Aladdin LiveOffice - это Сертифицированное средство обеспечения безопасной дистанционной работы
Для кого нужен Aladdin LiveOffice: Для государственных структур, предприятий КИИ, банков, органов исполнительной власти, коммерческих организаций.
- Обеспечивает возможность удалённого подключения к своему служебному компьютеру или виртуальному рабочему столу (VDI), ГИС, КИИ, АСУ ТП до 1-го класса защищённости, ИСПДн до 1-й категории
- Допускает обработку банковской, налоговой, врачебной, нотариальной, аудиторской и др. видов тайн и служебных сведений
- Даёт возможность использования личных компьютеров сотрудников
- Позволяет использовать электронную подпись
- Имеет сертификат ФСТЭК России
Назначение Aladdin LiveOffice
- Организация безопасной дистанционной работы сотрудников при использовании ими личных (или доступных для использования) средств вычислительной техники.
- Обеспечение безопасного удалённого доступа к своему служебному компьютеру или виртуальному рабочему столу (при наличии развёрнутой инфраструктуры VDI) с возможностью подключения и дистанционной работы:
- в государственных информационных системах (ГИС) до 1-го класса защищённости включительно;
- в информационных системах персональных данных (ИСПДн) до 1-й категории включительно;
- в информационных системах значимых объектов критической информационной инфраструктуры (КИИ) до 1-ой категории включительно;
- в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) на критически важных объектах, потенциально опасных объектах до 1-го класса защищённости включительно;
- в медицинских (МИС), банковских (ИБС) и других информационных системах (ИС) общего пользования до II класса.
Применение Aladdin LiveOffice
Aladdin LiveOffice может использоваться
- Для организации удалённого и/или смешанного режима работы, когда сотрудник часть времени работает на "удалёнке" (с использованием личного компьютера), а часть – в офисе (с использованием служебного компьютера).
- Для юридически значимого электронного документооборота в качестве средства формирования и проверки электронной подписи (УКЭП).
- Для строгой или усиленной двухфакторной аутентификации пользователей.
- При реализации требований по защите информации от несанкционированного доступа для автоматизированных систем (АС) классов защищённости 1Г, 1Д, 2Б, 3Б.
- При обработке служебной информации ограниченного распространения, включая:
- налоговую, банковскую, врачебную, нотариальную, аудиторскую, адвокатскую тайну;
- тайну страхования, связи, следствия и др.;
- секреты производства (ноу-хау);
- информацию о новых решениях и технических знаниях, экспертизах, кредитных историях, таможенных профилях и индикаторах рисков, пенсионных счетах и др.
Aladdin LiveOffice не позволяет
- Использовать устройство на чужом (неавторизованном) компьютере – все его функции, а также служебные и пользовательские данные будут недоступны, даже при вводе правильного пароля доступа.
- Скопировать или сохранить обрабатываемую служебную информацию на локальные, съёмные диски, флеш-накопители и другие устройства с функцией хранения информации.
- Распечатать обрабатываемую служебную информацию на локальном или сетевом принтере.
- Загрузить на свой компьютер какой-либо файл (возможно, заражённый) с внешнего носителя или из сети Интернет и передать его в ИС организации.
- Выйти в сеть Интернет при дистанционной работе напрямую со своего личного компьютера (сеть будет доступна только через служебный компьютер, а работа в сети защищена используемыми в организации средствами защиты).
- Получить доступ к сохранённым в памяти устройства служебным или пользовательским данным, а также использовать его для удалённого доступа в ИС организации в случае утери или кражи устройства.
Aladdin LiveOffice может администрироваться дистанционно с использованием системы централизованного управления JMS, которая автоматизирует большинство рутинных операций и позволяет обновлять пользовательские настройки, профили, цифровые сертификаты, ключи.
Преимущества Aladdin LiveOffice
- Существенная (в 5-6 раз) экономия бюджета на организацию дистанционной работы за счёт возможности использования личных средств вычислительной техники сотрудников организации по сравнению с закупкой служебных ноутбуков и оснащением их набором средств защиты, необходимых для выполнения требований ФСТЭК России по реализации мер защиты при удалённом доступе.
- Возможность быстрого встраивания в существующую инфраструктуру с минимальными её изменениями, а также возможность кастомизации решения с учётом используемых платформ и средств.
- Сохранение всех привычек и навыков работы – при дистанционной работе пользователи работают в привычной им среде, с набором привычных приложений, все документы находятся в привычных местах – всё как при работе в офисе.
Общие вопросы
Что такое Aladdin LiveOffice?
Aladdin LiveOffice — сертифицированное средство обеспечения безопасной дистанционной работы сотрудников органов исполнительной власти, государственных структур, предприятий КИИ, банков, коммерческих организаций при использовании ими личных средств вычислительной техники. Сертификат ФСТЭК России № 4355 от 10.02.2021.
Aladdin LiveOffice представляет собой специализированное защищённое USB-устройство (с технологией Live USB) с предустановленными и преднастроенными операционной системой и VPN-клиентом.
