Рекомендации СТЭП ЛОДЖИК по организации безопасной дистанционной работы

26 Марта 2020

Текущая ситуация поставила задачу перевода сотрудников на защищённый удалённый доступ и обеспечения их средствами взаимодействия. Опыт СТЭП ЛОДЖИК – к подобному развитию событий готовы менее 15% всех компаний, а в остальных, как правило, решаются следующие задачи:

  1. Максимально быстро предоставить удалённый доступ к информационным системам и данным большому количеству сотрудников.
  2. Защитить данные, информационные системы и саму ИТ-инфраструктуру при массовом подключении в соответствии с требованиями регуляторов.
  3. Обеспечить сотрудников средствами общения – для совместной работы, взаимодействия между собой и с контрагентами.
Мы подготовили ответы на часто задаваемые вопросы, чтобы вы ничего не упустили.

МИНИМАЛЬНЫЕ МЕРЫ ДЛЯ ОРГАНИЗАЦИИ ЗАЩИЩЁННОГО УДАЛЁННОГО ДОСТУПА

  • Межсетевой экран с запасом производительности и возможностью организации дистанционного доступа и VPN (можно воспользоваться и программным решением);
  • Двухфакторная аутентификация с программным токеном как защита доступа к данным и ресурсам;
  • Контроль защищённости устройств удалённого доступа сотрудников при подключении по VPN решениями класса NAC.

ТРЕБОВАНИЯ РЕГУЛЯТОРОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ ПРИ УДАЛЁННОМ ДОСТУПЕ

При переходе на удалённый режим работы следует учитывать классы информации и режимы доступа, с которыми приходится работать сотруднику. Во многих случаях будет осуществляться обработка персональных данных и/или коммерческой тайны, для которых законодательством РФ или нормативными актами самой организации введены требования безопасности. В компании может быть по умолчанию запрещён такой вид доступа или не предусмотрены правила удалённой работы, обеспечивающие минимизацию возможных рисков ИБ.

Требования нормативных актов, прежде всего, затрагивают вопросы защиты персональных данных. В случае удалённого доступа к информационным системам, в которых обрабатываются персональные данные через Интернет, а это могут быть ERP-, CRM-, и другие системы, включая корпоративную электронную почту, необходимо обеспечивать защиту передаваемой информации с использованием сертифицированных средств криптографической защиты информации (СКЗИ) в соответствии с 378 Приказом ФСБ России. При этом, даже если сотрудник использует корпоративный ноутбук с клиентским СКЗИ, удалённая работа из дома будет проблематичной, так как правила эксплуатации СКЗИ (определены эксплуатационной документацией СКЗИ и в Приказе ФАПСИ от 13.06.2001 г. № 152) предписывают их размещение в выделенных помещениях, установление режима контроля доступа, ключей и т.д. Таким образом, удалённый доступ из дома к сведениям, содержащим персональные данные (если только они не отнесены к общедоступным), формально будет нарушением по требованиям защиты информации или по требованиям эксплуатации СКЗИ.

Выход – организация терминального доступа, при котором фактической передачи документов с конфиденциальной информацией между домашним офисом и корпоративными ресурсами не осуществляется (передаётся только кодированное изображение рабочего стола). Формально такой сценарий в нормативной документации не рассматривается, и есть прецеденты легализации данного информационного обмена без использования СКЗИ. Однако, такой тип доступа и используемые при этом технологии обмена информацией должны быть оформлены в документации на информационные системы, а также учтены в моделях угроз.

ВАРИАНТЫ ТЕРМИНАЛЬНОГО ДОСТУПА

СТЭП ЛОДЖИК поможет определить и реализовать наилучший вариант терминального доступа для удалённых сотрудников, включая и настройки безопасности.

Microsoft RDP – сервисы удалённых рабочих столов на базе Microsoft Windows Server. Идеально подходят, когда:
  • Необходимо оперативно предоставить доступ к офисным и бизнес-приложениям (нет времени на закупку и интеграцию стороннего ПО);
  • В организации от нескольких десятков до нескольких сотен дистанционных сотрудников.
Citrix XenApp – расширенный функционал рабочих столов от компании Citrix. Это наилучшее решение при следующих условиях:
  • Количество пользователей исчисляется сотнями и тысячами;
  • Необходимо обеспечить работу с большим количеством графики и мультимедиа;
  • Используются географически распределённые фермы терминальных серверов; 
  • Максимальный уровень безопасности и надёжности терминального доступа.
Citrix Virtual Apps and Desktops (лицензия Advanced Edition) + Citrix Gateway – удалённый доступ к своим рабочим ПК для следующих ситуаций:
  • На рабочих станциях пользователей установлено специализированное ПО, которое нельзя перенести на терминальный сервер или домашний компьютер (лицензия привязана к компьютеру или аппаратному ключу);
  • Установленное на рабочих компьютерах ПО очень требовательно к аппаратному обеспечению – CAD/CAM/CAE и др.
VDI – наиболее мощные виртуальные рабочие места, каждый сотрудник подключается к выделенной для него виртуальной машине. В зависимости от задач может быть предложено подходящее решение – Microsoft VDI, Citrix XenDesktop или VMware Horizon. Рекомендуем в ситуации, когда:
  • У каждого сотрудника собственная изолированная рабочая среда;
  • Доступ предоставляется разработчикам программного обеспечения;
  • Доступ предоставляется к «тяжёлым» приложениям, использующим аппаратные ускорители – CAD/CAM/CAE и др.

