Регламент удалённого доступа работает только тогда, когда каждый пункт превращается в исполняемую процедуру, а не остаётся на полке для проверки.

Внутренняя инфраструктура принимает соединения из внешних сетей только при соблюдении строгих процедур аутентификации и шифрования трафика. Документ фиксирует порядок настройки, контроля и прекращения удалённых сессий. Сотрудники и подрядные организации получают право на подключение после согласования заявки и прохождения проверки подлинности. Инженерная группа обеспечивает работоспособность защищённых туннелей и следит за соответствием клиентских настроек базовому образу. Нарушение установленных правил приводит к автоматической блокировке сессии и запуску служебной проверки.

Цели и область применения регламента

Регламент определяет границы допустимых действий при работе за пределами контролируемой зоны. Процедура закрывает векторы проникновения через незащищённые каналы связи и снижает риски перехвата учётных данных. Документ распространяется на всех работников, которым должностные инструкции предписывают взаимодействие с внутренними сервисами из удалённых точек. Подрядные организации подчиняются тем же требованиям, что и штатные сотрудники, при условии закрепления прав доступа в договоре. Архитектура канала связи строится на базе отечественных криптографических стандартов. Применение сторонних средств шифрования без согласования со службой безопасности запрещено.

Выбор средств криптографической защиты и архитектурные ограничения

Сеть проектируется с учётом сегментации по уровню доверия. Внешние узлы не получают прямого доступа к продуктивным серверам и базам данных. Трафик проходит через выделенный шлюз, который проверяет подлинность сертификатов и соответствие профиля устройства корпоративным политикам. Географическое положение точки подключения фиксируется при каждом сеансе. Попытки установки соединения из неразрешённых регионов отклоняются на этапе маршрутизации. Пропускная способность каналов резервируется с расчётом на пиковые нагрузки. Деградация производительности при массовом переходе сотрудников на удалённый формат предотвращается за счёт балансировки трафика между несколькими провайдерами связи.

Для организации защищённых каналов применяются сертифицированные ФСБ России средства криптографической защиты информации. Конкретный перечень разрешённых продуктов утверждается отдельным стандартом и пересматривается по мере обновления версий и появления новых сертифицированных решений. При выборе СКЗИ учитываются класс защищённости информационной системы, требования к совместимости с существующей инфраструктурой и наличие технической поддержки.

Требования к клиентскому программному обеспечению

Рабочие станции содержат предустановленные компоненты защиты информации. Инженерная группа развёртывает криптопровайдер из централизованного сетевого хранилища. Лицензионный ключ вносится в поля конфигурации до начала эксплуатации. Компонент для организации туннелирования устанавливается автоматически или вручную в зависимости от назначенной роли. Корневые сертификаты помещаются в хранилище доверенных центров сертификации локального компьютера. Процедура гарантирует проверку подлинности сервера на каждом этапе рукопожатия. Настройки сетевого взаимодействия фиксируются в учётных записях домена. Подключение осуществляется по статическому адресу или доменному имени ресурса. Изменение конфигурации программного обеспечения пользователем запрещено без письменного согласования со службой информационной безопасности.

Компонент	Назначение	Требования к установке	Период обновления
Криптопровайдер	Обеспечение криптографических операций по ГОСТ	Из централизованного хранилища, с проверкой целостности	По мере выхода сертифицированных обновлений
Клиент удалённого доступа	Организация защищённого туннеля	Автоматически через систему управления конфигурациями	Ежеквартально или при обнаружении уязвимостей
Корневые сертификаты	Проверка подлинности серверов	В хранилище доверенных центров сертификации	При изменении инфраструктуры ЦС
Агент мониторинга	Контроль соответствия базовому образу	В фоновом режиме, с минимальным влиянием на производительность	По графику службы безопасности

Процедура выдачи и настройки прав доступа

Заявка формируется руководителем подразделения и направляется на согласование со службой информационной безопасности. Инженерная группа создаёт персональную учётную запись с правами, соответствующими должностным функциям. Сотрудник получает временные реквизиты для первичной аутентификации. Подтверждение входа проходит через систему многофакторной проверки. Клиентское приложение отображает индикатор состояния после успешного установления канала связи. Настройка параметров соединения требует указания целевого адреса или имени узла. Ввод учётных данных выполняется в формате домен\логин. Парольная информация заменяется по графику ротации. Отключение неиспользуемых сессий происходит автоматически по истечении заданного интервала неактивности.