Aladdin LiveOffice является полноценной, но существенно более дешёвой альтернативой служебному ноутбуку с набором предустановленных средств защиты, обеспечивающих выполнение требований ФСТЭК России. На служебный ноутбук необходимо будет установить сертифицированные средства защиты и программное обеспечение (средство доверенной загрузки, операционную систему, антивирус, купить USB-токен/смарт-карту, VPN и др.), и кроме того, необходимо будет обеспечить их совместимость между собой – дорого и сложно (~150-200 тыс. руб.).
Aladdin LiveOffice обеспечивает возможность безопасного удалённого подключения к своему служебному компьютеру или виртуальному рабочему столу (VDI), а также обеспечивает безопасную дистанционную работу в ГИС до 1 класса защищённости включительно, в значимых объектах КИИ до 1 категории включительно, в АСУ ТП до 1 класса защищённости включительно, в ИСПДн до 1 уровня защищённости включительно, в медицинских (МИС), банковских (ИБС) и других ИСОП до II класса.
А что, если просто разрешить работать сотрудникам на "удалёнке" с личных (домашних) компьютеров?
Так делать нельзя. Домашний компьютер сотрудника является не просто чёрным ящиком, а скорее ящиком Пандоры. Стоит "открыть" его (впустить в корпоративную сеть) и последствия могут быть катастрофическими для деятельности организации. На домашних компьютерах у подавляющего большинства пользователей отсутствуют какие-либо средства обеспечения информационной безопасности. Кроме того этим же компьютером могут пользоваться дети и другие члены семьи для поиска информации в Интернете, обучения, игр, просмотра фильмов и пр. В итоге на таких компьютерах могут находиться различные вредоносные программы: кейлоггеры для перехвата пользовательских паролей, трояны для доступа к информации на жёстком диске, создания бот-нет сетей и реализации DDOS-атак, вирусы-шифровальщики и множество других сущностей, представляющих угрозы информационной безопасности и имеющих высокий шанс проникнуть в вашу корпоративную сеть.
Особо это касается сотрудников государственных структур. Действующие нормативные документы ФСТЭК России явно требуют наличие защищённого доступа к ГИС (удалённый доступ возможен только при обеспечении защиты такого доступа в соответствии с требованиями приказа ФСТЭК России № 17 от 11.02.2014 "Реализация защищённого удалённого доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети. Методический документ. Меры защиты информации в государственных информационных системах").
Отпадает ли сейчас необходимость в работе на "удалёнке"?
Нет, возможны новые вспышки заболеваний и новый массовый переход на "удалёнку". Многие коммерческие организации смогли организовать эффективную работу сотрудников в удалённом режиме, и по достоинству оценили преимущества гибридного режима работы (когда часть времени сотрудники работают в офисе, а часть - на "удалёнке"). В том числе, ряд компаний реализовали у себя концепцию распределённого офиса с опцией работы из арендуемых на определённое время офисных площадок (типа коворкинга), находящихся вблизи места проживания сотрудников (ведь для многих из них работа из дома – не лучший вариант, там идёт своя жизнь, дети отвлекают, площадь ограничена, возможен доступ посторонних и т.п.).
Состав решения Aladdin LiveOffice
Какие средства защиты информации входят в состав Aladdin LiveOffice?
В состав Aladdin LiveOffice входят:
- доверенный загрузчик операционной системы;
- сертифицированная операционная система семейства Linux;
- сертифицированный VPN-клиент;
- средство двухфакторной аутентификации Aladdin SecurLogon для Linux (зарегистрировано в реестре отчественного ПО Минкомсвязи, №10043).
Образ какой операционной системы записан на USB-носителе Aladdin LiveOffice?
В качестве предустановленной доверенной операционной системы (LiveOS) на Aladdin LiveOffice может быть записана сертифицированная операционная система Astra Linux Special версии 1.6 SE "Смоленск" или ОС "РЕД ОС" версии 7.3.
Какой VPN-клиент используется в Aladdin LiveOffice для защищённого соединения со шлюзом организации?
В текущей сертифицированной версии Aladdin LiveOffice предустановлен ViPNet Client 4U for Linux производства компании "ИнфоТеКС", сертифицированный на соответствие требованиям ФСБ России к средствам криптографической защиты информации (СКЗИ) класса КС1. В дальнейшем будут сертифицированы исполнения и с другими VPN-клиентами.
Покупая Aladdin LiveOffice, я покупаю лицензию операционной системы?
Лицензионная копия операционной системы передаётся в предустановленном виде и не требует со стороны пользователя дополнительной настройки. В случае возникновения вопросов по работе предустановленной операционной системы, пожалуйста, обратитесь в техническую поддержку АО "Аладдин Р.Д." (support.alo@aladdin.ru, +7 (495) 223-00-01), или напишите заявку через сайт компании.
Включает ли Aladdin LiveOffice функционал антивируса?
Нет. Данного требования нет в проекте новых требований ФСТЭК России к средствам обеспечения безопасной дистанционной работы.
