AktivCo

Вопросы:

1:14 Как ты сам относишься к удаленке?

02:15 Назови основные проблемы, с которыми сталкиваются компании при обеспечении безопасности удаленных рабочих мест

05:07 Про какие решения идет речь? Это VPN-шлюзы, либо что-то еще?

7:09 Какие типы удаленных рабочих мест наиболее подвержены угрозам ИБ, и какие проблемы безопасности они за собой несут?

10:54 Что проще: запретить сотруднику пользоваться его личным ноутбуком, либо предоставить доступ через VDI, где он практически не сможет ничего сделать?

11:42 Какими методами и инструментами следует обеспечивать безопасный удаленный доступ к корпоративной инфраструктуре?

14:13 Насколько MFA реально обеспечивает ИБ и какой 2 фактор наиболее безопасный?

15:51 Твое отношение к менеджеру паролей. Благо это, либо недостаток?

17:25 Какие основные риски и угрозы безопасности характерны при организации удаленной работы? 20:44 Нам нужно предъявлять повышенные требования по ИБ к подрядчикам?

22:25 Какие процессы, регламенты или стандарты могут минимизировать риски по ИБ при организации удаленной работы?

25:31 Могут ли компании позволить себе описанный тобой подход?

26:23 Какие требования регуляторов нужно выполнить при организации удаленной работы?

28:23 Как обезопасить сеть передачи данных при удаленной работе? Использовать шифрование? 29:10 Какие решения являются наиболее эффективными при организации удаленной работы?

31:23 Насколько востребованы в России решения класса MDM? Готовы пользователи к установке сторонних приложений на свои личные мобильные телефоны?

32:37 Какие тренды в области удаленного доступа, возникшие за последние несколько лет, ты можете выделить?

35:19 Тебе не кажется, что расширение парка отечественных ОС создает скорее вызовы для обеспечения удаленного доступа?

36:46 Мог бы ты раскрыть принцип модели “Zero Trust” и других современных подходов к обеспечению безопасности удаленных рабочих мест?

39:01 ZTNA – это отдельный класс решений, не комплекс решений?

39:40 Насколько модель “Zero Trust” сможет прижиться или уже прижилась в России?

40:06 Как ты представляешь себе идеальную архитектуру удаленного рабочего места?

42:04 Какие распространенные ошибки заказчики допускают при проектировании удаленных рабочих мест?

44:14 Как проводить аудиты и другие проверки на безопасность удаленных рабочих мест?

47:41 Рекомендации для компаний, которые планируют или уже вводят удаленный либо гибридный формат работы

Источник – Информационный портал CISOCLUB

Токен или смарт-карта является персональным устройством и должен находиться у пользователя. Их удаленное использование противоречит самой идее применения аппаратных средств подписи и аутентификации. Если вам всё-таки необходимо удаленное соединение, то самым правильным способом будет подключить токен или смарт-карту к локальному компьютеру, а подключение произвести через «Удаленный рабочий стол» (Remote Desktop Protocol, RDP). Если всё же возникла ситуация и носитель нужно подключить удаленно, то для организации этого процесса существует несколько вариантов:

• Специальная сборка КриптоПро CSP 4.0.9973 и КриптоПро CSP 5.0 R3

По RDP-подключению будет возможно работать с контейнерами «КриптоПро CSP», которые подключены к удаленной машине.

• RAdmin

Программа предназначена больше для системного администрирования, основной акцент сделан на безопасности. Программа состоит из двух компонентов: сервера и клиента. Требует установки, не опытному пользователю будет не просто с ней разобраться. Программа предназначена в основном для работы по IP-адресу, что бывает не всегда удобно. Программа платная, но обладает бесплатным тестовым периодом.

• LiteManager

Простая, но мощная по возможностям программа, состоит из двух частей. Первая – это Server который нужно установить или запустить на удаленном компьютере и Viewer, который позволяет управлять другим компьютером. Для работы программа требует больше навыков и опыта от пользователя. Сервер можно один раз установить и больше никаких действий от пользователя не нужно, ID будет всегда постоянный, его даже можно задать самому вручную, что очень удобно для запоминания. Версия LiteManager Free является бесплатной для личного и коммерческого использования.

• Ammyy Admin

Программа в основном похожа на TeamViewer, но более простая. Присутствуют только основные режимы работы: просмотр и управление, передача файлов, чат. Программа может работать без установки.