[√] Заявка на доступ согласована руководителем и службой безопасности
[√] Учётная запись создана с минимально необходимыми правами
[√] Многофакторная аутентификация настроена и протестирована
[√] Клиентское ПО соответствует базовому образу
[ ] Инструктаж по безопасной работе проведён и задокументирован
[ ] Периодическая проверка настроек запланирована в календаре

Контроль сеансов и регистрация событий

Система фиксирует время подключения, источник запроса, объём переданных данных и причину завершения сессии. Журналы передаются в централизованный узел сбора событий в режиме, близком к реальному времени. Аналитики проверяют метки времени, совпадение геолокации с заявленным местоположением и частоту обращений к защищаемым ресурсам. Превышение допустимых лимитов или попытки подключения с неразрешённых устройств запускают процедуру блокировки. Инженеры проводят ежемесячную сверку активных учётных записей с табельным списком сотрудников. Удаление прав происходит в течение рабочего дня после прекращения трудовых отношений или окончания срока действия договора. Настройки клиентского ПО периодически проверяются на соответствие базовому образцу. Обнаружение изменённых конфигураций приводит к принудительному отключению узла.

Реагирование на компрометацию и утрату устройств

Пользователь немедленно сообщает об утере токена, подозрительной активности в канале связи или попытках подбора пароля. Оператор безопасности блокирует сессию и отзывает действующие сертификаты. Инженерная группа восстанавливает базовые параметры рабочей станции и проверяет систему на наличие скрытых процессов. Запрещается хранить реквизиты доступа в открытых файлах или передавать их третьим лицам. Использование личных устройств для администрирования инфраструктуры строго ограничено. Сотрудники применяют только корпоративные рабочие станции с предустановленными средствами защиты. Нарушение регламента влечёт пересмотр прав доступа и дисциплинарные меры. Обучение персонала по безопасной эксплуатации удалённых каналов проводится с отработкой практических сценариев.

Обновление стандартов и аудит конфигураций

Документ пересматривается при изменении архитектуры сети, внедрении новых криптографических средств или после расследования инцидентов безопасности. Версионирование файлов и фиксация даты утверждения исключают путаницу при проверках. Команда работает эффективнее, когда правила отражают реальные технические ограничения. Аудит клиентских настроек проводится автоматизированными средствами. Результаты проверки фиксируются в отчёте, который передаётся руководителю подразделения. Отклонения от базового образа устраняются в установленные сроки. Непрерывное обновление требований поддерживает уровень защищённости на заданном уровне.

Основные нормативные документы, на базе которых разрабатывают регламенты удалённого доступа к корпоративным системам, — это сочетание федеральных законов, приказов регуляторов (ФСТЭК, ФСБ, Роскомнадзор) и национальных стандартов (ГОСТ).

1. Федеральные законы (базовая основа)

• 152-ФЗ «О персональных данных» — главный закон для защиты ПДн. Требует организационных и технических мер при удалённом доступе, включая предотвращение несанкционированного доступа.
• 187-ФЗ «О безопасности критической информационной инфраструктуры» — обязателен для субъектов КИИ. Регулирует защиту значимых объектов, включая удалённый доступ.
• 149-ФЗ «Об информации, информационных технологиях и о защите информации» — общие принципы защиты информации.

2. Приказы ФСТЭК России (техническая защита информации)

• Приказ ФСТЭК № 117 (от 11 апреля 2025 г) — Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений. Часто применяется и в коммерческих компаниях.
• Приказ ФСТЭК № 21 — Меры защиты ПДн в информационных системах.
• Приказ ФСТЭК № 239 — Требования по обеспечению безопасности значимых объектов КИИ.
• Приказ ФСТЭК № 235 — Требования к созданию систем безопасности ЗОКИИ.
• Приказ ФСТЭК № 187 (2022) — Требования к средствам виртуализации (включает пункты про защищённый удалённый доступ).
• Другие: Приказы № 31, № 77 и методические документы по аттестации.

