О мерах защиты информации при массовом использовании удаленного доступа пользователей к информационным системам
15.04.2020
Булаев Михаил Александрович, ведущий консультант-аналитик
В связи с принятием комплекса мер, направленных на предотвращение распространения на территории Российской Федерации новой коронавирусной инфекции COVID-19, и расширением практики дистанционной работы уполномоченные органы Российской Федерации опубликовали ряд рекомендаций по обеспечению в этих условиях безопасности информации, обрабатываемой в государственных и корпоративных информационных системах.
Такие рекомендации опубликовали:
- ФСТЭК России – "Рекомендации по обеспечению безопасности объектов критической информационной инфраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры" (письмо от 20 марта 2020 г. №240/84/389);
- Национальный координационный центр по компьютерным инцидентам (НКЦКИ) – уведомление от 20 марта 2020 г. "Об угрозах безопасности информации, связанных с пандемией коронавируса (COVID-19)";
- Банк России – Информационное письмо о мерах по обеспечению киберустойчивости и информационной безопасности в условиях распространения новой коронавирусной инфекции (COVID-19) от 20 марта 2020 г. № ИН-014-56/17.
Перечисленные рекомендации полезны и применимы для любых организаций, реализующих технологию удаленного доступа к своим информационным системам. Разумеется, с учетом специфики этих организаций.
Какие же меры защиты предлагаются в рекомендациях?
В дистанционном режиме не допускается предоставлять удаленный доступ для управления (в том числе путём передачи управляющих команд и (или) сигналов, изменения параметров управляемых процессов и осуществления иных управляющих воздействий) режимами функционирования промышленного (технологического) оборудования (устройств) автоматизированных систем управления производственными (технологическими) процессами, являющихся значимыми объектами критической информационной инфраструктуры.
В целях минимизации рисков возникновения дополнительных угроз безопасности информации в объектах КИИ при осуществлении удаленного доступа работников на период угрозы распространения новой коронавирусной инфекции рекомендуется принятие следующих мер:
1. Проведение инструктажа работников субъектов КИИ, осуществляющих удаленный доступ к объектам КИИ, о правилах безопасного удаленного взаимодействия с такими объектами.
2. Определение перечня средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники (ноутбуков, планшетных компьютеров, мобильных устройств), которые будут предоставлены работникам для удаленной работы (далее – удаленное СВТ). Для удаленного доступа не рекомендуется использование личных СВТ, в том числе портативных мобильных средств вычислительной техники.
3. Определение перечня информации и информационных ресурсов (программ, томов, каталогов, файлов), расположенных на серверах объектов КИИ, к которым будет предоставляться удаленный доступ.
4. Назначение минимально необходимых прав и привилегий пользователям при удаленной работе.
5. Идентификация удаленных СВТ по физическим адресам (МАС-адресам) на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удаленный доступ, предоставление им доступа к информационным ресурсам объектов КИИ методом «белого списка».
6. Исключение возможности эксплуатации удаленных СВТ посторонними лицами.
7. Выделение в отдельный домен работников, управление которым должно осуществляться с серверов субъекта КИИ, и присвоение каждому удаленному СВТ сетевого (доменного) имени.
8. Обеспечение двухфакторной аутентификации работников удаленных СВТ, при этом один из факторов обеспечивается устройством, отделенным от объекта критической информационной инфраструктуры, к которому осуществляется доступ.
9. Организация защищенного доступа с удаленного СВТ к серверам объектов КИИ с применением средств криптографической защиты информации (VPN-клиент).
10. Применение на удаленных СВТ средств антивирусной защиты информации, обеспечение актуальности баз данных признаков вредоносных компьютерных программ (вирусов) на удаленных СВТ путём их ежедневного обновления.
11. Исключение возможности установки работником программного обеспечения на удаленное СВТ, кроме программного обеспечения, установка и эксплуатация которого определена служебной необходимостью, реализуемое штатными средствами операционной системы удаленного СВТ или средствами защиты информации от несанкционированного доступа.
12. Обеспечение мониторинга безопасности объектов критической информационной инфраструктуры, в том числе ведение журналов регистрации действий работников удаленных СВТ и их анализа.
13. Блокирование сеанса удаленного доступа пользователя при неактивности более установленного субъектом КИИ времени.
14. Обеспечение возможности оперативного реагирования и принятия мер защиты информации при возникновении компьютерных инцидентов.
Кроме того, субъектам критической информационной инфраструктуры предлагается руководствоваться рекомендациями Национального координационного центра по компьютерным инцидентам и центров мониторинга информационной безопасности, имеющих соответствующие лицензии ФСТЭК России, по вопросам компьютерных атак в условиях распространения новой коронавирусной инфекции, в том числе размещенными на веб-ресурсе www.safe-surf.ru.
НКЦКИ – рекомендации по противодействию мошенничеству и угрозам безопасности информации, связанным с дистанционной работой
Специалисты НКЦКИ выделяют два основных типа вероятных угроз:
- мошенничество;
- угрозы, связанные с удаленным режимом работы.
НКЦКИ даёт следующие рекомендации по противодействию этим угрозам компьютерной безопасности:
1. Проявляйте осторожность при обработке электронных сообщений с темой, вложением или гиперссылкой, связанных с COVID-19. Не раскрывайте личную или финансовую информацию в электронном письме и не отвечайте на запросы о предоставлении этой информации.
2. Используйте официальные источники для получения актуальной, основанной на фактах, информации о COVID-19.
