Защита информации при работе в коворкингах и на сторонних площадках: требования к месту и оборудованию

Прим. Материал носит обзорный (информационно-справочный) характер и не является официальным разъяснением регуляторов или юридической консультацией. Конкретные меры и режимы удалённой работы должны закрепляться в локальных нормативных актах организации и уточняться по результатам оценки рисков, модели угроз безопасности информации и требований применимых регуляторов.

Аннотация

Рассмотрены требования к рабочему месту и оборудованию при работе вне контролируемой офисной зоны (коворкинги, кафе, гостиницы, площадки партнёров и др.). Материал опирается на российские и международные нормативные требования и практики.

Контекст и модель рисков

Работа в коворкингах и иных публичных местах совмещает два класса угроз:

1. снижение контроля физической среды (подглядывание, кража/утрата устройства, подслушивание, доступ посторонних к периферии и документам);
2. работа в недоверенной сетевой среде (подмена точки доступа, атаки «человек посередине», перехват метаданных, неправомерное или некорректное управление системой контроля доступа).

На практике основной ущерб чаще создают компрометация учётных данных, заражение конечной точки, ошибки предоставления прав и неконтролируемое копирование данных, а не только перехват трафика. Поэтому требования к месту и оборудованию следует рассматривать как единый «контур удалённой работы»: политика, управление доступом, контроль устройств, защищённый доступ к приложениям/данным и обучение пользователей.

Российская нормативная база и применимость

Набор обязательных мер определяется видом информационной системы и режимом обрабатываемой информации. На практике чаще всего устанавливаются повышенные требования к:

• персональным данным;
• государственным (иным) информационным системам государственных органов/учреждений;
• объектам критической информационной инфраструктуры.

По требованиям российских регуляторов в ряде сценариев требуется применение сертифицированных средств защиты информации и (или) сертифицированных средств криптографической защиты информации, а также предусматриваются повышенные требования к сегментации (разграничению контуров) и контролю удалённого доступа, особенно при работе с объектами КИИ. Это определяет допустимые варианты работы вне офиса и влияет на выбор и построение архитектуры удалённого доступа.

Международные стандарты и практики (в части удалённой работы)

В международной практике удалённая работа рассматривается как управляемый риск.

ISO/IEC 27001:2022/27002:2022 содержат контроль «Remote working» (Annex A 6.7), предусматривающий наличие политики и мер, обеспечивающих безопасность информации при работе вне территории организации.

NIST SP 800-46 Rev.2 (2016) рассматривает удаленную работу, удалённый доступ и BYOD как область, требующую сочетания организационных и технических мер: формализации политики удаленной работы, проектирования и эксплуатации защищённых решений удалённого доступа, а также обеспечения безопасности клиентских устройств и серверов удалённого доступа на протяжении жизненного цикла.

NIST SP 800-207 (Zero Trust Architecture) задаёт принцип: не предоставлять неявного доверия на основании сетевого/физического расположения и принимать решения о доступе к ресурсам на основе идентичности (субъекта и устройства), контекста и динамической оценки безопасности по политике.

CISA Zero Trust Maturity Model v2.0 (2023) описывает уровни зрелости внедрения Zero Trust по пяти «столпам» и трём сквозным возможностям (Visibility and Analytics; Automation and Orchestration; Governance), подчёркивая необходимость централизованной видимости, аналитики и непрерывного мониторинга, а также использование risk/posture-ориентированных решений доступа по мере повышения зрелости.

Требования к месту

Требования к месту целесообразно закреплять в политике удалённой работы (или политике мобильных рабочих мест) и доводить до сотрудников инструктажами. Ниже приведён минимальный набор.

Предотвращение визуального и акустического наблюдения

Следует выбирать расположение, минимизирующее риск визуального перехвата (shoulder surfing). Для работы с чувствительной информацией рекомендуется приватный фильтр (privacy filter, «антишпионская плёнка»), а также запрет на демонстрацию экрана в публичной зоне без контроля окружения. Также следует учитывать наличие систем видеонаблюдения в общественных пространствах, которые могут фиксировать изображение экрана и действия пользователя, включая ввод учётных данных. При работе с чувствительной информацией рекомендуется выбирать рабочее место, исключающее попадание экрана и клавиатуры в поле зрения камер (в том числе расположенных за спиной и в проходах), избегать ввода паролей/одноразовых кодов в неконтролируемом окружении, а также по возможности использовать менеджер паролей и иные средства/механизмы, снижающие необходимость ручного ввода секретов в публичной зоне. При обсуждении чувствительных вопросов по телефону/ВКС предпочтительны переговорные комнаты, в публичной зоне следует минимизировать содержание обсуждения.

Физическая защищённость оборудования

Устройства не оставляются без присмотра, для снижения риска несанкционированного использования активной сессии в публичной среде применяется автоматическая блокировка по таймауту и обязательная ручная блокировка при уходе пользователя, с повторной аутентификацией при возобновлении работы. Для ноутбуков, где это уместно, допускается физическая фиксация (например, замок Kensington) и хранение в закрываемых шкафчиках коворкинга при наличии контроля доступа. Локальные процедуры должны описывать порядок действий при утрате устройства: сроки уведомления, блокировка учётных записей, дистанционная блокировка/стирание данных и учёт инцидента.

Сетевое окружение как недоверенная среда

Публичные сети (включая Wi‑Fi коворкингов) следует считать недоверенными: необходимо отключать автоподключение, избегать открытых сетей, использовать только известные/подтверждённые сети площадки и утверждённые способы защищённого доступа к корпоративным ресурсам. В качестве альтернативы публичному Wi-Fi может использоваться персональная мобильная точка доступа при соблюдении требований организации к удалённому доступу. При этом такой канал также не считается доверенной средой, поэтому требования к защищённому доступу и контролю устройства сохраняются.

