Windows средства защиты от нсд

1. Средства защиты от НСД в ОС семейства Windows

Синадский Н.И. 1998-2018

2. Учебные вопросы

• Разграничение доступа средствами NTFS
• Аудит событий безопасности
• Шифрующая ФС
• Хранение парольной информации
• Структура файлов реестра
• Шифрование парольной информации
• Атаки на пароли
• BitLocker drive encryption

3. Семейство ОС Windows NT – 2000 – XP – 7

• Windows NT 3.51
• Windows NT 4.0 Workstation, Server
• Windows 2000 Professional, Server, Advanced Server, …
• Windows XP, 2003 Server
• Windows Vista
• Windows 7, 8, 10, Server 2008, Server 2012

4. Списки доступа

5.

• Список доступа (VAX/VMS, Windows
NT)
– С каждым объектом ассоциируется список
переменной длины, элементы содержат:
• идентификатор субъекта
• права, предоставленные этому субъекту на
данный объект
Файл 1
– Access Control List
User 1
R
User 2
R
User 3
RW

6.

7. Информация о правах доступа (разрешениях)

• Где хранить списки доступа?
– В отдельном общем файле ?
– Внутри каждого файла ?
• Файловая система должна поддерживать
списки доступа
• Файловая система NTFS в ОС Windows
NT -2000

8.

• Небольшой файл в NTFS
Станд. Инф.
DOS атрибуты,
время, …
Имя файла
Дескриптор
защиты
До 255
UNICODE
Список
прав доступа
Access Control
List (ACL)
Данные
Как формировать
ACL?

9. Идентификация пользователей

• У любого пользователя:
– имя пользователя
– уникальный идентификатор
• Идентификатор безопасности – SID
– (Security ID)

10. ACL файла «Файл 1»

Файл 1
User 1
R
User 2
R
User 3
RW
ACL
12278633-1016
R
12278633-1017
R
12278633-1018
RW

11. Дескриптор защиты

• Структура данных, описывающая объект:
– SID владельца объекта
– Дискреционный список контроля доступа
(DACL)
– Системный список контроля доступа
(SACL)

12. Дискреционный список контроля доступа (DACL)

• Discretionary Access Control List (DACL) список, в котором перечислены права
пользователей и групп на доступ к
объекту
• Обычно устанавливает владелец объекта
• Каждый элемент списка — запись
контроля доступа (Access Control Entry,
ACE), которая указывает права
конкретной учетной записи

13. Записи контроля доступа (ACE)

• Три типа записей:
– «доступ запрещен» — отклоняет доступ к
объекту для данного пользователя
– «доступ разрешен»
– «системный аудит»
• Каждая запись содержит (в частности):
– маску, определяющую набор прав на доступ
к объекту и
– идентификатор безопасности, к которой
применяется маска

14. Маска доступа – Access Mask

15. Маркер доступа

• Маркер доступа (access token) структура данных, содержащая
– SID пользователя
– Массив SID групп, к которым принадлежит
пользователь
– Массив прав пользователя

16. Контроль доступа

• Осуществляется монитором
безопасности
• Сравнение информации безопасности в
маркере доступа пользователя с
информацией в дескрипторе
безопасности объекта
• Происходит последовательное сравнение
SID всех записей АСЕ со всеми SID
пользователя из маркера доступа

17.

Дескриптор
безопасности
Объект
Пользователь
U1
Владелец
ACE
Access
Allowed
DACL
ACE
SID U1
SACL
ACE
Read
(RX)
Маркер доступа
……
SID U1
…….

18. Файл $Secure

19. Программа Security Manager

20. Реестр ОС

Ветвь реестра
Файл
HKEY_LOCAL_MACHINE\SYSTEM
HKEY_LOCAL_MACHINE\SAM
HKEY_LOCAL_MACHINE\SECURITY
HKEY_LOCAL_MACHINE\SOFTWARE
HKEY_LOCAL_MACHINE\ HARDWARE
ветвь
• HKEY_USERS\.DEFAULT
• HKEY_CURRENT_USER
system
sam
security
software
Временная
default
NTUSER.DAT

21.

РЕГИСТРАЦИЯ СОБЫТИЙ
БЕЗОПАСНОСТИ
Аудит
Событие безопасности (информационной):
идентифицированное возникновение состояния
ИС, сервиса или сети, указывающее на
• возможное нарушение безопасности
информации,
• или сбой средств защиты информации,
• или ранее неизвестную ситуацию, которая может
быть значимой для безопасности информации
Хранение — не менее трех месяцев

22.

РСБ Определение событий
безопасности
вход (выход), а также попытки входа субъектов
доступа в ИС и загрузки (останова) ОС;
подключение МНИ и вывод информации на МНИ;
запуск (завершение) программ и процессов
(заданий, задач), связанных с обработкой
защищаемой информации;
попытки доступа программных средств к
защищаемым объектам доступа;
попытки удаленного доступа
действия от имени привилегированных учетных
записей (администраторов)
изменение привилегий учетных записей

23.

Состав и содержание информации
о событиях безопасности
тип
дата и время
источник
результат (успешно или неуспешно)
субъект доступа (пользователь и (или) процесс)
Доступ к записям аудита и функциям управления
— только уполномоченным должностным лицам

24. Аудит событий безопасности

• Аудит — регистрация в журнале событий,
которые могут представлять опасность
для ОС
• Аудитор = Администратор
?

25. Требования к аудиту

• Только сама ОС может добавлять записи в
журнал
• Ни один субъект доступа, в т.ч. ОС, не имеет
возможности редактировать отдельные записи
• Только аудиторы могут просматривать журнал
• Только аудиторы могут очищать журнал
• При переполнении журнала ОС аварийно
завершает работу
Журнал — это файл, => может быть
получен доступ в обход ОС

26. Политика аудита

• Совокупность правил, определяющая то,
какие события должны регистрироваться:
– вход/выход пользователей из системы
– изменение списка пользователей
– изменения в политике безопасности
– доступ субъектов к объектам
– использование опасных привилегий
– системные события
– запуск и завершение процессов

27.

28. Адекватная политика аудита

• Регистрируется ровно столько событий,
сколько необходимо
• Рекомендации
– вход и выход пользователей регистрируются
всегда
– доступ субъектов к объектам регистрировать
только в случае обоснованных подозрений
злоупотребления полномочиями

29. Адекватная политика аудита

– регистрировать применение опасных
привилегий
– регистрировать только успешные попытки
внесения изменений в список пользователей
– регистрировать изменения в политике
безопасности
– не регистрировать системные события
– не регистрировать запуск и завершение
процессов, кроме случая обоснованных
подозрений вирусных атак

30. Адекватная политика аудита

31. Журналы аудита

• SecEvent.Evt, SysEvent.Evt и
AppEvent.Evt
• %SystemRoot%\System32\
– config
– Winevt\logs
• Путь к файлам журнала в реестре
– HKLM\SYSTEM\
CurrentControlSet\Services\EventLog

32.

