Безопасный удаленный доступ. Проблемные вопросы и нормативные тонкости

Развитие технологий, цифровая трансформация и сопутствующая ей всеобщая цифровизация приводят к тому, что все больше коммуникаций и управляющего воздействия на различные автоматизированные, в том числе банковские, системы происходит удаленно. На практике часто возникают вопросы, связанные с обеспечением безопасности удаленного доступа к автоматизированной системе и разделением сфер ответственности при таком взаимодействии. В статье рассмотрим возможные подходы к этому процессу.

В первую очередь разберем, что такое удаленное взаимодействие и какое место занимает в нем удаленный доступ. Ведь нередко эти два понятия воспринимаются как синонимы.

Виды удаленного взаимодействия

Удаленное взаимодействие можно разделить на три вида:

1. Удаленный мониторинг. Процесс постоянного наблюдения и анализа результатов деятельности объекта мониторинга (автоматизированной системы) с целью выявления отклонений от нормальной работы и иных данных, необходимых для осуществления деятельности.
2. Удаленное управление. Передача управляющего сигнала от оператора (одной автоматизированной системы) к объекту управления (другой автоматизированной системе), который расположен на определенном расстоянии.
3. Удаленный доступ. Процесс получения доступа (через внешнюю сеть) к объектам доступа информационной системы из другой информационной системы (сети) или со средства вычислительной техники, не являющегося постоянно (непосредственно) соединенным физически или логически с информационной системой, к которой он получает доступ¹.

Соотношение этих видов удаленного взаимодействия представлено на рис. 1.

Рис. 1. Взаимосвязь удаленного мониторинга (УМ), удаленного доступа (УД) и удаленного управления (УУ)

Удаленный доступ

В части удаленного доступа не все однозначно. Пока нет законодательно закрепленного определения этого термина. Он встречается только в нормативно-методических документах (см. табл.), подход которых к данному процессу абсолютно разный. По мнению автора, если речь идет о безопасности удаленного доступа, то наиболее правильно использовать терминологию из нормативно-методических документов регулятора по информационной безопасности, то есть ФСТЭК России. Достаточно близкое по смыслу определение удаленного доступа содержится и в ГОСТ Р 57580.1– 2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер": удаленный доступ работника финансовой организации (удаленный доступ) – логический доступ работников финансовых организаций, реализуемый из-за пределов вычислительных сетей финансовых организаций.

Таким образом, при оценке того, является ли доступ удаленным, ключевым параметром будут являться границы информационной системы. На практике это означает, например, что доступ сотрудника из командировки (или дистанционного работника) к ресурсам информационной системы посредством виртуальной частной сети или, в случае с дистанционным работником, рабочего места, постоянно логически соединенного с информационной системой, не будет являться удаленным доступом.

Требования по обеспечению безопасности удаленного доступа

Существуют требования по обеспечению безопасности удаленного доступа к значимым объектам критической информационной инфраструктуры (п. 31 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25.12.2017 г. № 239)², которые устанавливают, что:

1. В значимом объекте не допускается наличие удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, а также работниками его дочерних и зависимых обществ.
2. В случае технической невозможности исключения удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в значимом объекте принимаются организационные и технические меры по обеспечению безопасности такого доступа, предусматривающие:
   - определение лиц и устройств, которым разрешен удаленный доступ к программным и программно-аппаратным средствам значимого объекта, предоставление им минимальных полномочий при доступе к этим средствам;
   - контроль доступа к программным и программно-аппаратным средствам значимого объекта;
   - защиту информации и данных при их передаче по каналам связи при удаленном доступе к программным и программно-аппаратным средствам значимого объекта;
   - мониторинг и регистрацию действий лиц, которым разрешен удаленный доступ к программным и программно-аппаратным средствам значимого объекта, а также инициируемых ими процессов, анализ этих действий в целях выявления фактов неправомерных действий;
   - обеспечение невозможности отказа лиц от выполненных действий при осуществлении удаленного доступа к программным и программно-аппаратным средствам значимого объекта.
3. В значимом объекте могут приниматься дополнительные организационные и технические меры по обеспечению безопасности удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, направленные на блокирование (нейтрализацию) угроз безопасности информации, приведенных в модели угроз безопасности.

