По информации издания «Ведомости», федеральная служба по техническому и экспортному контролю (ФСТЭК) России разработала требования безопасности к оборудованию и программному обеспечению для удаленной работы.
Источник сообщил «Ведомостям», что сейчас требования ФСТЭК к средствам защиты проходят экспертизу и вскоре будут переданы в Минюст на регистрацию.
Согласно требованиям безопасности для государственных информационных систем (действуют с 2013 года), сотрудникам организаций, у которых есть доступ к закрытой служебной информации, запрещается работать с личных ПК. Им разрешается использовать только служебные компьютеры с установленными на них определенными средствами защиты.
ФСТЭК предлагает разрешить работу с информацией, содержащей, например, служебную или врачебную тайну, на личных ПК при условии использования сертифицированных средств защиты. Регулятор предлагает для этого использовать решения на базе технологии Live USB с защищенным хранилищем внутри и своей ОС.
Представитель компании «Код безопасности» пояснил «Ведомостям», что такая система защиты связана с необходимостью использовать ключи шифрования. Также там должен быть задействован сертифицированный антивирус и защитные программы, исключающие возможность установки в систему какого-либо дополнительного ПО.
Проблема связана с тем, что сотрудникам госорганизаций перейти на удаленную работу оказалось сложнее. У многих из них нет возможности получить рабочий ПК или ноутбук, который можно использовать из дома. Также в настоящее время наблюдается дефицит компьютерной техники, которую можно использовать в этом процессе.
Вдобавок, по постановлению Правительства РФ от 3 декабря 2020 г. № 2013 «О минимальной доле закупок товаров российского происхождения», государственные организации должны в этом году покупать не менее 50% российских ноутбуков для своих сотрудников при обновлении своего компьютерного парка. Это значительно сужает их возможности по закупке новой техники и выдаче ее в личное пользование сотрудникам.
В марте 2020 года ФСТЭК выпустила рекомендации для операторов объектов критической информационной инфраструктуры по обеспечению дистанционного режима работы сотрудников в условиях пандемии. Регулятор советовал выделить удаленных работников в отдельный домен, включить для них двухфакторную аутентификацию и использовать на их рабочих местах средства криптографической защиты информации (VPN-клиент). Также ФСТЭК рекомендовал идентифицировать удаленные ПК по МАС-адресам и предоставлять им доступ к внутренним ресурсам методом «белого списка».