33. Важнейшие коды событий

• 512
Запуск Windows NT
• 513
Завершение работы Windows NT
• 517
Журнал аудита очищен
• 528
Успешная регистрация
• 529
Неудачная регистрация
(неизвестное имя пользователя или
неверный пароль)
• 560
Объект открыт

34. Идентификация пользователей

• по имени учетной записи пользователя
• учетная запись SID
SID S-1-5-21-2113235361-147094754-1228766249-500

35. SID S-1-5-21-2113235361-147094754-1228766249-500 S-1-5-21-2113235361-147094754-1228766249-501

S-1-5-21-2113235361-147094754-1228766249-512
• Относительные идентификаторы (RID) идентификаторы безопасности с
предопределенным последним номером
подразделения (для встроенных учетных
записей)
• Например:
– 500 — admninstrator
– 501 — Guest
– 512 — Domain Admins

36. Учетные записи в файле SAM

37. Параметр F

Смещение
0х00
8
0х08
8
Длина, байт
Описание
Неизвестно
Дата и время последней модификации учетной записи
0х10
8
Неизвестно
0х18
8
Дата и время создания учетной записи
0х20
8
Неизвестно
0х28
8
Дата и время последнего входа в систему
0х30
4
RID пользователя
0х34
4
Неизвестно
0х38
2
Флаги состояния учетной записи
0х3A 6
Неизвестно
0х40
2
Количество ошибок входа в систему
0х42
2
Общее количество входов в систему
0х44
12
Неизвестно, но у пользователей с правами администраторов первый байт всегда 1.

38. Флаги состояния учетной записи

Значение
0x0001
0x0002
0x0004
0x0008
0x0010
0x0020
0x0040
0x0080
0x0100
0x0200
0x0400
Представление
Описание
01 00 Учетная запись отключена
02 00 Требуется указание домашнего каталога
04 00 Запретить смену пароля пользователем
08 00 Неизвестно
10 00 Обычная учетная запись
20 00 Неизвестно
40 00 Глобальная учетная запись
80 00 Локальная учетная запись
00 01 Доверенная запись
00 02 Срок действия пароля не ограничен
00 04 Учетная запись заблокирована

39. Средства анализа данных на NTFS-разделах

• Эмулятор NTFSDOS и NTFSDOSPro

40.

41.

42.

43.

44. Шифрующая файловая система EFS

• Шифрование отдельных файлов
• Шифрование каталогов (входящие файлы
шифруются автоматически)

45. Шифрование с открытым ключом

• Пользователь: открытый и закрытый ключ
• Данные => симметричный алгоритм => ключ
шифрования файла FEK (File Encryption Key),
генерируется случайно
Заголовок
FEK
Данные

46. Шифрование с открытым ключом

• FEK => открытые ключи пользователей =>
список зашифрованных FEK => поле
дешифрованных данных DDF
• FEK => открытые ключи агентов
восстановления => список зашифрованных
FEK => поле восстановления данных DRF
FEK
FEK
Заголовок
агент2
агент1
FEK
польз2
FEK
польз 1
Данные

47. Расположение ключей

• ОС Windows XP
– C:\Documents and Settings\Имя_пользователя \Application Data
• ОС Windows 7
– C:\Users\Appdata\Roaming
• Сертификат открытого ключа
• \Microsoft\SystemCertificates\My\Certificates
• Закрытый ключ пользователя
• \Microsoft\Crypto\RSA \Идентификатор пользователя
• Файл блокировки
• \Microsoft\Protect\ Идентификатор пользователя

48.

49. Дополнительные замечания

• Временный файл efs0.tmp
• Не подлежат шифрованию файлы в
системном каталоге
• Для расшифрования файлов требуется
пароль пользователя, их зашифровавшего
• Утилита AEFSDR
• Создание АВ – cipher /R

50. Хранение парольной информации

51. Аутентификация пользователей

Имя +
• Пароль
Пароль
• Ключевая дискета
• Жетон
• Психобиофизические
характеристики
человека
Мах длина пароля — 14 символов (128)

52. Расположение БД SAM

• Куст реестра SAM в HKEY_LOCAL_MACHINE
• Winnt\System32\Config\sam — текущая база данных
• Winnt\Repair\sam — копия, создается при
выполнении резервного копирования
• ERD — диск аварийного восстановления

53. Хранение парольной информации в БД SAM

• Имя учетной записи
• ID — в открытом виде
• Пароль — в зашифрованном виде:
– Пароль Windows NT
– Пароль LAN Manager
Имя
SID
User1
User2
s-1…-1010
s-1…-1011
NT hash
Lanman
hash

54. Параметр V

0х00 Элемент неизвестного назначения
0х0С Индекс имени пользователя
0х18 Индекс полного имени
……..
0х84 Индекс времени, разрешенного для регистрации
(обычно содержит 168 (0хA8) бит – по одному на каждый час
недели)
0х90 Элемент неизвестного назначения
0х9С Индекс зашифрованного пароля LAN Manager
0хA8 Индекс зашифрованного пароля Windows NT
0хB4 Индекс предыдущего зашифрованного пароля Windows
NT
0хC0 Индекс предыдущего зашифрованного пароля LAN
Manager

55. Шифрование парольной информации

56. Шифрование паролей Windows NT

Пароль
(текстовый)
16 байт
16 байт
зашифрованный
HASH
Хеширование
HASH
Дополнительное
шифрование
OWF -Необратимая функция, RSA MD4
DES: ключ — RID пользователя

57. БД SAM

Имя
SID
NT hash
User1
s-1…-1010
User2
s-1…-1011
16 байт
хэш
16 байт
хэш
Lanman
hash

58. Локальная регистрация

Пароль
16
байт
16
байт
(текстовый)
HASH
HASH
Хеширование
?
16 байт
зашифрованный
Расшифрование
OWF -Необратимая функция, RSA MD4
DES: ключ — RID пользователя
HASH

59. Шифрование паролей LAN Manager

8 байт
Пароль
ПАРОЛЬ
(текстовый)
(верх. рег.)
8 + 8 байт
зашифрованный
LM HASH
7 символов
HASH
7 символов
(если <7, то нули)
8 байт
HASH
Хеширование
Если длина пароля <= 7 символов, то
Дополнительное 2-ая половина хеша известна шифрование
AAD3B435B51404EE
DES: ключ — 7 символов пароля, шифруется «магическое» число

60. БД SAM

Имя
SID
NT hash
User1
s-1…-1010
User2
s-1…-1011
16 байт
хэш
16 байт
хэш
Lanman
hash
8+8 байт
хэш
8+8 байт
хэш

61.