• NoMachine

Бесплатный удаленный рабочий стол на русском языке, доступный для Windows, macOS, Linux (в том числе и на ARM), iPhone/iPad и Android.

• AnyDesk

Программа обладает высокой скоростью подключения и интуитивно понятным интерфейсом. Есть множество настроек безопасности и разграничение прав доступа. Доступна для коммерческого использования бесплатно в течение 14 дней.

Электронная подпись стала важной частью современной цифровой среды. Однако технология по-прежнему считается новой, и для многих пользователей — не всегда понятной. В российском законодательстве установлены строгие требования к программным средствам, используемому для создания электронной подписи, аккредитованным удостоверяющим центрам, выдающим сертификаты ключей её проверки. Кроме того, для защиты электронной подписи существуют специальные USB-токены и смарт-карты с криптографическим ядром, позволяющие хранить ключи электронной подписи в неизвлекаемом виде — наиболее безопасным образом.

Сегодня в России используются два вида усиленной электронной подписи — неквалифицированная (НЭП) и квалифицированная (КЭП). Обе подписи подтверждают личность подписавшего документ, но имеют различную юридическую силу. Рассмотрим, чем отличаются сценарии применения КЭП и НЭП.

Термины, которые могут пригодится для понимания статьи: 

Ключи ЭП — ключи подписи и проверки подписи, которые составляют ключевую пару.

Ключ подписи — уникальный набор символов (байт). Его используют для формирования электронной подписи, поэтому его не следует разглашать. Если ключ подписи попал к злоумышленнику, то он сможет подписать любой документ от вашего имени.

Ключ проверки подписи — уникальный набор символов (байт), привязанный к ключу подписи. Его значение заносится в сертификат ключа проверки электронной подписи, который потом используется при проверке вашей подписи под документом.

Сертификат ключа проверки подписи (или просто сертификат) подтверждает связь ключа проверки подписи с владельцем подписи — человеком или организацией). Сертификат выдается Удостоверяющим центром (УЦ).

Задача Удостоверяющего центра — идентифицировать личность «вживую» при первом получении сертификата или дистанционно при повторном получении. УЦ достоверно определяет, что вы – это вы. Подтверждение личности нужно для того, чтобы при обмене документами в электронном виде люди точно знали, что подпись, сформированная с использованием вашего ключа ЭП — поставлена именно вами.

Неквалифицированная электронная подпись (НЭП) — это подпись, которая формируется с помощью криптографических преобразований. Для проверки электронной подписи используется сертификат ключей проверки. Чтобы начать применять неквалифицированную ЭП нужно соглашение сторон, тогда подпись становится равной собственноручной. Участники электронного документооборота выбирают, какие алгоритмы будут использовать, с помощью чего создавать ключи и сертификаты. Так, с помощью НЭП можно гарантировать авторство и неизменность документа после его подписания.

Часто НЭП подписывают документы между компаниями, сотрудниками, физ. лицами, ИП и пр. Например, неквалифицированная подпись используется в системах дистанционного банковского обслуживания юридических лиц.

К тому же, необходимую для неквалифицированной электронной подписи инфраструктуру открытых ключей (PKI) можно использовать для многофакторной аутентификации. В последнее время в крупных государственных и коммерческих организациях все чаще используют технологии многофакторной аутентификации и электронной подписи. Они дополняют привычную парольную аутентификацию и обеспечивают доступ в информационные системы с помощью смарт-карт и USB-токенов с ПИН-кодом. Эти устройства выступают в качестве дополнительного фактора аутентификации и во многих случаях заменяют ввод логина-пароля на вход с использованием электронной подписи.

Квалифицированная электронная подпись (КЭП) — подпись, которая полностью равнозначна собственноручной на бумажном носителе. Обычно ее можно применять без предварительного подписания соглашений и регламентов. Ключ подписи, которым она формируются, хранится на персональном защищенном носителе. КЭП наделяет подписанные ею документы юридической силой и позволяет установить авторство, а также убедиться, что документ не изменяли после подписания. Использование КЭП регулируется законом № 63-ФЗ "Об электронной подписи" и рядом подзаконных актов.

Сертификаты КЭП физ. лица получают в аккредитованных Удостоверяющих центрах, юр. лицам, ИП и нотариусам необходимо обратиться в Удостоверяющий центр ФНС России, госслужащим в УЦ Федерального казначейства, а кредитно-финансовому сектору в УЦ Банка России.

