Многие компании продолжают использовать гибридный или удаленный режим работы после завершения пандемии. Тем не менее, до сих пор не уделяется достаточного внимания вопросам, связанным с защитой удаленного доступа сотрудников. Очень важно, чтобы бизнес и компании государственного сектора понимали и соблюдали требования регуляторов, связанные с организацией дистанционной работы. Эти требования затрагивают использование информационных систем, а также идентификацию и аутентификацию пользователей, что особенно важно для объектов критической информационной инфраструктуры.
Обеспечение безопасности удаленной работы и удаленного доступа к информационным системам было изначально предусмотрено законодательством о защите информации в ГИС и безопасности объектов КИИ, а также мерами защиты персональных данных. Но все меры предполагали использование только служебной техники. Однако COVID-19 стал причиной обновления требований регулятора, которые включали в себя требования к содержанию LiveUSB-носителей и криптографической защите информации. Технология рекомендовалась только в случае необходимости доступа сотрудников к информационным ресурсам. Очень важно было определить, кто имеет доступ, какие устройства используются и какие носители информации при этом применяются. Одним из ключевых требований стала идентификация и двухфакторная аутентификация пользователей.
Федеральный закон №407-ФЗ и требования ФСТЭК России регулируют права и обязанности работодателей и сотрудников при удаленной работе. Требования ФСТЭК к средствам обеспечения безопасной удаленной работы обязательны для владельцев и операторов государственных информационных систем, субъектов критической информационной инфраструктуры и операторов систем персональных данных. Сертифицированные ФСТЭК решения могут применяться при работе со служебной и личной техникой, в то время как использование собственных систем может привести к рискам, включая утечки данных. Требования к организации безопасной удаленной работы были разработаны ФСТЭК в сотрудничестве с представителями ФСБ и разработчиками средств защиты информации в рамках рабочей группы при Минцифры России.
При использовании средства обеспечения безопасной удаленной работы Aladdin LiveOffice вся работа происходит в замкнутой доверенной программной среде. Все процессы обрабатываются на рабочем компьютере или виртуальном рабочем месте (VDI) физически расположенном на защищенной организации компании. На ПК или ноутбук пользователя передаются только отрисованные экраны, а с него – коды нажатых клавиш на клавиатуре и движения мышки.
Кроме того, Aladdin LiveOffice позволяет реализовать централизованный контроль и управление правами доступа пользователей, а также защиту трафика с использованием средств криптографической защиты информации. Система также обеспечивает мониторинг работы с ГИС и оповещение администратора обо всех попытках несанкционированного доступа или нарушения безопасности информации.
С помощью Aladdin LiveOffice можно также организовать работу удаленных сотрудников, обеспечив защиту информации и упрощение процесса взаимодействия. Решение позволяет использовать различные виды связи для удаленного подключения, включая VPN-каналы, а также защищенный доступ к облачным ресурсам.
Пользователи могут работать с помощью своих персональных устройств, что позволяет снизить затраты на закупку и поддержку служебных ноутбуков и других устройств. В то же время решение обеспечивает высокий уровень безопасности защиты данных, блокируя возможность несанкционированного доступа и кражи информации.
Aladdin LiveOffice можно использовать в различных организациях и отраслях, где требуется защита конфиденциальной информации и обеспечение удаленного доступа к ИТ-ресурсам. Решение соответствует требованиям российского законодательства в области защиты информации, а также сертифицировано на соответствие стандартам ФСТЭК России.
Для защиты дистанционной работы рекомендуется использовать VPN-соединение с использованием сертифицированных средств безопасности, а также многозонный доступ и биометрическую идентификацию для дополнительной защиты доступа к удаленному рабочему месту. Важно также обеспечить соблюдение правил безопасности на стороне пользователей, в том числе использование сложных паролей и регулярное обновление антивирусных программ и других средств защиты. Организации также могут обратиться к специализированным компаниям, предоставляющим услуги в области информационной безопасности, для проведения аудита и определения уязвимостей в системе защиты удаленной работы.
Автоматизация и кастомизация безопасности удаленной работы - важная задача для компаний. Существуют различные версии решений, в зависимости потребностей бизнеса.