62. Процесс аутентификации пользователей по сети

63. Проверка пароля

База
SAM
Клиент
Вызов
Хэшпароль
Вызов
DES
DES
Ответ
Ответ
Хэшпароль
? Ответ

64. Шифрование пароля

• Сервер передает 8-байтовый вызов
• Клиент шифрует (DES) вызов, используя в
качестве ключа 16-байтовый
хешированный пароль
• Ответ клиента — структура длиной 24 байта
• В случае диалекта NT LM 0.12 клиент
передает два «ответа» (для NT и
LANMAN) — общей длиной 48 байт

65. Ключевые моменты

• Ни открытый пароль, ни хеш пароля по сети не
передаются
• Для НСД знания пароля не нужно — нужно лишь
знание хеш-значения
• По передаваемым по сети данным (Вызов -Ответ)
нельзя расшифровать ни сам пароль, ни его хешзначение
• Перехватив ответ, невозможно использовать его для
открытия сеанса, так как вызов генерируется снова
для нового соединения
• Данные, передаваемые в ходе сеанса, не шифруются

66. Дополнительное шифрование хешированных паролей в БД SAM

• Программа Syskey
Зашифрованные
Дополнительно
зашифрованные
хеш-значения паролей
хеш-значения
паролей
128-битный
ключ Password
Encryption Key
Системный
ключ
System Key
Зашифрованный
128-битный ключ
Password
Encryption Key,
хранится в
реестре

67. Способы хранения системного ключа

• В реестре компьютера
• На отдельной дискете
• Ключ не хранится, а вычисляется из пароля,
вводимого при загрузке

68. Атаки на пароли

69. Атаки на БД SAM

• Цели:
• извлечение хешированных паролей
– для подбора текстового пароля
– для сетевого соединения без подбора
текстового пароля
• модификация SAM
– подмена пароля пользователя
– добавление нового пользователя и т.п.

70. Способы получения базы SAM

• Загрузка с DOS-дискеты с
использованием эмуляторов NTFS
– NTFSDOS.exe
– NtRecover.exe
• Получение резервной копии SAM с ERDдиска, магнитных лент, каталога
Winnt\repair
• Перехват «вызова» и «ответа» и
выполнение полного перебора

71. Подбор пароля по HASH

• Brute force attack — перебор всех
комбинаций символов из заданного
набора
• Словарь
– данные о пользователе
– «хитрости» и «глупости»
• слова-наоборот
• qwerty, 12345
• IVAN
• пароль = ID

72. Количество комбинаций символов

Количество комбинаций
10 суток
1 сутки
символов
Длина
пароля
5
12 млн
A-Z, a-z,
0-9
60,5 млн 915 млн
6
310 млн
2 млрд
57 млрд
7
8 млрд
80 млрд
3,5 трлн
8
210 млрд
3 трлн
218 трлн
A-Z
A-Z, 0-9

73. Что дает hash LAN Manager?

• Недостаточная устойчивость к взлому
– символы ВЕРХНЕГО регистра
– две половины по 7 символов
• Все комбинации перебираются за 10
суток
• Если известен пароль в верхнем
регистре, то вариацией букв (верх/нижн)
получаем пароль Windows NT
• Отключен в Windows 7

74.

75. Механизм LAN Manager аутентификации в сети

256
Механизм LAN Manager
65535
аутентификации в сети
8 байт «вызов» 0001020304050607
Клиент
16 байт hash
+
5 нулей
=
Сервер
21 байт
С2341A8AA1E7665F AAD3B435B51404EE
С2341A8AA1E7665F AAD3B435B51404EE 0000000000
7 байт
7 байт
7 байт
С2341A8AA1E766
5FAAD3B435B514
04EE0000000000
8 байт DES Key
8 байт DES Key
8 байт DES Key
Шифруем «вызов» Шифруем «вызов» Шифруем «вызов»
AAAAAAAAAAAAAA
BBBBBBBBBBBBBB
«Ответ»
CCCCCCCCCCCCCC

76. BitLocker drive encryption

Версии Vista, 7
–
Посекторное шифрование всего тома
ОС алгоритмом AES (128 бит) кроме
–
–
–
Starter, Home Basic, Home Premium,
Business, Ultimate, Enterprise
загрузочного сектора;
поврежденных секторов;
метаданных тома.
Проверка целостности загрузочных
компонентов до запуска ОС

77.

78.

79. Доверенный платформенный модуль (TPM — Trusted Platform Module)

Хранение
«предохранителя»
ключа шифрования
тома
Хранение регистров
конфигурации
платформы (Platform
Configuration
Registers, PCR)

80. Архитектура ключей BitLocker

• Ключ шифрования тома (full-volume
encryption key, FVEK) зашифрован с
помощью
• Основного ключа тома (volume master
key, VMK), зашифрованного
• Предохранителями (одним или
несколькими)

81. Типы предохранителей

• TPM
• USB-накопитель (ключ запуска)
• Незашифрованный ключ на диске (при
отключении BitLocker)

82. Шифрование разделов

• Для системного раздела
– TPM
– USB-накопитель (ключ запуска)
– Ключ восстановления (48 цифр)
• Для пользовательского раздела
– Пароль (не менее 8 символов)
– Смарт-карта
– Ключ восстановления (48 цифр)

83.

84.

85. Атаки на BitLocker

• Атака при наличии файла гибернации
– hiberfil.sys
• Атака полным перебором
– 4 пароля/сек — 1 год для 4 символьного пароля

86.

87.

88.

89. Ускорение

• Ускорение за счет использования
вычислительной мощности GPU
графических карт NVIDIA (пароля /сек)
– MS BitLocker
– RAR 3.x (AES)
– MS Office 2010 (AES)
4
315
383
92
5,000
5,000
• Распределенное восстановление паролей

90.

91. Проверка целостности загрузочных компонентов до запуска ОС

• BIOS
• основной загрузочной записи (MBR)
• загрузочного сектора NTFS
• загрузочного блока NTFS
• диспетчера загрузки и управления
доступом BitLocker

92. BitLocker To Go

• накопители с файловыми системами FAT,
FAT32 и NTFS.
• AES с длиной ключа 128 (по умолчанию)
или 256 бит
• пароль или смарт-карта

Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (1/11)

Общие сведения о комплексе

Здравствуйте!

В данной лекции мы поговорим о разграничении доступа пользователей в операционной системе Windows с использованием программно-аппаратного комплекса защиты информации от НСД «Аккорд-Win64» производства компании ОКБ САПР. Мы рассмотрим его назначение, состав, технические требования и организационные меры, необходимые для применения комплекса, а также поговорим об особенностях защитных функций данного комплекса.

Итак, программно-аппаратный комплекс СЗИ от НСД «Аккорд-Win64» (далее для краткости будем его называть комплекс «Аккорд») предназначен для применения на СВТ, функционирующих под управлением 64-х битных ОС Windows с целью обеспечения защиты от несанкционированного доступа к СВТ и АС на их основе при многопользовательском режиме эксплуатации. Поддерживаются все на данный момент существующие 64-х битные операционные системы, их перечень приведен на слайде. По мере выхода новых ОС добавляется также их поддержка. Обращу внимание, что для 32-х битных ОС есть аналогичный комплекс СЗИ от НСД «Аккорд-Win32», он поддерживает все существующие в настоящее время 32-х битные операционные системы. И все рассмотренное далее распространяется также и на него.