Нередко описанный 31-й пункт толкуется как безусловный запрет на доступ к значимым объектам критической информационной инфраструктуры. в этой связи хотелось бы прокомментировать, что все эти требования в общем означают следующее:

1. Удаленный доступ к объекту критической информационной инфраструктуры, не имеющему категории значимости, не регламентируется и ничем не ограничивается.
2. Доступ к значимому объекту критической информационной инфраструктуры работнику (самого субъекта и его дочерних/зависимых обществ), то есть лицу, состоящему в трудовых отношениях с организацией (это важно отметить, так как лица, работающие в рамках гражданско-правовых договоров, в таких отношениях не состоят) возможен без каких-либо условий и (или) ограничений.
3. Доступ к значимому объекту критической информационной инфраструктуры лицам, не состоящим в трудовых отношениях, возможен при условии принятия определенного набора мер по обеспечению безопасности, прямо предусмотренных 31-м пунктом либо разработанных субъектом для защиты от актуальных угроз.

Кроме того, ГОСТ Р 57580.1–2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. защита информации финансовых организаций. Базовый состав организационных и технических мер" также содержит требования по обеспечению безопасности удаленного доступа – процесс 8 "защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств".

Применяемые финансовой организацией меры по защите информации при осуществлении удаленного логического доступа работников финансовой организации с использованием мобильных (переносных) включают в себя три группы мер:

3) защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах.

Базовый состав мер для каждой группы содержится в том же ГОСТе, все их мы рассматривать не будем, обратим внимание лишь на меру ЗУД.1 "Определение правил удаленного доступа и перечня ресурсов доступа, к которым предоставляется удаленный доступ". Почему стоит заострить внимание именно на этой мере? Дело в том, что все требования в части безопасного удаленного доступа распространяются на владельца автоматизированной системы, именно он должен выполнить эти требования. Соответственно, не праздным является вопрос: как быть, если с этой системой начинают взаимодействовать какие-то иные лица (внешние субъекты), как установить для них правила и как разграничить ответственность?

Разграничение ответственности при удаленном доступе

В соответствии со ст. 6 Федерального закона "Об информации, информационных технологиях и о защите информации" от 27.07.2006 г. № 149-Фз (далее – 149-Фз). обладатель информации³, если иное не предусмотрено федеральными законами⁴, вправе:

• разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
• передавать информацию другим лицам по договору или на ином установленном законом основании;
• защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
• осуществлять иные действия с информацией или разрешать осуществление таких действий.

Таким образом, порядок взаимодействия и правила такого взаимодействия должны быть определены в договорах между взаимодействующими сторонами. При этом каждая из сторон обязана принимать меры по защите информации в рамках имеющейся у нее автоматизированной системы (это следует из ч. 4 ст. 6 149-ФЗ).

Стоит обратить внимание на два важных момента:

1. Ч. 2 ст. 17 149-ФЗ. "Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица".
   То есть законодательство закрепляет право обращаться за судебной защитой в случае выявления неправомерных действий со стороны внешнего пользователя автоматизированной системы. При этом важный момент в том, что в случае, если будет установлено, что владелец автоматизированной системы не принял необходимый набор мер по обеспечению информационной безопасности, то в удовлетворении требования о возмещении убытков будет отказано, но при этом отказа в удовлетворении требований, касающихся защиты нематериальных благ, быть не может.
2. Ч. 3 ст. 274.1 Уголовного кодекса Российской Федерации. "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, влечет уголовную ответственность в виде: принудительных работ на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишение свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового". данная норма закрепляет за организацией возможность уголовно-правовой защиты своих интересов в случае нарушения предъявляемых ей требований к участнику информационного взаимодействия.

Опубликовано в журнале "Системы безопасности" № 5/2022

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Фото: mbmsoftware.com