Контакты
Подписка 2025

Инструменты контроля доступа для организации удаленной работы

Светлана Конявская, 16/04/21

Чего сегодня на рынке защиты информации (и информационных технологий в целом) с избытком, так это разнообразных средств организации более-менее безопасной удаленной работы. Как водится, не все они одинаково полезные, однако конъюнктура момента такова, что пригодится все.

Автор: Светлана Конявская, заместитель генерального директора ОКБ САПР

Мы тоже предлагаем целый ряд решений этой задачи, и, как пишут сегодня все вендоры с историей, это решения, не быстро сооруженные в новых обстоятельствах, а разработанные давно, хорошо продуманные и имеющие внедрения. О них мы не раз писали, в том числе и на страницах этого журнала [1–3]. Ведется работа в данном направлении и регуляторами. И пока нормативные и методические требования в стадии разработки и утверждения, мы решили обратить внимание читателей на то, что сегодня вполне возможно построить удаленную работу в привычных категориях защищенной корпоративной информационной системы, в которой все компоненты, участвующие каким-либо образом в обработке данных, являются частью этой системы и полностью подконтрольны ее управляющему персоналу.

Это решение – защищенные терминалы. Оно очевидно, но обычно не рассматривается, потому что предполагается, что раздать всем сотрудникам терминалы для удаленной работы окажется слишком дорого. Защищенные терминалы разработки ОКБ САПР – m-TrusT Терминал и Центр-TrusT позволяют сделать организацию удаленного рабочего места, защищенного до класса КС3 включительно, не только достаточно простой и эффективной, но и недорогой.

Варианты реализации защищенного терминала различаются способом организации хранения и загрузки ОС:

  • первый вариант – ОС полностью хранится в памяти микрокомпьютера, доступной в режиме "только чтение". Такой вариант реализации защищенного терминала называется m-TrusT Терминал;
  • второй вариант – в переменную часть выделяется не только конфигурация, но и некий набор функционального ПО, то, что не может располагаться в неизменяемой памяти. В этом случае загружаться переменная часть образа ОС может по технологии защищенной сетевой загрузки "Центр-Т". Такой вариант реализации защищенного терминала называется Центр-ТrusT.

Функциональность защищенного терминала такова, что пользователь может работать на нем, как на обычном ПК, но при этом посредством криптографических механизмов обеспечивается защита критичной информации и высокий уровень вычислительной мощности.


Рис. 1. m-TrusT Терминал

Построены эти терминалы на базе специализированного микрокомпьютера с аппаратной защитой данных m-TrusT [4].

Защищенный терминал на базе микрокомпьютера m-TrusT является компьютером Новой гарвардской архитектуры, что обеспечивает ему "вирусный иммунитет". Встроенный резидентный компонент безопасности (РКБ) позволяет создать и поддерживать доверенную среду функционирования криптографии и высокий уровень конфиденциальности. Подключение к серверам обработки данных по защищенному каналу связи и использование встроенного аппаратного блока неизвлекаемого ключа обеспечивает простоту использования с соблюдением всех требований регулятора.

Аппаратная платформа терминала имеет производительный процессор – RK3399, поддерживает последние версии ядра Linux, интерфейсы USB 3.0 и USB Type-C, что обеспечивает высокий уровень вычислительной мощности.


Рис. 2. Общий вид микрокомпьютера m-TrusT

Ресурсы терминала позволяют обеспечить СФК, дающую возможность сертифицировать вариант исполнения различных СКЗИ на m-TrusT на класс КС3. В настоящее время есть СКЗИ с действующими сертификатами классов КС2 и КС3 в исполнении на m-TrusT.

В m-TrusT Терминал предустановлено СДЗ (Аккорд-MKT), сертифицированное ФСТЭК России, а также опционально – СЗИ НСД, также сертифицированное ФСТЭК России (Аккорд-X K).

Дополнительно возможны:

  • реализация поддержки sd-карт;
  • реализация блока защиты от инвазивных атак.

Размеры микрокомпьютера позволяют делать терминалы на его основе миниатюрными, как на рис. 3, что может быть крайне полезным при их использовании для организации защищенной удаленной работы. Миниатюрность при этом никак не сказывается на производительности рабочего места.


Рис. 3. Микрокомпьютер m-TrusT в корпусе


  1. Конявская С.В. Доверенные мобильные решения, 5G и другие кошмары // Inside. Защита информации. 2020. № 5 (95). С. 25–31.
  2. Конявская С.В. Средства обеспечения контролируемой вычислительной среды удаленного пользователя // Information Security/Информационная безопасность. 2020. № 2. С. 34–35.
  3. Конявская С.В. Самоизоляция сотрудников не защитит от заражения информационную систему // Information Security/Информационная безопасность. 2020. № 2. С. 6.
  4. Батраков А.Ю., Конявский В.А., Счастный Д.Ю., Пярин В.А. Специализированный компьютер с аппаратной защитой данных. Патент на полезную модель № 191690. 15.08.2019, бюл. № 23.
Темы:СКУДОКБ САПРЖурнал "Информационная безопасность" №1, 2021

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Решения Рутокен для аутентификации в российские ОC и информационные системы
    Андрей Шпаков, руководитель проектов по информационной безопасности в Компании "Актив"
    Устройства Рутокен являются передовыми аппаратными средствами пользовательской аутентификации на российском рынке. Совместно с другими средствами защиты они обеспечивают полный цикл MFA. Компания "Актив" создает не только аппаратные, но и программные решения, в частности, Рутокен Логон.
  • Что такое Identity, и почему его важно защищать от киберугроз
    Андрей Лаптев, директор продуктового офиса “Индид”
    Понятие Identity сложно перевести на русский язык и осмыслить в полной мере как с технической, так и с юридической точки зрения. Этот термин обычно не переводят, поскольку в нашем языке нет слов, которые раскрывали бы его суть точно и целиком. В зависимости от контекста Identity можно приблизительно перевести как “личность” или “идентичность”.
  • Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Специализированный компьютер с аппаратной защитой данных m-TrusT выпускается серийно и предоставляется вендорам СКЗИ для сертификации своих СКЗИ
  • Мантра о неизвлекаемом ключе. Криптографическая защита в КИИ
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Остановимся на одном, на первый взгляд самоочевидном, требовании регулятора к СКЗИ высокого класса – неизвлекаемом ключе. Казалось бы, эта тема должна быть раскрыта в современных СКЗИ в полной мере, однако в ней есть важные для применения в КИИ особенности.
  • Управление доступом и привилегиями: как обеспечить минимальный привилегированный доступ
    Константин Родин, руководитель отдела развития продуктов компании “АйТи Бастион”
    Растет запрос не просто на реализацию систем предоставления доступа, но и на построение сложных и надежных комплексов контроля доступа, которые позволяют объединять различные решения для создания доверенных сред между пользователями и конечными информационными системами
  • Аккорд-KVM Control Point: пункт управления защитой виртуальной инфраструктуры
    Екатерина Маренникова, Аналитик ОКБ САПР
    Для защиты инфраструктур виртуализации разработаны специальные средства защиты, они контролируют целостность ВМ и компонентов, исключая перехват управления

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...