Комплекс «Аккорд-Win64» включает в себя аппаратные и программные средства:

• программно-аппаратный комплекс СЗИ НСД «Аккорд-АМДЗ», который мы подробно рассматривали на прошлых трех лекциях. Кратко повторю, что в него входит:
  • одноплатный контроллер, устанавливаемый в свободный слот материнской платы СВТ;
  • съемник информации с контактным устройством, обеспечивающий интерфейс между контроллером комплекса и персональным идентификатором пользователя;
  • персональные идентификаторы пользователя;
  • программные средства – встраиваемое программное обеспечение;
  • служебные (сервисные) программы комплекса.
• также в комплекс входит специальное программное обеспечение разграничения доступа в среде операционных систем Windows — СПО «Аккорд-Win64». Это программное обеспечение состоит из:
  • ядра защиты – то есть программ, реализующих защитные функции комплекса;
  • программ управления защитными функциями комплекса, то есть программ настройки комплекса в соответствии с ПРД;

Для установки комплекса «Аккорд» требуется следующий минимальный состав технических и программных средств:

• установленная на СВТ 64-х битная операционная система из перечня поддерживаемых ОС;
• наличие CD ROM для установки СПО разграничения доступа;
• наличие USB-разъема. Он необходим в случае использования в качестве идентификатора устройства с USB-интерфейсом или устройств, использующих USB-интерфейс для подключения их считывателей.
• наличие считывателя смарт-карт. Он необходим в случае использования смарт-карт в качестве идентификатора;
• объем дискового пространства для установки СПО разграничения доступа должен быть не менее 11 Мб;
• необходимо наличие соответствующего свободного слота на материнской плате СВТ для установки контроллера комплекса «Аккорд-АМДЗ».

Теперь рассмотрим организационные меры, необходимые для применения комплекса.

Для эффективного применения средств защиты комплекса и для того чтобы поддерживать необходимый уровень защищенности СВТ и информационных ресурсов автоматизированной системы (АС) необходимы:

• наличие администратора безопасности информации (супервизора). Это привилегированный пользователь, имеющий особый статус и абсолютные полномочия. Администратор БИ планирует защиту информации на предприятии, определяет права доступа пользователям в соответствии с утвержденным Планом защиты, организует установку комплекса в СВТ, эксплуатацию и контроль за правильным использованием СВТ с внедренным комплексом «Аккорд», в том числе, ведет учет выданных Идентификаторов. Также он осуществляет периодическое тестирование средств защиты комплекса. Более подробно обязанности администратора БИ по применению комплекса можно прочитать в методических материалах к лекции – «Руководстве администратора» на комплекс.
• также необходимы разработка и ведение учетной и объектовой документации (инструкция администратора, инструкции пользователей, журнал учета идентификаторов и отчуждаемых носителей пользователей и др.). Все разработанные учетные и объектовые документы должны быть согласованы, утверждены у руководства и доведены до сотрудников (пользователей). Это необходимо для того, чтобы План защиты организации (предприятия, фирмы и т.д.) и действия Администратора БИ получили юридическую основу;
• помимо этого требуется физическая охрана СВТ и его средств, в том числе проведение мероприятий по недопущению изъятия контроллера комплекса;
• следующая организационная мера — использование в СВТ технических и программных средств, сертифицированных как в Системе ГОСТ Р, так и в государственной системе защиты информации (ГСЗИ);
• и последняя мера — запрет на использование в СВТ любых сторонних служб и протоколов, позволяющих осуществить удаленный доступ к подконтрольным объектам (Telnet, SSH, TeamView и т.д.).

Теперь давайте поговорим об особенностях защитных функций комплекса.

Защитные функции комплекса реализуются при помощи следующего:

1. защиты от НСД СВТ, которая включает:
   • идентификацию пользователя по уникальному Идентификатору;
   • аутентификацию с учетом необходимой длины пароля и времени его жизни;
   • аппаратный (до загрузки ОС) контроль целостности технических средств СВТ, программ и данных на жестком диске (в том числе системных областей диска и модулей программной части комплекса);
   • ограничение времени доступа субъекта к СВТ в соответствии с установленным режимом работы пользователей;
   • блокировку несанкционированной загрузки СВТ с отчуждаемых носителей (FDD, CD-ROM, ZIP-drive, USB-disk и др.).
2. следующая защитная функция — это блокирование экрана и клавиатуры по команде пользователя или по истечению установленного интервала «неактивности» пользователя;
3. следующая возможность — разграничение доступа к локальным и сетевым ресурсам СВТ в соответствии с установленными ПРД и определяемыми атрибутами доступа, которые устанавливаются администратором БИ. Комплекс позволяет администратору использовать как дискреционный, так и мандатный методы контроля;
4. далее — это управление процедурами ввода/вывода на отчуждаемые носители информации. Дополнительно для каждого пользователя контролируется список разрешённых USB-устройств и SD карт в соответствии с их уникальными идентификационными номерами;
5. следующее — это контроль доступа к любому устройству, или классу устройств, доступных в «Диспетчере устройств» Windows, в том числе последовательных и параллельных портов, устройств PCMCI, IEEE 1394, WiFi, Bluetooth и так далее;
6. помимо контроля доступа к устройствам – есть еще возможность гарантированной очистки оперативной памяти и остаточной информации на жестких дисках и внешних носителях;
7. следующая возможность – это контроль вывода на печать документов из любых программ и программных пакетов и автоматическая маркировка печатных листов специальными пометками, грифами и т.д. Процесс печати протоколируется в отдельном журнале (создаётся учетная карточка документа);
8. помимо этого возможно осуществление регистрации контролируемых событий, в том числе несанкционированных действий пользователей, в системном журнале, доступ к которому предоставляется только Администратору БИ;
9. также есть возможность защиты от НСД систем терминального доступа, функционирующих на базе терминальных служб сетевых операционных систем Windows и программного обеспечения компании Citrix Systems для терминальных серверов;
10. следующая возможность — контроль целостности критичных с точки зрения информационной безопасности программ и данных (дисциплины защиты от несанкционированных модификаций). Кроме процедур, выполняемых контроллером комплекса, в программной части комплекса возможна проверка целостности программ и данных по индивидуальному списку для отдельного пользователя, или группы пользователей — статический и динамический контроль целостности.
11. имеется возможность функционального замыкания информационных систем, т.е. создания изолированной программной среды за счет использования защитных механизмов комплекса;
12. так же есть возможность встраивания или совместного использования других средств защиты информации, в том числе криптографических;
13. и последнее — защитные функции комплекса реализуются при помощи других механизмов защиты в соответствии с требованиями нормативных документов по безопасности информации;

В комплексе «Аккорд» используются и некоторые дополнительные механизмы защиты от НСД к СВТ. Так, в частности, для пользователя администратор БИ может установить, время жизни пароля и его минимальную длину, временные ограничения использования СВТ; параметры управления экраном – гашение экрана через заранее определенный интервал времени, подачу соответствующих звуковых и визуальных сигналов при попытках несанкционированного доступа к СВТ и к их ресурсам.