3. Приказы и требования ФСБ России (криптографическая защита)

• Приказ ФСБ № 524 (или актуальная редакция) — Требования к защите информации в ГИС с использованием шифровальных (криптографических) средств.
• Приказ ФСБ № 117 (2025) — Критерии выбора СКЗИ для ГИС.
• Положение ПКЗ-2005 (Приказ ФСБ № 66) — Правила разработки, производства и эксплуатации СКЗИ.
• Требования к сертификации СКЗИ по классам КС1, КС2, КС3 и т.д.

Важно: При удалённом доступе через открытые сети (интернет) почти всегда требуется использовать сертифицированные СКЗИ с алгоритмами ГОСТ.

4. Национальные стандарты (ГОСТ)

• ГОСТ Р 34.10-2012 / 2018 — Электронная цифровая подпись.
• ГОСТ Р 34.11-2012 («Стрибог») — Хеш-функции.
• ГОСТ Р 34.12-2015 — Блочные шифры («Кузнечик», «Магма»).
• ГОСТ 28147-89 — Старый, но всё ещё упоминаемый алгоритм симметричного шифрования (в новых СКЗИ уже не основной).

5. Дополнительные важные документы

• Постановления Правительства (например, № 1119 по ПДн).
• Указ Президента № 351 (о мерах при использовании международных сетей).
• Методические документы ФСТЭК и ФСБ по мониторингу, реагированию на инциденты и управлению доступом.
• Требования к ГосСОПКА (для подключения).

Как это обычно используют при написании регламента

Регламент удалённого доступа ссылается на:

1. Законы (152-ФЗ, 187-ФЗ) — как общую правовую базу.
2. Приказы ФСТЭК — для организационных и технических мер (аутентификация, контроль сеансов, сегментация).
3. Документы ФСБ — для обязательного применения сертифицированных СКЗИ (КриптоПро, ViPNet, Континент и др.) при шифровании каналов.

РЕГЛАМЕНТ организации удаленного подключения к внутренним информационным ресурсам [Наименование организации]

1. Общие положения

1.1. Настоящий Регламент устанавливает единый порядок организации, предоставления, контроля и прекращения удаленного доступа к информационным системам и ресурсам организации из-за пределов контролируемой зоны. Документ определяет технические, организационные и процедурные требования, обязательные для исполнения всеми сотрудниками, подрядными организациями и третьими лицами, осуществляющими взаимодействие с внутренней инфраструктурой удаленно.

1.2. Удаленный доступ рассматривается как логическое расширение периметра информационной системы. Трафик, инициированный из внешних сетей, подвергается тем же ограничениям, проверкам и механизмам контроля, что и трафик внутри контролируемой зоны. Прямое подключение рабочих станций к серверам и базам данных через сеть Интернет без использования сертифицированных средств защиты запрещено.

1.3. Регламент обязателен для структурных подразделений, отвечающих за эксплуатацию информационной инфраструктуры, информационную безопасность, управление учетными записями и администрирование сетевых сервисов. Нарушение требований влечет дисциплинарную ответственность, блокировку учетных записей и инициирование служебного расследования.

2. Нормативная база и терминология

2.1. Регламент разработан в соответствии с требованиями:

• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
• Приказы ФСТЭК России № 117, № 21, № 235, № 239, № 187 (в части требований к виртуализации и удаленному доступу);
• Приказы ФСБ России № 66 (ПКЗ-2005), № 524, № 117 (2025 г.);
• ГОСТ Р 34.10-2012/2018, ГОСТ Р 34.11-2012, ГОСТ Р 34.12-2015.

2.2. Термины, используемые в документе:

• Контролируемая зона — физические помещения и защищенные сегменты сети, где исключен несанкционированный физический и логический доступ к оборудованию.
• Удаленный доступ — логическое соединение субъекта доступа с внутренними ресурсами через сети связи общего пользования с применением туннелирования и шифрования.
• СКЗИ — средство криптографической защиты информации, сертифицированное ФСБ России по классам КС1–КС3.
• Многофакторная аутентификация (МФА) — процедура подтверждения подлинности пользователя с использованием двух и более независимых факторов: знание (пароль), владение (токен, устройство), биометрия.
• Сессия удаленного доступа — активное защищенное соединение от момента успешной аутентификации до принудительного или пользовательского разрыва.

