Лекция № 7

1. Средства защиты информации

Средство защиты информации (или СЗИ) – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

В первой главе приводилась классификация средств защиты информации. В разделе 5.1 приводится более полное ее рассмотрение с примерами.

1. Классификация средств защиты информации

Все средства защиты можно классифицировать следующим образом:

• Средства защиты от несанкционированного доступа (НСД):

• Средства авторизации;

• Мандатное управление доступом;

• Избирательное управление доступом;

• Управление доступом на основе ролей;

• Протоколирование (или аудит).

• Системы мониторинга сетей:

• Системы обнаружения и предотвращения вторжений (IDS/IPS);

• Системы предотвращения утечек конфиденциальной информации (DLP-системы).

• Анализаторы протоколов;

• Антивирусные средства;

• Межсетевые экраны;

• Криптосредства;

• Системы резервного копирования.

• Системы бесперебойного питания:

• Источники бесперебойного питания;

• Резервирование нагрузки;

• Генераторы напряжения.

• Системы аутентификации:

• Пароль;

• Ключ доступа;

• Сертификат;

• Биометрия.

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

• Средства предотвращения взлома корпусов и краж оборудования (опечатывание корпуса).

• Инструментальные средства анализа систем защиты:

• Мониторинговый программный продукт.

1. Средства защиты от несанкционированного доступа (сзи от нсд)

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами.

Согласно Руководящему документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» от 30 марта 1992г. устанавливается семь классов защищенности средств вычислительной техники (далее СВТ) от НСД к информации (Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем). Самый низкий класс — седьмой, самый высокий — первый.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

• первая группа содержит только один седьмой класс;

• вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

• третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

• четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.

Перечень показателей по классам защищенности СВТ приведен в таблице 5.1.1.1.

Обозначения:

"-" – нет требований к данному классу;

"+" – новые или дополнительные требования;

"=" – требования совпадают с требованиями к СВТ предыдущего класса.

Таблица 5.1.1.1 – Требования к показателям защищенности СВТ

Наименование показателя	Класс защищенности
	6	5	4	3	2	1
Дискреционный принцип контроля доступа	+	+	+	=	+	=
Мандатный принцип контроля доступа	-	-	+	=	=	=
Очистка памяти	-	+	+	+	=	=
Изоляция модулей	-	-	+	=	+	=
Маркировка документов	-	-	+	=	=	=
Защита ввода и вывода на отчуждаемый физический носитель информации	-	-	+	=	=	=
Сопоставление пользователя с устройством	-	-	+	=	=	=
Идентификация и аутентификация	+	=	+	=	=	=
Гарантии проектирования	-	+	+	+	+	+
Регистрация	-	+	+	+	=	=
Взаимодействие пользователя с КСЗ1	-	-	-	+	=	=
Надежное восстановление	-	-	-	+	=	=
Целостность КСЗ	-	+	+	+	=	=
Контроль модификации1	-	-	-	-	+	=
Контроль дистрибуции	-	-	-	-	+	=
Гарантии архитектуры	-	-	-	-	-	+
Тестирование	+	+	+	+	+	=
Руководство для пользователя	+	=	=	=	=	=
Руководство по КСЗ	+	+	=	+	+	=
Тестовая документация	+	+	+	+	+	=
Конструкторская (проектная) документация	+	+	+	+	+	+

Приведенные в данном разделе наборы требований к показателям каждого класса являются минимально необходимыми.

Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.

На сегодняшний день существует достаточно много СЗИ от НСД. Рассмотрим некоторые из них:

• СЗИ от НСД «Dallas Lock 7.7» (ООО «Конфидент»)

Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа. СЗИ «Dallas Lock 7.7» может быть установлено на компьютеры, работающие под управлением следующих ОС: Windows ХР (Service Pack не ниже 3), Windows Server 2003 (SP не ниже 2), Windows Vista (SP не ниже 2), Windows Server 2008 (SP не ниже 2), Windows 7. «Dallas Lock 7.7» поддерживает только 32-х битные версии операционных систем.

Система «Dallas Lock 7.7» представляет собой программное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров с возможностью подключения аппаратных идентификаторов.

СЗИ от НСД «Dallas Lock 7.7» обеспечивает:

• Защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через локальный, сетевой и терминальный входы.

• Разграничение полномочий и аудит действий пользователей по доступу к файловой системе и другим ресурсам компьютера. Разграничения касаются всех пользователей – локальных, сетевых, доменных, терминальных.

• СЗИ от НСД Secret Net 6 (ООО «Код безопасности»)

СЗИ от НСД Secret Net можно использовать для защиты:

• конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительно;

• информационных систем персональных данных до класса К1 включительно.

Есть два варианта исполнения в зависимости от класса автоматизированных систем: Secret Net 6 для АС 1Б, Secret Net 6 (вариант К) для АС 1Г.

Secret Net 6 (вариант К) может применяться в ИСПДн К1 без использования дополнительных средств защиты от загрузки с внешних носителей (в зависимости от модели угроз).

Возможности Secret Net 6:

• Аутентификация пользователей.

• Обеспечение разграничения доступа к защищаемой информации и устройствам.

• Доверенная информационная среда.

• Контроль каналов распространения конфиденциальной информации.

• Контроль устройств компьютера и отчуждаемых носителей информации на основе  централизованных политик, исключающих утечки конфиденциальной информации.

• Централизованное управление политиками безопасности, позволяет оперативно реагировать на события НСД.

• Оперативный мониторинг и аудит безопасности.

• Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.

• ПАК «Соболь» (версия 3.0.) (ООО «Код Безопасности»)

Электронный замок «Соболь» - это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).

Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Возможности электронного замка "Соболь":

• Аутентификация пользователей;

• Блокировка загрузки ОС со съемных носителей;

• Контроль целостности программной среды;

• Контроль целостности системного реестра Windows;

• Контроль конфигурации компьютера (PCI-устройств, ACPI, SMBIOS);

• Сторожевой таймер;

• Регистрация попыток доступа к ПЭВМ.

• СЗИ от НСД «Блокхост-сеть» (ООО «Газинформсервис»)

Сетевая система защиты информации (СЗИ) «Блокхост-сеть» предназначена для комплексной многофункциональной защиты от несанкционированного доступа (НСД) информационных ресурсов локальных / сетевых рабочих станций и серверов, функционирующих под управлением ОС Windows 2000/XP/2003.

Система может использоваться при создании автоматизированных систем до класса защищенности 1В включительно, в том числе – информационных систем персональных данных до класса К1 включительно.

СЗИ от НСД «Блокхост-сеть» обеспечивает защиту от НСД к информации, содержащейся на:

• локальном компьютере (без подключения к сети);

• сетевом компьютере (как в одноранговой, так и в доменной сети);

• рабочих станциях, объединенных в сеть, с установленной на каждой из них клиентской частью СЗИ «Блокхост-сеть».

СЗИ от НСД «Блокхост-сеть» дополняет и усиливает функциональные возможности операционной системы по защите информации.