Итак, в данной лекции мы поговорили о назначении, составе комплекса разграничения доступа «Аккорд-Win64», рассмотрели технические требования и организационные меры, необходимые для применения этого комплекса и особенности его защитных функций. На следующей лекции мы поговорим о том, как строится система защиты информации на основе рассмотренного комплекса.

Спасибо за внимание, до встречи на следующей лекции!

Развитие рынка средств защиты от несанкционированного доступа (СЗИ от НСД) в России обусловлено необходимостью выполнения требований законодательства в области защиты информации (защита персональных данных, защита государственных информационных систем, защита государственной тайны). Обзор поможет сориентироваться на рынке решений СЗИ от НСД и разобраться в тенденциях его развития.

1. Введение
2. Что такое СЗИ от НСД
3. Сертификация СЗИ от НСД на соответствие требованиям ФСТЭК России
4. Мировой рынок средств защиты конечных точек
5. Российский рынок СЗИ от НСД и основные тенденции его развития
6. Обзор основных игроков рынка сертифицированных СЗИ от НСД
1. 6.1 «Газинформсервис»
2. 6.2. «Код Безопасности»
3. 6.3. «Конфидент»
4. 6.4. НПП ИТБ
5. 6.5. ОКБ САПР
6. 6.6. РНТ
7. 6.7. Рубинтех
8. 6.8. СПИИРАН
9. 6.9. ТСС
7. Выводы

Введение

Значительное количество угроз безопасности информации на рабочих станциях и серверах составляют угрозы несанкционированного доступа (НСД). Они ведут к утечкам конфиденциальных данных и утрате их целостности, что в свою очередь приводит к целому ряду негативных последствий для бизнеса: от репутационного ущерба и финансовых потерь до приостановки бизнес-процессов компании.

Кроме того, если компания работает с информацией ограниченного доступа, например, с  персональными данными или государственной тайной, то неизбежно сталкивается с многочисленными требованиями ФСТЭК России и ФСБ России. Невыполнение этих требований приводит к нежелательным санкциям: это могут быть как значительные штрафы, так и полная остановка деятельности компании по требованию регулятора.

Для защиты серверов и рабочих станций по требованию регуляторов используются специализированные наложенные средства защиты информации (сокращенно СЗИ от НСД). Сегодня на российском рынке информационной безопасности представлено большое количество СЗИ от НСД для серверов и рабочих станций. Далее мы расскажем, какими функциями должны обладать современные СЗИ от НСД, каким требованиям они должны соответствовать, рассмотрим основные тенденции российского рынка и основных игроков в этом сегменте, а также особенности их продуктов.

Что такое СЗИ от НСД

Российские вендоры включились в процесс разработки решений для защиты автоматизированных рабочих мест и серверов от несанкционированного доступа довольно давно. Первые разработки появились уже начале 90-х для выполнения требований руководящих документов Гостехкомиссии (теперь это ФСТЭК России) по защите информации.

В основном СЗИ от НСД создавались для повышения уровня защищенности операционной системы с использованием механизмов защиты:

• идентификация и аутентификация пользователей;
• дискреционный контроль доступа пользователей;
• мандатный контроль доступа пользователей и процессов;
• маркировка документов и контроль их вывода на печать;
• защита ввода и вывода информации на отчуждаемый физический носитель;
• регистрация событий безопасности в журнале событий;
• контроль целостности критичных файлов и данных;
• контроль доступа к периферийным устройствам и портам ввода-вывода;
• гарантированное удаление данных на дисках и выборочное затирание файлов и др.

Требования к этим механизмам защиты описаны в Руководящем документе «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Гостехкомиссия России, 1992 г.

По типу исполнения СЗИ от НСД бывают программными и программно-аппаратными. К последним относятся комплексы, где помимо специального программного обеспечения для разграничения доступа к ресурсам в составе комплекса есть аппаратный модуль — средство доверенной загрузки.

С точки зрения архитектуры СЗИ от НСД могут быть сетевыми и автономными. Сетевые СЗИ от НСД в общем случае включают сервер безопасности, а также агенты защиты, которые устанавливаются на конечные точки — рабочие станции и сервера. Сетевые СЗИ от НСД предусматривают централизованное управление защитными механизмами, а также централизованное получение информации от агентов об изменении состояния защищаемых компьютеров. В автономных СЗИ от НСД защитные механизмы устанавливаются и управляются локально (без привязки к серверу безопасности).

В последнее время наблюдается тенденция создания комплексных решений для защиты рабочих станций и серверов. Причиной этому является желание вендоров выйти из ниши классических СЗИ от НСД на уровень полноценных средств защиты информации на конечных точках (так называемый класс Information-Centric Endpoint Protection). Рецепт комплексных решений заключается в добавлении к классическим СЗИ от НСД модулей сетевой и антивирусной защиты: подсистемы персонального межсетевого экрана, подсистемы обнаружения вторжений уровня хоста, подсистемы антивирусной защиты, поиска уязвимостей, веб-фильтрации и т. д. Управление всеми компонентами осуществляется из единой консоли, что упрощает администрирование СЗИ, а интегрированность защитных механизмов между собой исключает возможность нарушения функционирования защищаемой системы.

Сертификация СЗИ от НСД на соответствие требованиям ФСТЭК России

СЗИ от НСД должны удовлетворять определенным требованиям руководящих и нормативных документов ФСТЭК России. Если мы говорим о традиционных СЗИ от НСД, которые обеспечивают разграничение доступа пользователей к ресурсам, то такие комплексы должны соответствовать требованиям руководящих документов:

• Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Гостехкомиссия России, 1992 г. (для удобства в статье будем называть — РД СВТ).
• Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Гостехкомиссия России, 1992 г. (для удобства в статье будем называть — РД НДВ).

СЗИ от НСД обычно включают и подсистему контроля съемных носителей и сертифицируются на соответствие Требованиям к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. № 87.

Кроме того, некоторые программно-аппаратные комплексы помимо разграничения доступа к ресурсам компьютера обеспечивают доверенную загрузку операционной системы — включают модуль доверенной загрузки. Такие СЗИ от НСД дополнительно к приведенным выше требованиям сертифицируются в том числе на соответствие Требованиям к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. № 119.

Комплексные решения, которые помимо разграничения доступа к ресурсам обеспечивают контроль сетевых соединений, защиту от вторжений, а также антивирусную защиту, сертифицируются на соответствие профилей защиты:

• Требования к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. № 9).
• Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. № 638.
• Требования к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. № 28.