3. Требования к архитектуре и каналу связи

3.1. Организация удаленного доступа осуществляется через выделенный шлюз, размещенный в демилитаризованной зоне (DMZ). Шлюз обеспечивает терминирование туннелей, проверку сертификатов, авторизацию запросов и маршрутизацию трафика в разрешенные сегменты внутренней сети.

3.2. Шифрование канала связи выполняется исключительно сертифицированными СКЗИ с применением алгоритмов ГОСТ Р 34.12-2015 («Кузнечик», «Магма») и ГОСТ Р 34.11-2012. Использование протоколов TLS без применения отечественных криптографических стандартов допускается только для доступа к общедоступным веб-ресурсам, не обрабатывающим информацию ограниченного доступа.

3.3. Сетевая сегментация удаленного контура обязана исключать прямое взаимодействие между удаленными пользователями и критическими сегментами (базы данных, системы управления производством, хранилища конфиденциальной информации). Доступ к таким сегментам разрешается только через прокси-сервисы или шлюзы приложений с проверкой прав на уровне сессии.

3.4. Клиентское устройство, используемое для подключения, должно соответствовать базовому образу безопасности: установлена актуальная версия операционной системы с поддержкой средств доверенной загрузки, развернуто средство антивирусной защиты с обновленными сигнатурами, отключены неиспользуемые сетевые порты и сервисы, включено шифрование диска.

4. Порядок предоставления, изменения и прекращения доступа

4.1. Предоставление удаленного доступа инициируется руководителем подразделения путем заполнения заявки, в которой указываются обоснование необходимости, перечень требуемых ресурсов, срок действия и тип учетной записи. Заявка согласовывается со службой информационной безопасности и подразделением эксплуатации.

4.2. Учетные записи для удаленного доступа создаются отдельно от стандартных доменных учетных записей. Права назначаются по принципу минимальных привилегий. Временные учетные записи для подрядных организаций создаются на срок действия договора и блокируются автоматически по его истечении.

4.3. Изменение прав доступа выполняется только после повторного согласования заявки. Повышение привилегий требует обязательного перевода сессии в режим усиленной аутентификации и ведения расширенного журнала действий.

4.4. Прекращение доступа выполняется в следующих случаях:

• увольнение сотрудника или окончание срока договора — в течение одного рабочего дня;
• смена должности или изменение функциональных обязанностей — немедленно после издания приказа;
• подозрение на компрометацию учетных данных или устройства — немедленно по сигналу сотрудника или системы мониторинга;
• плановый пересмотр прав доступа — ежеквартально владельцами ресурсов.

5. Требования к аутентификации и параметрам сессии

5.1. Аутентификация удаленных пользователей выполняется в два этапа. Первичный вход требует ввода логина и пароля, соответствующего корпоративной политике сложности (минимум 12 символов, наличие регистров, цифр, спецсимволов, срок действия не более 90 дней). Подтверждение подлинности осуществляется с использованием МФА.

5.2. В качестве второго фактора применяются аппаратные токены с неизвлекаемым ключом, мобильные приложения генерации одноразовых кодов или биометрические данные. SMS-доставка кодов допускается только в качестве резервного канала и запрещена для привилегированных учетных записей.

5.3. Параметры сессии контролируются на уровне шлюза:

• автоматическое завершение сессии при неактивности пользователя более 15 минут (5 минут для административного доступа);
• максимальная продолжительность непрерывной сессии не превышает 8 часов;
• ограничение на количество параллельных сессий: одна для стандартных пользователей, не более двух для администраторов безопасности;
• принудительное переподключение с повторной МФА при изменении IP-адреса или сетевой маршрутизации в процессе сессии.

5.4. Запрещается хранение аутентификационных данных в конфигурационных файлах клиентского ПО, передача учетных записей третьим лицам и использование одинаковых паролей для удаленного и локального доступа.

6. Мониторинг, регистрация событий и реагирование

6.1. Система удаленного доступа обеспечивает регистрацию следующих событий: попытки аутентификации (успешные и неуспешные), установление и разрыв туннелей, изменение параметров шлюза, передача файлов объемом свыше установленного лимита, запуск процессов с повышенными правами, запросы к критическим сетевым ресурсам.

