использование личных средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники.

3. Определение перечня информации и информационных ресурсов (программ, томов, каталогов, файлов), расположенных на серверах объектов КИИ, к которым будет предоставляться удаленный доступ.

4. Назначение минимально необходимых прав и привилегий пользователям при удаленной работе.

5. Идентификация удаленных СВТ по физическим адресам (МАС-адресам) на серверах объектов КИИ, к которым будет предоставляться удаленный доступ, предоставление им доступа к информационным ресурсам объектов КИИ методом «белого списка».

6. Исключение возможности эксплуатации удаленных СВТ посторонними лицами.

7. Выделение в отдельный домен работников, управление которым должно осуществляться с серверов субъекта КИИ, и присвоение каждому удаленному СВТ сетевого (доменного) имени.

8. Обеспечение двухфакторной аутентификации работников удаленных СВТ, при этом один из факторов обеспечивается устройством, отделенным от объекта КИИ, к которому осуществляется доступ.

9. Организация защищенного доступа с удаленного СВТ к серверам объектов КИИ с применением средств криптографической защиты информации (VPN-клиент).

10. Применение на удаленных СВТ средств антивирусной защиты информации, обеспечение актуальности баз данных признаков вредоносных компьютерных программ (вирусов) на удаленных СВТ путем их ежедневного обновления.

11. Исключение возможности установки работником программного обеспечения на удаленное СВТ, кроме программного обеспечения, установка и эксплуатация которого определены служебной необходимостью, реализуемое штатными средствами операционной системы удаленного СВТ или средствами защиты информации от несанкционированного доступа.

12. Обеспечение мониторинга безопасности объектов КИИ, в том числе ведения журналов регистрации действий работников удаленных СВТ и их анализа.

13. Блокирование сеанса удаленного доступа пользователя при неактивности более установленного субъектом КИИ времени.

14. Обеспечение возможности оперативного реагирования и принятия мер защиты информации при возникновении компьютерных инцидентов.

Фактически эти рекомендации требуют от работодателя, т. е. субъекта КИИ, в кратчайшие сроки развернуть у себя систему управления мобильными устройствами (MDM), закупки мобильного оборудования для работников и установки на него всего необходимого для удаленной работы, включая средства криптографической защиты информации и двухфакторной аутентификации. При этом никакого BYOD – собственное оборудование сотрудников для удаленного администрирования объектов КИИ использовать не рекомендуется. Не совсем понятен юридический статус данного письма, но в целом перечисленные требования не идут в разрез с приказом №239 ФСТЭК по использованию средств защиты информации.

Аналогичные по сути рекомендации опубликовал в тот же день и НКЦКИ на своем сайте [2]. Он отметил, что появились случаи фишинга в связи с эпидемией короновируса, поэтому необходимо повысить внимание к подозрительным сообщениям и контроль за сотрудниками. Однако и в сообщении Центра содержатся определенные рекомендации по защите удаленной работы сотрудников.

1. Убедитесь, что средства антивирусной защиты и межсетевого экранирования надлежащим образом настроены и функционируют на всех узлах системы.

2. Проверьте обновление всех сервисов и оборудования, которые используются для удаленного доступа (VPN, устройства сетевой инфраструктуры).

 

3. Используйте удаленный доступ в сеть организации строго с двухфакторной авторизацией.

 

4. Запретите использовать доступ в корпоративную сеть с помощью сторонних сервисов, которые подключаются через промежуточные сервера и самостоятельно проводят авторизацию и аутентификацию.

 

5. Организуйте контроль за подключением внешних устройств, в том числе USB-носителей информации, к устройству, предназначенному для удаленного доступа.

 

6. Задайте ограничение скорости VPN соединений для приоритезации пользователей, которым потребуется более высокая пропускная способность.

 

7. Осуществите сегментирование сети и разделите права доступа.

 

8. Используйте не прямой, а терминальный удаленный доступ в сеть к виртуальному рабочему месту со всеми установленными средствами защиты информации.

 

9. Проверьте, что электронная почта защищена двухфакторной авторизацией. Необходимо обеспечить анализ электронной почты антивирусными средствами.

 

10. Используйте стойкий пароль к управляющей панели роутера и WPA2 шифрование при подключении к сети Интернет с применением Wi-Fi.

 

11. Проверьте наличие и срок ведения журналов удаленных действий пользователей, а также наличие тайм-аута неактивного удаленного подключения с требованием повторной аутентификации.

 

12. Обновите пароли всех пользователей в соответствии с парольной политикой.

 

13. Осуществляйте мониторинг безопасности систем с повышенной бдительностью.

 

14. Приведите в актуальное состояние имеющиеся в организации планы, инструкции и руководства по реагированию на компьютерные инциденты с учетом изменений в инфраструктуре.

 

15. Акцентируйте внимание сотрудников на фишинговых атаках, связанных с тематикой COVID-19.

 

16. Проинформируйте сотрудников о необходимости ограничить доступ к удаленному рабочему месту детей, родственников и посторонних лиц, а в случае невозможности – ограничить права их учетных записей.

 

В этих рекомендациях нет требования для сотрудников подключаться только с оборудования, выданного работодателем, а есть ограничение по доступу к удаленному рабочему месту со стороны детей, родственников и посторонних лиц. В них также имеются требования по использованию VPN, но о криптографии напрямую не говорится. Однако здесьпоявляется рекомендация использовать VDI, находящееся в защищенном корпоративном окружении, вместо прямого подключения к удаленно администрируемым объектам КИИ. Это позволяет лучше контролировать действия удаленного сотрудника, например, с помощью систем контроля действий привилегированных пользователей.

Таким образом,  можно сделать следующий вывод.Для организации удаленной работы с объектами КИИ в дополнение к обычным средствам защиты следует использовать VPN с шифрованием и двухфакторной аутентификацией, MDM для управления удаленными устройствами и VDI – для мониторинга действий сотрудников при удаленном подключении. Естественно, что должны использоваться и все другие средства защиты: антивирусное ПО как на объектах КИИ, так и на оборудовании для удаленного СВТ, межсетевые экраны, системы мониторинга событий и выявления инцидентов. Важно при этом, как рекомендует НКЦКИ, обновить планы реагирования на инциденты, включив в них правила реагирования для удаленных сотрудников.

Стоит отметить, что некоторые производители программного обеспечения также выпустили рекомендации по настройке собственныхпродуктов в соответствии с требованиями ФСТЭК и НКЦКИ. В частности, свои рекомендации опубликовала компания «РусБИТех» [3], в которых описаны настройки операционной системы «AstraLinuxSpecialEdition» (ОС СН) релиз «Смоленск». Эти рекомендации будут особенно полезны субъектам значимых КИИ, поскольку данная операционная система может быть использована для построения ключевых объектов критической инфраструктуры. Причем она может быть использована как в АСУ, ИС и ИТКС, так и для удаленного СВТ. Рекомендации по настройке такой операционной системы позволяют быстро разработать необходимый набор документов для перехода на удаленное сопровождение значимых объектов КИИ.

 

[1] https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2059-pismo-fstek-rossii-ot-20-marta-2020-g-n-240-84-389

[2] https://safe-surf.ru/specialists/news/645362/

[3] https://wiki.astralinux.ru/pages/viewpage.action?pageId=71833316

Следите за нашими новостями в Телеграм-канале Connect

Следите за нашими новостями в
Телеграм-канале Connect