Мировой рынок средств защиты конечных точек

За рубежом привычного для нас рынка СЗИ от НСД нет. Для защиты информации на конечных точках применяются решения классов Information-Centric Endpoint Protection и Endpoint Protection Platforms.

Gartner определяет класс решений Information-Centric Endpoint Protection как решения, обеспечивающие защиту конфиденциальной информации на конечных точках на уровне данных и системы. Эта категория включает решения с различными механизмами защиты — управление правами пользователей, контроль подключаемых устройств, контроль целостности информации и доверенная загрузка, шифрование данных.

Класс решений Endpoint Protection Platforms определяется Gartner как интегрированные решения с централизованным управлением, включающие функции защиты от вредоносных программ, персонального межсетевого экрана, а также управления доступом к портам ввода-вывода и периферийным устройствам. Кроме того, многие решения Endpoint Protection Platforms также включают и другие возможности, такие как оценка уязвимости, контроль приложений и управление мобильными устройствами EMM.

Gartner в отчете Magic Quadrant (MQ) for Endpoint Protection Platforms Report отмечает, что рынок Endpoint Protection Platforms динамичен — прогнозируется, что крупные сегменты рынков, такие как DLP и EMM, будут в конечном итоге поглощены рынком Endpoint Protection Platforms в ближайшем будущем. 

Можно предположить, что российский рынок СЗИ от НСД тоже будет поглощен рынком Endpoint Protection Platforms по мере развития локальных вендоров.

В вышеупомянутом отчете Magic Quadrant (MQ) for Endpoint Protection Platforms Report (2018) выделены более 20 разработчиков, которые, по мнению Gartner, считаются наиболее значимыми на рынке Endpoint Protection Platforms. Из них многие являются ключевыми игроками также и на рынке Information-Centric Endpoint Protection.

Наиболее известные компании на российском рынке:

• Kaspersky Lab
• McAfee
• Sophos
• Symantec
• Trend Micro

В отчет Gartner включен только один российский разработчик антивирусного программного обеспечения — «Лаборатория Касперского».  Однако представленные продукты по функциональности далеки от рассматриваемых в обзоре и не могут считаться их заменителями. Рынок Endpoint Protection Platforms Report будет рассмотрен нами в отдельной статье.

Российский рынок СЗИ от НСД и основные тенденции его развития

Одной из главных причин востребованности сертифицированных СЗИ от НСД на российском рынке является необходимость выполнения требований действующего законодательства и нормативных актов в области защиты информации:

• Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
• Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
• Закон Российской Федерации № 5485-I «О государственной тайне» от 21 июля 1993г. и другие.

На динамику рынка СЗИ от НСД влияет как развитие законодательной базы, так и крупные инциденты, например эпидемии WannaCry, NotPetya и BadRabbit, затронувшие не одну компанию и принесшие реальные потери в виде прямых финансовых убытков, репутационного вреда и приостановок деятельности.

Предполагается, что серьезное влияние на рынок СЗИ от НСД в будущем также окажет принятый в 2017 году Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры», а для кредитно-финансовой сферы национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер».

В настоящее время среди основных игроков рынка сертифицированных СЗИ от НСД можно выделить:

• СЗИ от НСД Secret Net, Secret Net Studio и ПАК «Соболь» («Код Безопасности»)
• СЗИ от НСД Dallas Lock (компания «Конфидент»)
• СЗИ от НСД «Аккорд» (компания ОКБ САПР)
• СЗИ от НСД «Блокхост-сеть К» и «Блокхост-АМДЗ 2.0» («Газинформсервис»)
• СЗИ от НСД ПАНЦИРЬ (НПП «Безопасные информационные технологии»)
• СЗИ от НСД Diamond ACS (компания ТСС)
• СЗИ от НСД «Страж NT 4.0» (компания «Рубинтех»)
• СЗИ от НСД «Аура» (СПИИРАН)
• СЗИ от НСД «Фантом» (РНТ)

Также на рынке присутствуют некоторые нишевые продукты, например, СРД «КРИПТОН-ЩИТ» (ООО Фирма «Анкад»),СЗИ НСД «Щит-РЖД» (СПИИРАН).

Так как сам рынок СЗИ от НСД возник под влиянием российских регуляторов, то принципиальной характеристикой продукта является не столько широта функциональных возможностей, сколько классы их сертификации ФСТЭК России. Далее в таблице 1 приведем данные по действующим сертификатам наиболее популярных продуктов.

Таблица 1. Классы сертификации ФСТЭК России популярных СЗИ от НСД

Теперь рассмотрим сертифицированные СЗИ от НСД более подробно.

Обзор основных игроков рынка сертифицированных СЗИ от НСД

«Газинформсервис» 

СЗИ от НСД «Блокхост-Сеть 2.0»

Средство защиты информации «Блокхост-Сеть 2.0» предназначено для защиты информационных ресурсов от несанкционированного доступа в локальных вычислительных сетях на базе персональных компьютеров, функционирующих под управлением операционных систем Microsoft Windows 2008R2/Vista/7/8/8.1/10/2012/2012R2/2016. «Блокхост-Сеть 2.0» дополняет и усиливает собственные возможности защиты операционной системы, создавая тем самым доверенную рабочую среду функционирования процессов.

СЗИ «Блокхост-Сеть 2.0» состоит из клиентской части СЗИ «Блокхост-Сеть 2.0», в рамках которой реализованы базовые механизмы защиты, и серверной части — сервера безопасности, устанавливаемой на автоматизированное рабочее место администратора безопасности.

Средство защиты информации «Блокхост-Сеть 2.0» выполняет следующие функции защиты:

• двухфакторная аутентификация пользователей с применением персональных идентификаторов;
• дискреционный и мандатный механизмы контроля доступа к информационным ресурсам в соответствии с заданными параметрами безопасности, в том числе по времени;
• контроль целостности системного программного обеспечения, прикладного программного обеспечения и информационных ресурсов АРМ;
• очистка областей оперативной памяти после завершения работы контролируемых процессов;
• гарантированное удаление файлов и папок, что исключает возможность восстановления;
• контроль вывода информации на печать и отчуждаемые физические носители, маркировка документов;
• контроль запуска процессов;
• персональный межсетевой экран (контроль доступа к сетевым ресурсам и фильтрация сетевого трафика);
• защита от изменения и удаления СЗИ «Блокхост-Сеть 2.0».

ПАК «Блокхост-МДЗ»

Программно-аппаратный комплекс «Блокхост-МДЗ» предназначен для решения следующих задач:

• двухфакторная аутентификация пользователей для усиления защиты входа на рабочую станцию до загрузки операционной системы;
• обеспечение конфиденциальности данных, хранимых на электронных носителях, путем шифрования их содержимого;
• контроль целостности файлов с заданной периодичностью;
• выполнение гарантированного удаления файлов без возможности их восстановления;
• очистка областей оперативной памяти после завершения контролируемых процессов для предотвращения считывания остаточной информации;
• сохранение конфиденциальности данных даже при краже или утере носителей;
• контроль доступа пользователей к отчуждаемым носителям, оптическим приводам, Wi-Fi и Bluetooth-адаптерам, подключаемым через USB порты.