6.2. Журналы событий передаются в централизованную систему сбора и анализа в режиме, близком к реальному времени. Записи защищаются от модификации, хранятся в обособленном сегменте хранения сроком не менее 6 месяцев. Доступ к архивам журналов предоставляется только уполномоченным сотрудникам службы информационной безопасности.

6.3. Правила корреляции событий включают выявление аномалий: множественные неудачные попытки входа с одного адреса, доступ из географически несогласованных регионов за короткий промежуток времени, передача больших объемов данных за пределами рабочего графика, попытки обхода сегментации.

6.4. При фиксации признаков инцидента оператор безопасности выполняет автоматическую блокировку сессии, отзывает активные сертификаты и инициирует процедуру расследования. Восстановление доступа допускается только после подтверждения целостности клиентского устройства, смены аутентификационных данных и письменного заключения службы безопасности.

7. Ответственность и контроль исполнения

7.1. Руководитель подразделения несет ответственность за обоснованность потребности в удаленном доступе, своевременную подачу заявок на изменение прав и ежемесячную сверку фактических подключений с табельным списком.

7.2. Служба информационной безопасности обеспечивает настройку шлюза, актуализацию криптографических средств, мониторинг событий, реагирование на инциденты и ежеквартальный аудит конфигураций клиентских устройств.

7.3. Подразделение эксплуатации информационных систем отвечает за поддержку работоспособности сетевых каналов, резервирование пропускной способности, установку обновлений серверного ПО и интеграцию шлюза с системами управления учетными записями.

7.4. Пользователь обязан использовать только утвержденные корпоративные устройства, своевременно сообщать об утере токенов или подозрительной активности, не устанавливать стороннее сетевое ПО и соблюдать требования к хранению аутентификационных данных.

7.5. Контроль исполнения Регламента осуществляется через автоматизированную проверку соответствия клиентских настроек базовому образу, ежеквартальные отчеты по использованию прав доступа и ежегодный пересмотр документа при изменении архитектуры, внедрении новых технологий или по результатам расследования инцидентов.

Приложение 1. Проверка соответствия клиентского устройства удаленному подключению

• Установлена лицензионная версия операционной системы с актуальными обновлениями безопасности.
• Включено шифрование системного раздела с использованием сертифицированного средства или встроенного модуля с поддержкой ГОСТ.
• Развернуто средство антивирусной защиты с автоматическим обновлением сигнатурной базы не реже одного раза в сутки.
• Отключены неиспользуемые сетевые сервисы, удаленный рабочий стол не опубликован в сеть Интернет.
• Установлено клиентское ПО для туннелирования из корпоративного репозитория, конфигурация защищена от редактирования пользователем.
• Настроен агент мониторинга состояния, передающий метки целостности в центральный узел управления.
• Отсутствуют признаки модификации системных файлов, активны механизмы контроля запуска приложений.

Устройство допускается к удаленному подключению только при полном совпадении с перечисленными пунктами. Отклонения фиксируются, подключение блокируется до устранения несоответствий.

Приложение 2. Процедура отзыва доступа при компрометации

1. Фиксация события: пользователь или система мониторинга сигнализирует об утере токена, несанкционированной активности или подозрительных сетевых соединениях.
2. Немедленная изоляция: оператор безопасности отключает активную сессию на уровне шлюза, блокирует учетную запись в системе управления доступом, аннулирует действующие сертификаты.
3. Сбор доказательной базы: извлекаются журналы аутентификации, маршрутизации туннелей, записи сетевого трафика за последние 24 часа. Данные передаются в изолированное хранилище.
4. Проверка устройства: удаленно или физически выполняется сканирование на наличие несанкционированного ПО, проверка целостности конфигурации, анализ журналов локального антивируса и системы.
5. Принятие решения: служба безопасности определяет характер инцидента, классифицирует уровень риска, формирует рекомендации по восстановлению доступа или замене устройства.
6. Восстановление: после устранения уязвимостей, смены аутентификационных данных и подтверждения соответствия базовому образу учетная запись разблокируется в режиме пробной сессии с усиленным мониторингом.

Действия выполняются последовательно. Пропуск этапов недопустим. Срок полного выполнения процедуры не превышает 2 часов с момента регистрации первичного сигнала.