В целом, концептуальный подход к реализации средств обеспечения безопасной дистанционной работы предполагает создание изолированной доверенной вычислительной среды на базе:
- защищённого носителя (токена);
- доверенного загрузчика (некий аналог АПМДЗ);
- сертифицированной операционной системы семейства Linux;
- сертифицированного VPN-клиента;
При таком подходе наличие антивируса в составе решения избыточно, так как во время загрузки с защищённого носителя и защищённой удалённой сессии работы (с удалённым рабочим столом или виртуальной машиной) никакие вредоносные объекты не могут попасть извне "внутрь" корпоративной информационной системы.
То есть, личный (недоверенный) ПК при загрузке с Aladdin LiveOffice становится на время рабочей сессии доверенным, становится частью корпоративной информационной системы, и при этом, он изолирован от попыток внесения информации извне. Все внешние подключаемые носители, доступ к локальным дискам личного ПК, прямой выход в Интернет – заблокированы.
Технические требования к ПК, ноутбукам
Каковы минимальные требования к личному ПК или ноутбуку, необходимому для запуска Aladdin LiveOffice?
Для стабильной работы желательно, чтобы аппаратное обеспечение личного рабочего места было протестировано в рамках программы READY FOR ASTRALINUX (т.е. совместимо с операционной системой Astra Linux). На сайте можно посмотреть список оборудования и программного обеспечения, прошедшего тестирование в рамках данной программы.
Минимальными системными требованиями к оборудованию пользователя являются:
- процессор X86_64;
- оперативная память объёмом не менее 4 Гбайт;
- свободный USB-порт для подключения защищенного носителя;
- сетевая карта (адаптер) для подключения к сети Интернет;
- монитор с минимальным разрешением экрана 800x600 пикселов;
- дополнительное устройство с доступом к сети Интернет (например: телефон, ноутбук, компьютер или планшет, необходимый для регистрации личного рабочего места).
Можно ли работать с ПК, ноутбуками Apple?
В настоящий момент работа с продукцией Apple не поддерживается.
Работа с Aladdin LiveOffice
Как регистрируется личный ПК или ноутбук пользователя?
При первой попытке запуска Aladdin LiveOffice на новом рабочем месте, USB носителем из состава изделия генерируется запрос на регистрацию, передаваемый пользователем администратору. В ответ администратор генерирует в своей программе и направит пользователю код авторизации рабочего места.
Данные о рабочем месте фиксируются как у администратора, так и на USB-носителе пользователя.
Сколько компьютеров, ноутбуков можно привязать в одному USB-носителю?
К одному USB-носителю можно привязывать до трёх устройств.
На что следует обратить внимание при подготовке к работе с Aladdin LiveOffice?
До начала настройки BIOS/UEFI на домашнем компьютере, убедитесь, что в Вашей домашней операционной системе отключено шифрование дисков или имеется ключ восстановления Bitlocker. Например, в Windows 10 должно быть отключено средство BitLocker Drive Encryption (Пуск -> Панель управления -> Все элементы панели управления -> Шифрование диска BitLocker).
При возникновении затруднений на любом из этапов настройки личного рабочего места обратитесь к техническому специалисту Вашей организации или в техническую поддержку АО "Аладдин Р.Д". Контакты технической поддержки АО "Аладдин Р.Д.":
Или напишите заявку через сайт компании.
Можно ли загрузить операционную систему с Aladdin LiveOffice в виртуальной среде?
В настоящий момент такой технической возможности не предоставляется.
Безопасность решения Aladdin LiveOffice
Как обеспечивается безопасность Aladdin LiveOffice?
При проектировании решения во главу угла ставилась безопасность и принцип – Secure by design – сконструировано как безопасное и для целей обеспечения безопасности.
Безопасная архитектура и реализация:
- заказной (ASIC) микроконтроллер на базе ARM-процессора;
- дополнительный специализированный чип – Secure Element для защиты от всех известных на сегодня атак (включая инвазивные), от взлома и клонирования, а также для аппаратной криптографии с неизвлекаемыми ключами;
- "изолирование" карты памяти, загрузка и контроль прошивки встроенного процессора;
- встроенный APDU-Firewall, работа только по "белым" спискам команд;
- собственный доверенный загрузчик и встроенная ОС для ASIC-микроконтроллера;
- аппаратное шифрование защищённых разделов флеш-памяти;
- возможность удалённого безопасного обновления ("прошивка" зашифрована и подписана электронной подписью на ключе устройства);
- безопасный обмен данными с ПО на хосте USB (защита команд и данных).
Кроме того, мы внедрили у себя в компании технологию разработки безопасного ПО (ГОСТ Р 56939-2016), технологии автоматизированного тестирования и поиска уязвимостей. Степень покрытия автотестами – 95%, проводится тестирование на симуляторах. Качество самих тестов проверяется с помощью мутационного тестирования.
Можно ли отформатировать токен?
Отформатировать токен нельзя. В случае подключения Aladdin LiveOffice в качестве "флешки", будет доступен только открытый раздел с дополнительной информацией по продукту (презентации, листовка, инструкции по работе с Aladdin LiveOffice и др.).