«Блокхост-МДЗ» состоит из 7 модулей, которые могут быть использованы как единым комплексом, так и по отдельности.

Подробнее познакомиться с СЗИ от НСД «Блокхост-Сеть 2.0» и ПАК «Блокхост-МДЗ» можно на сайте разработчика.

«Код Безопасности»

Компания «Код Безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту информационных систем, а также их соответствие требованиям международных и отраслевых стандартов. Компания основана в 2008 году и ведет свою деятельность на основании девяти лицензий ФСТЭК России, ФСБ России и Министерства обороны Российской Федерации.

В настоящее время сотрудниками «Кода безопасности» являются более 400 квалифицированных специалистов, многие из которых имеют уникальные компетенции в области разработки ИБ-решений. Свыше 900 авторизованных партнеров компании поставляют ее продукты и обеспечивают их качественную поддержку во всех регионах России и в странах СНГ. Более 32 000 государственных и коммерческих организаций доверяют продуктам «Кода безопасности» и используют их для защиты рабочих станций, серверов, виртуальных инфраструктур, мобильных устройств и сетевого взаимодействия всех компонентов информационных систем.

Для защиты конечных точек компания «Код Безопасности» предлагает несколько решений:

• СЗИ от НСД Secret Net — сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства MS Windows.
• СЗИ от НСД Secret Net LSP — сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства Linux.
• СЗИ Secret Net Studio — комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования.
• АПМДЗ «Соболь» — сертифицированный аппаратно-программный модуль доверенной загрузки.

СЗИ от НСД Secret Net 7

СЗИ от НСД Secret Net 7 сочетает в себе функции защиты информации (в соответствии с требованиями РД СВТ), средства централизованного управления, инструменты оперативного принятия решений и возможность мониторинга безопасности информационной системы в реальном времени. Тесная интеграция защитных механизмов Secret Net 7 с механизмами управления сетевой инфраструктурой повышает защищенность корпоративной информационной системы.

Основные возможности СЗИ от НСД Secret Net 7:

• Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.
• Идентификация и аутентификация пользователей.
• Доверенная информационная среда.
• Контроль утечек и каналов распространения конфиденциальной информации.
• Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
• Затирание остаточной информации при освобождении и удалении областей памяти компьютера и запоминающих устройств.
• Централизованное управление системой защиты, оперативный мониторинг и аудит безопасности.
• Масштабируемая система защиты, возможность применения Secret Net 7 (сетевой вариант) в организации с большим количеством филиалов.
• Защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).

Подробнее познакомиться с продуктом СЗИ от НСД Secret Net можно на сайте разработчика.

С 9 апреля 2018 г. компания «Код Безопасности» прекратила продажу СЗИ от НСД Secret Net 7. Теперь для защиты рабочих станций и серверов компания предлагает более современный и функциональный комплексный продукт СЗИ Secret Net Studio.

СЗИ Secret Net Studio

СЗИ Secret Net Studio — комплексное решение для защиты конечных точек. Помимо защиты от НСД продукт включает антивирус, персональный межсетевой экран и модуль авторизации сетевых соединений, систему обнаружения вторжений, а также расширенные средства централизованного управления и мониторинга.

Основные возможности СЗИ Secret Net Studio:

• Защита от НСД обеспечивается механизмами, применяемыми в СЗИ от НСД Secret Net.
• Антивирусная защита — защита от вредоносных исполняемых файлов на рабочих станциях и серверах с возможностью сканирования и запуска заданий по расписанию, а также по требованию администратора или пользователя.
• Межсетевое экранирование — контроль сетевой активности компьютера и фильтрация большого числа протоколов в соответствии с заданными политиками, в том числе на уровне отдельных приложений, пользователей или групп пользователей. Подпись сетевого трафика для защиты от подделки и перехвата внутри локальной сети. Автоматическая генерация правил с их интеллектуальным сложением в режиме обучения межсетевого экрана.
• Защита от сетевых атак (NIPS) — обнаружение атак сигнатурными и эвристическими методами. Автоматическая блокировка атакующих хостов при обнаружении аномальных пакетов, сканировании портов, DoS-атаках и др.
• Шифрование контейнеров — шифрование контейнеров любого размера по алгоритму ГОСТ 28147-89 обеспечивает защиту данных в случае несанкционированного доступа к носителям информации, их утери или кражи. Размещение шифрованных контейнеров на жестком диске или на съемном носителе. Использование аппаратных идентификаторов для хранения ключевой информации.
• Централизованное развертывание, управление и мониторинг. Развертывание обеспечивается централизованной установкой продукта на все рабочие станции контролируемого домена. Настройка сквозных и групповых политик для всех механизмов защиты осуществляется с использованием единого агента безопасности.

Подробнее познакомиться с продуктом СЗИ Secret Net Studio можно почитав обзоры на нашем сайте «Обзор Secret Net Studio 8.1. Часть 1 — защитные механизмы» и «Обзор Secret Net Studio 8.1. Часть 2 — механизмы централизованного управления и мониторинга», а также на сайте разработчика.

СЗИ от НСД Secret Net LSP

СЗИ от НСД Secret Net LSP — сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства Linux. Возможна интеграция со средствами централизованного управления Secret Net Studio и Secret Net 7, а также совместная работа с терминальным сервером под управлением Windows.

Основные возможности СЗИ от НСД Secret Net LSP:

• Защита входа в систему
• Разграничение доступа к ресурсам
• Разграничение доступа к устройствам
• Регистрация событий ИБ
• Контроль целостности
• Аудит действий пользователей
• Затирание остаточной информации
• Удобство администрирования благодаря наличию графических и консольных средств управления
• Интеграция со средствами централизованного управления Secret Net Studio и Secret Net 7
• Включение компьютера в домен Windows

Подробнее познакомиться с продуктом СЗИ от НСД Secret Net LSP можно на сайте разработчика.

АПМДЗ «Соболь»

Электронный замок «Соболь» — это сертифицированный аппаратно-программный модуль доверенной загрузки.

ПАК «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети. Комплекс имеет широкий выбор форматов исполнения и применяется совместно с продуктами Secret Net 7 и Secret Net Studio как средство, усиливающее механизм обнаружения атак на конечные точки.