Требования к оборудованию и минимальным настройкам

Базовые требования к устройствам для удалённой работы с корпоративными ресурсами целесообразно формализовать как «минимальную конфигурационную базу» и контролировать автоматически с использованием механизмов оценки соответствия (posture/compliance). Системы управления устройствами UEM/MDM/EMM и средства защиты конечных точек (EDR/EPP) могут выступать в роли средств локального аудита соответствия АРМ корпоративным стандартам по ИБ. Решение о допуске устройства может приниматься провайдером идентичности и условного доступа (IdP/Conditional Access) и/или реализовываться в точке принудительного исполнения политики доступа (PEP), например ZTNA/SASE-компонентом.

Управление учётными записями и доступом

Обязательная многофакторная аутентификация (MFA) для удалённого доступа и критичных сервисов, запрет общих учётных записей, принцип наименьших привилегий, раздельные учётные записи для административных задач.

Обновления и уязвимости

Регулярное обновление ОС/ПО, централизованный контроль статуса обновлений, запрет отключения средств защиты, управление уязвимостями и исправлениями в установленные сроки.

Защита данных на устройстве

Шифрование системного диска в случае кражи или утери, применение защищённого корпоративного профиля для рабочих данных, ограничение (блокирование) неконтролируемого копирования в личные облачные сервисы и на внешние носители, контроль печати и выгрузок/экспорта данных (по необходимости).

Внешние устройства и питание

Запрет подключения неизвестных USB‑устройств (включая «подарочные» носители), по возможности – белые списки устройств. Для снижения риска атак через USB‑порт в публичных местах рекомендуется использовать сетевой адаптер/пауэрбанк вместо публичных USB‑портов либо применять USB data blocker (как организационная мера кибергигиены). Практика предупреждений о рисках публичных зарядок встречается в рекомендациях отдельных CERT (например, SK-CERT).

Журналирование и реагирование

Сбор и обработка событий аутентификации и удалённого доступа, готовность к расследованию, наличие простого и известного пользователю канала сообщения об инцидентах.

Памятка для широкой аудитории

Ниже приведён вариант короткой памятки. Если памятка применяется к сценариям удалённого доступа к государственным информационным системам, информационным системам персональных данных или объектам критической информационной инфраструктуры, её положения следует соотносить с утвержденным в организации регламентом удаленного доступа, учитывающим Модель угроз организации. Для прочих корпоративных сценариев (вне регулируемых контуров) при разработке памятки целесообразно дополнительно опираться на рекомендации ENISA по кибергигиене при удалённой работе.

Короткая памятка: безопасная работа вне офиса 1. Блокируйте экран при каждом отходе, не оставляйте устройство без присмотра. 2. Используйте MFA и менеджер паролей, не храните пароли в браузере без защиты. 3. Подключайтесь к корпоративным ресурсам только через утверждённый корпоративный способ удалённого доступа. 4. Поддерживайте актуальные обновления ОС и приложений. 5. Делайте резервные копии в корпоративное хранилище по регламенту. 6. Отключите автоподключение к Wi‑Fi, избегайте открытых, неизвестных сетей, сетей, использующих уязвимые и неустойчивые протоколы шифрования. 7. Не подключайте неизвестные USB‑устройства и периферию. 8. Избегайте публичных USB‑зарядок, используйте адаптер питания/пауэрбанк. 9. Следите за экраном и окружением, при необходимости используйте приватный фильтр. 10. При подозрении на фишинг/компрометацию или утрате устройства сообщайте в департамент ИБ немедленно.

«Красные зоны»: когда рекомендуется ограничить работу в публичных местах внутренней политикой

Для части операций публичные места могут быть ограничены внутренней политикой организации как мера управления рисками. Речь не о универсальном запрете, а о разумной дифференциации режимов: чем выше потенциальный ущерб, тем более контролируемой должна быть среда выполнения работ.

Типовые сценарии повышенного риска:

• использование привилегированных учётных записей (администрирование домена, средств защиты, инфраструктуры ключей, средств мониторинга);
• администрирование сегментов КИИ;
• операции с ключевой информацией/СКЗИ и иные задачи, где важны физический контроль и исключение утечек по визуальным/акустическим каналам;
• массовые выгрузки данных, операции с критическими реестрами и изменениями конфигураций, влияющими на доступность/целостность.

В публичных источниках, пересказывающих рекомендации ФСТЭК России по обеспечению безопасности объектов КИИ при дистанционном режиме работы (письмо ФСТЭК России от 20.03.2020 № 240/84/389), указывалось, что удалённый доступ в «дистанционном режиме» для управления режимами функционирования промышленного/технологического оборудования АСУ ТП объектов КИИ не рекомендуется/не допускается, а также подчёркивались меры сегментации, 2FA (MFA) и контроля устройств.

Заключение

Безопасная работа вне контролируемых зон достигается сочетанием: формализованной политики удалённой работы, требований к месту, управляемого доступа и контроля устройств, а также обучения персонала. В современных условиях архитектура Zero Trust (ZTNA/SASE в сочетании с posture check) как правило, лучше соответствует профилю рисков коворкинга и иных публичных площадок, чем модель «широкого доступа по VPN». Для задач повышенного риска (привилегированное администрирование, КИИ/АСУ ТП) рекомендуется выделять отдельные режимы и технические шлюзы удалённого доступа, вплоть до требования работы только из контролируемых помещений и использования терминальных/виртуальных рабочих мест с записью сессий.

Автор: Александр Могила, системный архитектор Angara Security.