КЭП используют в следующих ситуациях:

● Отправка отчетности в контролирующие госорганы: ФНС, ПФР, ФСС, Росстат, Росприроднадзор, Росалкогольрегулирование, Честный знак, ФТС и Банк России.

●  Обращение в суд: с помощью этой ЭП можно подать исковое заявление, ходатайство, жалобу и доказательства в электронном виде.

●Участие в электронных торгах. Торги проходят на специальных электронных площадках (Сбербанк-АСТ, ТЭК Торг, ЕИС в сфере закупок, B2B-Center и пр.). Подпись необходима поставщикам и заказчикам для госзакупок в рамках 44-ФЗ или 223-ФЗ, а также для коммерческих торгов.

●  Ведение юридически значимого документооборота.

●Оформление купли-продажи или дарения недвижимости. С помощью ЭП участники сделки могут подписать документы, находясь в разных концах страны.

Для чего нужен ключевой носитель для электронной подписи?

Если произошла кража ключей ЭП, последствия могут быть самыми серьезными. Поэтому нужно обеспечить максимальную сохранность ключевого носителя с квалифицированным сертификатом и ключом ЭП.  Проверка электронной подписи может происходить дистанционно. И предполагается, что никто кроме вас не может поставить вашу электронную подпись.  Когда НЭП или КЭП хранятся как обычные файлы, возможности анализа, копирования или удаления никак не ограничены, а значит скопировать и удалить их может кто угодно. Поэтому безопаснее хранить КЭП или НЭП на специализированном ключевом носителе (смарт-карте или токене), защищенном PIN-кодом. Именно этот вариант мы и будем рассматривать дальше.

Самый простой ключевой носитель (его также называют «пассивным») хранит ключи электронной подписи, но не может самостоятельно подписывать электронные документы. Чтобы начать использование пассивного ключевого носителя, на компьютере должно быть установлено специальное ПО — криптопровайдер. Для подписания документов, пользователь должен подключить токен или смарт-карту к компьютеру и ввести PIN-код, который разблокирует доступ к защищенной памяти. После этого криптопровайдер временно извлекает из токена или смарт-карты ключи электронной подписи в оперативную память компьютера и формирует электронную подпись.  Примером пассивного ключевого носителя является устройство Рутокен Lite. Если ключевой носитель похищен злоумышленником или утерян, им воспользоваться всё равно невозможно воспользоваться и подписать электронные документы, поскольку нужно знать PIN-код. При переборе PIN-кода устройство блокируется.

Более продвинутым вариантом ключевого носителя является устройство со встроенным криптографическим ядром (его также называют «активным»). К ним, например, относятся устройства Рутокен ЭЦП 3.0. Главное их отличие в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства — встроенного микрокомпьютера.  Ключи сгенерированные в криптоядре — неизвлекаемые, и вся работа с ключом электронной подписи (в т. ч. формирование электронной подписи) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям. Все эти устройства поддерживают российские и международные алгоритмы электронной подписи.
Работа с активными ключевыми носителями возможна и без установки программного криптопровайдера, благодаря интеграции Рутокен SDK и другого ПО Рутокен, на таких порталах и сервисах, как: сайты ФНС, Честного знака, Росалкогольрегулирования, ОФД, Госуслуг и Диадока. И если работа с программным криптопровайдером, можно установить КриптоПро CSP версии 5.0 и выше, сохранив защиту ключей ЭП на аппаратном уровне.

Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей на «борту», такие как Рутокен ЭЦП 3.0. Так ваша электронная подпись будет максимально защищена.

Потеря носителя может повлечь компрометацию ключа электронной подписи. Нужно понимать, что пока вы ищите ваш персональный носитель с ЭП, им уже могут воспользоваться злоумышленники. В федеральном законе № 63-ФЗ «Об электронной подписи» прописан алгоритм действий в случае утери носителя.

Что нужно сделать:

• В течение 1 рабочего дня с момента обнаружения пропажи нужно обратиться с заявлением в Удостоверяющий центр (УЦ), в котором был выдан сертификат, для прекращения действия сертификата ключа. Такое заявление необходимо предоставить лично. Далее УЦ аннулирует сертификат ключа ЭП. Аннулированный сертификат использоваться не может.

• В течение не более чем 1 рабочего дня с момента обнаружения пропажи уведомить других участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи.

• Обратиться в УЦ с целью оформления нового квалифицированного сертификата ключа проверки электронной подписи в общем порядке.

