Планирование архитектуры автоматизированных рабочих мест с учётом 117 Приказа ФСТЭК 🗓Близится 1 марта - день, когда вступит в действие Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», изданный в развитие аналогичного Приказа № 17 от 11.02.2023г. В новом приказе много нового, а в ожидаемых методических документах к нему нововведений будет еще больше. Сегодня эксперты GETMOBIT Сергей Щеглов - руководитель отдела информационной безопасности и Султан Салпагаров - архитектор РБПО разберут те из них, которые касаются автоматизированных рабочих мест в информационных системах, в том числе, с терминальным доступом (на базе VDI или терминальных серверов). По информации, полученной на Открытой конференции ИСП РАН в проекте методических документов ❌отсутствует мера защиты информации «ЗИС.14 Использование средств терминального доступа для обработки информации», которая была в приказе ФСТЭК России № 17-2013. Она допускала применение устройств терминального доступа (или, скажем, клиентов DaaS-систем) для того, чтобы перенести с рабочих мест на серверы ЦОД не только функции обработки и хранения информации, но и функции защиты информации. Таким способом можно оптимизировать архитектуру системы безопасности информационной системы, так и обосновать возможность использования такой системы. В новом Приказе введено новое понятие ✍️ «конечные устройства информационной системы - физические или виртуальные устройства «с постоянным доступом в Интернет» (хотя он может быть и периодическим). Защита таких устройств должна включать в себя и защиту от несанкционированного доступа, и наблюдение за процессами, и предупреждение об опасных событиях. Что, по сути, подразумевает необходимость наличия в конечных устройствах EDR-средств, которые непосредственно на устройстве анализируют поток поступающих данных и самостоятельно реагируют на выявленные угрозы. 💡Об этом мы говорили в обсуждении актуальных трендов ИБ - автономные Agentic AI внутри XDR-платформ, которые мгновенно локализуют инциденты, обеспечивая непрерывность критических процессов. В информационной системе, построенной в архитектуре «клиент-сервер», ЦОД и пул рабочих мест пользователей находятся в разных контролируемых зонах. Для связи между рабочими местами и ЦОД, в общем случае, используется Интернет. В таком случае, мы приходим к необходимости наличия прокси-сервера в контролируемой зоне рабочих мест пользователей для связи с ЦОД, на котором (прокси-сервер) реализованы все требуемые меры защиты информации Этот подход легко реализуется в средних и крупных офисах, но для малых офисов становится дорогостоящим. Для SMB-сектора представляется допустимым подключение АРМ к ЦОД только через VPN сертифицируемого СКЗИ, без других возможностей подключения к Интернету. Такой подход можно реализовать при использовании в качестве АРМ устройства типа "тонкий клиент" с неизменяемым системным ПО (т.н. "read-only Операционная система") - например, GM-Box или тонкий клиент с установленным NG Client. Безусловно, данная схема подлежит обсуждению и согласованию со ФСТЭК России с учётом всех особенностей информационной системы и ожидаемых методических рекомендаций. Мы продолжим обсуждение Приказа ФСТЭК России № 117-2025. Оставайтесь с нами. #GETMOBIT #GMSmartSystem #Экспертное_мнение