ПОЛНОЦЕННОЕ ДИСТАНЦИОННОЕ ВЗАИМОДЕЙСТВИЕ

Дистанционная работа сотрудников требует электронных средств внутреннего и внешнего взаимодействия, как неотъемлемой части бизнес-процессов компании, в связи с чем необходимо:
  • Оценить изменившиеся требования к каналам связи (пропускная способность, задержки и т.д.), внести при необходимости изменения в договоры с операторами;
  • Обеспечить единую среду взаимодействия взамен лоскутного использования таких решений, как Cisco WebEx, Zoom, Microsoft Skype For Business, и др.;
  • Модернизировать телефонию (IVR, голосовую почту, системы записи).

МИНИМИЗИРУЕМ ТРУДОЗАТРАТЫ, СРОКИ И БЮДЖЕТЫ

Минимизируем ваши трудозатраты, сроки и бюджеты на основе актуальных предложений различных вендоров:
  • BeyondTrust: увеличение срока бесплатного тестирования до 90 дней продуктов Remote Support и Privileged Remote Access;
  • Cisco: спец. цены и пробные лицензии на виртуальный межсетевой экран Cisco ASAv30 для заказчиков, у которых нет межсетевого экрана Cisco или свободных ресурсов для поддержания увеличенного количества удалённых сессий доступа; для заказчиков, уже эксплуатирующих VPN-шлюзы Cisco ASA, Cisco Firepower или Cisco ASAv30, бесплатные пробные лицензии с увеличенным сроком действия для организации VPN-подключений на AnyConnect Secure Mobility Client для новых заказчиков и возможность превышения количества пользователей свыше приобретённого ранее пакета лицензий без дополнительной платы текущим заказчикам; возможность использования Cisco WebEx Meetings и Cisco WebEx Teams на срок до 90 дней;
  • Citrix: до 31.03.2020 г. специальные условия на приобретение годовых временных лицензий Citrix (on-premise) и лицензий Citrix Managed Desktop (из облака);
  • CheckPoint: бесплатные лицензии на Remote Access VPN, защиту рабочих станций SandBlast Agent и мобильных устройств SandBlast Mobile с централизованным управлением на 60 дней;
  • Dr.Web: бесплатно 3 месяца защиты для всех удалённых сотрудников, защищаемых на работе Dr.Web Enterprise Security Suite, комплект Dr.Web Универсальный, Dr.Web для школ или Dr.Web Office Shield;
  • Fortinet: бесплатные пробные лицензии с продлением на FortiGate-VM;
  • Juniper: бесплатная 60-дневная пробная версия vSRX для всех клиентов Juniper; бесплатные лицензии AppSec, IPS и SecIntel сроком на 90 дней для пользователей SRX; 90 дней бесплатной DDoS-защиты пользователям маршрутизаторов MX;
  • Код Безопасности: бесплатные лицензии на СКЗИ «Континент-АП» и “Secret Net Studio” пакет «Постоянная защита» на 1 год;
  • Kaspersky: трёхмесячные бесплатные лицензии Kaspersky Security для бизнеса для защиты дополнительных устройств при условии продления действующего лицензирования;
  • McAfee: специальные цены и бесплатные лицензии на 3 месяца McAfee Complete Endpoint Protection – Business, McAfee Complete Data Protection – Business, McAfee Web Gateway Cloud Service, единой консоли управления McAfee ePO для защиты домашних устройств сотрудников;
  • PaloAlto: бесплатный виртуальный межсетевой экран VM-700, поддерживающий удалённый доступ до 12 000 сотрудников; VPN-клиенты GlobalProtect бесплатны для использования на ПК с Windows и macOS; бесплатные лицензии на 90 дней для VPN-клиентов GlobalProtect на смартфонах Android и iOS;
  • S-Terra: бесплатные демо-лицензии на С-Терра Клиент и на С-Терра Виртуальный Шлюз сроком на один месяц.
Мы знаем, что готовятся и вот-вот будут анонсированы предложения и от других компаний.

Назад к новостям
Подписаться на обновления методики КИИ