В чем опасность потери носителя с ЭП

Потеря денежных средств на банковском счете и потеря имущества

Злоумышленники могут подписать договор продажи любого имущества компании с помощью вашей ЭП.

Незаконное подписание документов

Злоумышленники могут подписать недостоверную отчетность для возмещения НДС, а также заключать фиктивные договоры на невыгодных для вас условиях и подписывать закрывающие документы на крупные суммы.

Оформление кредитов

Злоумышленники могут оформить на владельца ЭП различного рода займы, оформление которых нередко проходит онлайн.

«Рейдерский захват» компании

Злоумышленники могут внести изменения в уставные данные (переоформить бизнес на другого человека, ликвидировать ООО и пр.) с помощью подачи в регистрирующий орган заявления в электронной виде.

Ухудшение репутации компании

Недобросовестные конкуренты могут использовать украденную ЭП для незаконного участия в тендерах, что может добавить компании обязательства, которые она не в состоянии выполнить.

Регистрация компаний-однодневок

Злоумышленники могут сделать владельца ЭП (если он физ. лицо) без его ведома руководителем фирм-однодневок. Таким образом они вешают на него долги и штрафы за незаконную деятельность.

Правила безопасного хранения ЭП

• Не передавайте токен с ЭП третьим лицам

• Записывайте ЭП на защищенный носитель (например, Рутокен)

• Используйте активные ключевые носители, которые могут хранить ключи ЭП в неизвлекаемом виде

• Не храните токен в открытом доступе

• Не используйте на токене заводской пароль, а придумайте свой

• Не делайте копии ключевого контейнера ЭП

• Регулярно проверяйте факт выпуска ЭП в личном кабинете на портале Госуслуг

Квалифицированная электронная подпись (КЭП) — это подпись, которая полностью равнозначна собственноручной на бумажном носителе и может использоваться без предварительного подписания соглашений и регламентов. КЭП наделяет подписанные ею документы юридической силой и позволяет проверить авторство, а также убедиться, что документ не изменяли после подписания. Использование КЭП строго регулируется законом № 63-ФЗ «Об электронной подписи» и рядом подзаконных актов. Такой подписи необходимо обеспечить безопасное хранение на персональном защищенном носителе (например, на устройстве Рутокен), сертифицированном ФСТЭК и ФСБ России.

На каждом защищенном носителе ЭП установлен PIN-код, после ввода которого, пользователь получает доступ к подписи. PIN-код нужно вводить при каждом подписании документа или любой другой необходимости в ЭП.

КЭП используют в следующих ситуациях:

• Отправка отчетности в контролирующие госорганы: ФНС, ПФР, ФСС, Росстат, Росприроднадзор, Росалкогольрегулирование, Честный знак, ФТС и Банк России.

• Обращение в суд: с помощью этой ЭП можно подать исковое заявление, ходатайство, жалобу и доказательства в электронном виде.

• Участие в электронных торгах. Торги проходят на специальных электронных площадках (Сбербанк-АСТ, ТЭК Торг, ЕИС в сфере закупок, B2B-Center и пр.). Подпись необходима поставщикам и заказчикам для госзакупок в рамках 44-ФЗ или 223-ФЗ, а также для коммерческих торгов.

• Ведение юридически значимого документооборота.

• Оформление купли-продажи или дарения недвижимости. С помощью ЭП участники сделки могут подписать документы, находясь в разных концах страны.

Что нужно делать, чтобы ЭП была в сохранности

Не передавайте свою ключи ЭП другому человеку

Квалифицированная электронная подпись идентифицирует владельца и обладает такой же юридической силой, как и собственноручная. Документ, подписанный такой ЭП без вашего ведома и согласия, достаточно сложно оспорить.

Персональным защищенным носителем ЭП должен пользоваться только один сотрудник

По закону несколько подписей, записанных на один носитель, считаются недействительными, поскольку нарушается конфиденциальность закрытых ключей.

Не храните носитель ЭП в открытом доступе

Не оставляйте носитель на столе или другом видном месте – его могут незаметно от вас украсть. Выберите для хранения защищенное место.

Поменяйте ключи ЭП, если изменились реквизиты компании

Для соблюдения №63-ФЗ «Об электронной подписи», требующего точную идентификацию владельца ЭП, обратитесь за новой подписью в аккредитованный удостоверяющий центр.

Не забывайте продлевать ключи ЭП

ЭП может стать недействительной, если ее не продлить. Получить новую можно в аккредитованном удостоверяющем центре.