На свой конференции «Актуальные вопросы информационной безопасности», которая традиционно подходит в рамках ТБ Форума, ФСТЭК объявила о возможности создания защищенного рабочего места для подключения к государственным система с помощью компьютера, принадлежащего сотрудникам, и специального USB-устройства, которое обеспечивает безопасность всей работы. Такое устройство получило наименование «Типовое автоматизированное рабочее место» (ТАРМ) и теперь именно с его помощью можно удаленно подключаться к рабочим компьютерам в том числе и установленных в государственных информационных системах.
Типовое рабочее место госслужащего
Концепция ТАРМ возникла у Минцифры, когда потребовался максимально быстрый перевод сотрудников государственных органов на удаленную работу. По словам Константина Гурзова, директора департамента Минцифры, быстро выяснилось, что у 28% государственных служащих вообще нет электронной почты. Поэтому предоставлять нужно не только сам доступ, но и полный набор сервисов для дистанционного общения. Первом сервисом, который был централизованно предложен госслужащим стал ВКС компании TrueConf — именно с его помощью сейчас проводятся все дистанционные совещания сотрудников. Сейчас в нем работает 20 тыс. пользователей. Далее был предложен защищённый мессенджер Myteam, разработанный Mail.ru. В целом сейчас в государственном облаке ГЕОП собирается целый набор сервисов для удаленной работы сотрудников государственных служб, где предполагается наличие таких инструментов как система ВКС, обмен сообщениями, календарь, проектные группы, ведомственные порталы, новостные ленты и многочисленные модули для групповой удаленной работы. Сейчас сотрудникам ФОИВов предоставляется доступ к подобным сервисам для организации удаленной работы в государственном облаке ГЕОП.
Однако с первого дня встал вопрос о том, а с какого удаленного рабочего места можно получить доступ к государственным системам? Требования по защите должны быть на достаточно высоком уровне, поскольку подключение производиться к достаточно критическим для функционирования российского государства системам. Изначально, было сказано, что подключать можно только с специально выданных устройств, принадлежащих работодателям, но оказалось, что стоимость такого подключения оказывается слишком высокой. Поэтому в процессе работы было предложено другое решение — в качестве удаленного рабочего места сотрудники могут взять свой домашний компьютер или ноутбук, но загрузить не его «родную» операционную система, а специальную рабочую среду с устройства LiveUSB, которое одновременно выполнять роль и цифрового замка, и средства контроля целостности операционной системы, и клиента VPN, и инструмента контроля действий пользователя, и защищённого хранилища, и ещё нескольких функций, которые в комплексе обеспечивают весь необходимый набор защитных мер, которые требуется при организации удаленной работы.
На базе Aladdin LiveOffice
В качестве примера подобного устройства на конференции был приведен USB-ключ Aladdin LiveOffice с установленным на нем AstraLinux — его продемонстрировал на презентации генеральный директор «Аладдин Р.Д.» Сергей Груздев. Презентованное устройство позволяет сотруднику государственного органа дистанционно по протоколу RDP подключиться либо к своему рабочему компьютеру, либо к VDI-ферме и там исполнить свои рабочие обязанности. Причем защищенная операционная система запускается только после идентификации пользователей и только на заранее известном оборудовании, которое сотрудник должен показать администратору системы — один LiveUSB может быть привязан не более, чем к трем устройствам. Таким образом, если LiveOffice будет потерян, то посторонний не сможет с его помощью подключиться к государственным ресурсам, поскольку его компьютер не будет для этого авторизован. Технология одобрена ФСТЭК и уже на нее выдан первый сертификат соответствия. «Стоить такое решение будет дешевле покупки специального рабочего места каждому сотруднику,» — пояснил начальник управления ФСТЭК Дмитрий Шевцов, который вел конференцию по организации защищённой удаленной работы.