3. Для предотвращения кражи персональных данных подключайтесь только к проверенным интернет-платформам для проведения видеоконференций, онлайн-обучения, подписок на онлайн-кинотеатры, мобильных приложений для доставки еды и т.д.
4. Прежде чем делать пожертвования, проверяйте подлинность благотворительных организаций во избежание кражи денежных средств.
5. Рекомендации по обеспечению информационной безопасности при удаленном режиме работы.
6. Убедитесь, что средства антивирусной защиты и межсетевого экранирования надлежащим образом настроены и функционируют на всех узлах системы.
7. Проверьте обновление всех сервисов и оборудования, которые используются для удаленного доступа (VPN, устройства сетевой инфраструктуры).
8. Используйте удаленный доступ в сеть организации строго с двухфакторной авторизацией.
9. Запретите использовать доступ в корпоративную сеть с помощью сторонних сервисов, которые подключаются через промежуточные серверы и самостоятельно проводят авторизацию и аутентификацию.
10. Организуйте контроль за подключением внешних устройств, в том числе USB-носителей информации к устройству, предназначенному для удаленного доступа.
11. Задайте ограничение скорости VPN-соединений для приоритизации пользователей, которым потребуется более высокая пропускная способность.
12. Осуществите сегментирование сети и разделите права доступа.
13. Используйте не прямой, а терминальный удаленный доступ в сеть к виртуальному рабочему месту со всеми установленными средствами защиты информации.
14. Удостоверьтесь, что электронная почта защищена двухфакторной авторизацией. Необходимо обеспечить анализ электронной почты антивирусными средствами.
15. Используйте стойкий пароль к управляющей панели роутера и WPA2-шифрование при подключении к сети Интернет с применением Wi-Fi.
16. Проверьте наличие и срок ведения журналов удаленных действий пользователей, а также наличие тайм-аута неактивного удаленного подключения с требованием повторной аутентификации.
17. Обновите пароли всех пользователей в соответствии с парольной политикой.
18. Осуществляйте мониторинг безопасности систем с повышенной бдительностью.
19. Приведите в актуальное состояние имеющиеся в организации планы, инструкции и руководства по реагированию на компьютерные инциденты с учётом изменений в инфраструктуре.
20. Акцентируйте внимание сотрудников на фишинговых атаках, связанных с тематикой COVID-19.
21. Проинформируйте сотрудников о необходимости ограничения доступа к удаленному рабочему месту детей, родственников и посторонних лиц, а в случае невозможности – ограничения прав их учетных записей.
Банк России - рекомендации и по обеспечению киберустойчивости и информационной безопасности кредитных и некредитных финансовых организаций (далее – финансовые организации)
1. В целях реализации удаленного логического доступа с использованием мобильных устройств (далее - удаленный мобильный доступ) финансовым организациям рекомендуется обеспечить:
• применение технологий виртуальных частных сетей;
• применение многофакторной аутентификации;
• применение терминального доступа (по возможности);
• мониторинг и контроль действий пользователей удаленного мобильного доступа.
Организационные и технические меры, необходимые для реализации указанных рекомендаций при осуществлении удаленного мобильного доступа, содержатся в национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст.
2. Кредитным организациям рекомендуется обеспечить бесперебойное осуществление, в первую очередь, следующих операций:
• перевод денежных средств, в том числе через платежную систему Банка России;
• открытие и ведение банковских счетов физических и юридических лиц;
• наличие денежных средств в банкоматах.
В этой связи кредитным организациям рекомендуется идентифицировать работников (включая администраторов систем), задействованных в обеспечении осуществления и осуществлении вышеуказанных операций, и организовать режим работы, обеспечивающий минимизацию рисков нарушения бесперебойности осуществления указанных операций.
В случае если для обеспечения бесперебойного осуществления указанных выше операций перевод работников на дистанционную работу невозможен, рекомендуется выделить группы работников:
- поддерживающих бесперебойное обеспечение осуществления указанных операций на объектах информационной инфраструктуры кредитных организаций;
- ожидающих привлечения к бесперебойному обеспечению осуществления указанных операций на объектах информационной инфраструктуры кредитных организаций.
3. В связи с рисками нарушения информационной безопасности при осуществлении финансовыми организациями операций при организации дистанционной работы своих работников обращаем внимание на необходимость оперативного информационного взаимодействия с Банком России посредством автоматизированной системы обработки инцидентов Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России (АСОИ ФинЦЕРТ) в соответствии с требованиями, предусмотренными нормативными актами Банка России.
4. В условиях сохранения опасности распространения новой коронавирусной инфекции (COVID-19) Банк России считает целесообразным воздержаться от применения мер, предусмотренных статьями 74, 76.5 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в отношении финансовых организаций, допустивших нарушение требований нормативных актов Банка России в области обеспечения защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента, обеспечения защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций, при организации дистанционной работы работников финансовых организаций.
Примечание:
Статьями 74, 76.5 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» предусматриваются следующие меры:
Статья 74 устанавливает меры, которые могут быть применены Банком России в случаях нарушения кредитной организацией федеральных законов, издаваемых в соответствии с ними нормативных актов и предписаний Банка России, непредоставления информации, предоставления неполной или недостоверной информации, непроведения обязательного аудита, нераскрытия информации о своей деятельности и аудиторского заключения по ней в виде штрафов в размере до 0,1 процента минимального размера уставного капитала либо ограничения проведения кредитной организацией отдельных операций на срок до шести месяцев.
Статья 76.5 устанавливает порядок проведения Банком России проверок деятельности некредитных финансовых организаций.