Основные возможности ПАК «Соболь»:

• Механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жесткого диска до загрузки операционной системы;
• Контроль целостности реестра Windows существенно повышает защищенность рабочих станций от несанкционированных действий внутри операционной системы;
• Контроль целостности аппаратной конфигурации компьютера запрещает использование неавторизованных компонентов;
• Идентификация и усиленная (двухфакторная) аутентификация пользователей с использование персональных идентификаторов;
• Аудит попыток доступа к компьютеру в системном журнале, хранящемся в специальной энергонезависимой памяти;
• Блокировка несанкционированной загрузки операционной системы со съемных носителей не дает злоумышленнику возможность обойти СЗИ, работающие «внутри» ОС;
• Сбор и хранение данных о событиях безопасности облегчает расследование инцидентов;
• Использование сторожевого таймера обеспечивает блокировку компьютера в нештатной ситуации — если после включения компьютера и по истечении заданного интервала времени управление не передано комплексу «Соболь»;
• Применение аппаратного датчика случайных чисел, соответствующего требованиям ФСБ, обеспечивает повышенный класс защиты СКЗИ.

Подробнее познакомиться с АПМДЗ «Соболь» можно на сайте разработчика.

«Конфидент»

Продуктовая линейка Dallas Lock Центра защиты информации компании «Конфидент» представлена современными средствами защиты информации для платформ Windows и Linux. Решения компании позволяют не только привести информационные системы в соответствие требованиям законодательства, но и создать их комплексную защиту благодаря таким уникальным возможностям, как наличие элементов функциональности DLP-систем, управления привилегированными пользователями, создание доверенной рабочей среды.

СЗИ Dallas Lock 8.0

СЗИ Dallas Lock 8.0 —сертифицированная система защиты информации накладного типа для автономных и сетевых АРМ (применима для сложных сетевых инфраструктур). Предназначена для защиты конфиденциальной информации (редакции «К» и «С»), в том числе содержащейся в автоматизированных системах до класса защищенности 1Г включительно, в государственных информационных системах до 1 класса защищенности включительно, в информационных системах персональных данных для обеспечения 1 уровня защищенности персональных данных, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно, а также для защиты информации, содержащей сведения, составляющие государственную тайну (редакция «С») до уровня «совершенно секретно» включительно. Подробный обзор СЗИ Dallas Lock 8.0 читайте на нашем чайте.

Ключевые особенности:

• Собственные сертифицированные механизмы управления информационной безопасностью, дублирующие (подменяющие) стандартные механизмы Windows.
• Возможность применения в различных версиях и редакциях Windows (от Windows XP до Windows 10) на персональных, портативных компьютерах (ноутбуках, планшетах), серверах, в виртуализированных средах.
• Широкий набор дополнительных возможностей.
• Наличие модуля СКН — это сертифицированное средство контроля съемных машинных носителей информации (по Требованиям ФСТЭК России к СКН).
• Бесшовная интеграция с другими решениями продуктовой линейки Dallas Lock.
• Совместимость с ИТ- и ИБ-решениями других производителей.

Межсетевой экран Dallas Lock (МЭ)

Межсетевой экран Dallas Lock (МЭ) — сертифицированный модуль СЗИ НСД Dallas Lock 8.0, выполняющий функции персонального межсетевого экрана с централизованным управлением, аудитом событий информационной безопасности и предназначенный для защиты рабочих станций и серверов от несанкционированного доступа по сети. МЭ осуществляет контроль и фильтрацию проходящих через интерфейсы компьютера сетевых пакетов в соответствии с заданными правилами, блокирует нежелательную сетевую активность и уведомляет о попытках нарушения заданных правил. Модуль тесно интегрирован с СЗИ НСД Dallas Lock 8.0, что позволяет производить централизованное развертывание и настройку функциональности НСД и МЭ из единого общего интерфейса.

Ключевые особенности:

• Впервые в России поддержка Windows 10.
• Защита конфиденциальной информации в сетях, подключенных к сетям общего пользования.
• Интеграция с СЗИ Dallas Lock 8.0.
• Гибкая настройка правил фильтрации в соответствии с сетевой моделью OSI всех уровней.

Система обнаружения и предотвращения вторжений Dallas Lock (СОВ)

Dallas Lock (СОВ) — сертифицированная гибридная система обнаружения и предотвращения вторжений уровня узла в программном исполнении.

Ключевые особенности:

• Эвристический и сигнатурный анализ попыток нарушения безопасности.
• Обновление сигнатур сетевых атак и сигнатур анализа журналов операционной системы.
• Защита от атак на сетевые протоколы модели OSI различных уровней.
• Перехват вызова функций операционной системы, гибкая настройка ограничения доступа к системным функциям для недоверенных приложений.
• Гибкая настройка уровня реагирования системы и детализации журналов.

Средство доверенной загрузки Dallas Lock (СДЗ)

Dallas Lock (СДЗ) — сертифицированное средство доверенной загрузки уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, а также для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах, информационных системах персональных данных.

Ключевые особенности:

• Полноценная поддержка интерфейса UEFI.
• Разъемы для подключения: PCI (через переходник), PCI-Express, Mini PCI-Express, M.2.
• Полное администрирование СДЗ без использования ресурсов загружаемой штатной операционной системы.
• Установка дополнительных программных модулей (агентов) в среду штатной операционной системы не требуется.
• Возможность подключения датчика вскрытия корпуса на плате PCI Express.
• Унифицированный с другими продуктами Dallas Lock дизайн интерфейса СДЗ.
• Централизованное управление (функциональность будет доступна в рамках планового обновления).

СЗИ НСД Dallas Lock Linux

Dallas Lock Linux — сертифицированная СЗИ от НСД накладного типа для рабочих мест и серверов под управлением операционных систем семейства Linux. Не так давно мы обозревали СЗИ НСД Dallas Lock Linux на нашем сайте.

Ключевые особенности СЗИ НСД Dallas Lock Linux:

• Поддерживает широкий набор современных дистрибутивов Linux.
• Консоль удаленного управления СЗИ из Windows и Linux.
• Сервис-ориентированная архитектура.
• Современный графический интерфейс (GUI).
• Универсальная лицензия.

Подробнее познакомиться с линейкой продуктов Dallas Lock можно почитав обзор на нашем сайте — «Выбор сертифицированных СЗИ от НСД для серверов и рабочих станций. Обзор продуктов Dallas Lock», а также на сайте разработчика.

НПП ИТБ

Научно-производственное предприятие «Информационные технологии в бизнесе» для защиты автоматизированных рабочих мест и серверов предлагает Комплексную систему защиты информации «Панцирь+».

КСЗИ «Панцирь+»

Это сертифицированная ФСТЭК России комплексная система защиты информации от несанкционированного доступа, имеющая в своем составе сетевой экран. Комплекс предназначен для защиты операционных систем семейства Microsoft Windows.

В части защиты от целевых атак КСЗИ «Панцирь+» — это система защиты класса Last frontier — образует последний рубеж эшелонированной защиты информации. В задачи КСЗИ «Панцирь+» входит снижение рисков потерь от реализации атак, в предположении о том, что соответствующие угрозы не смогут быть выявлены на ранних стадиях обнаружения и атаки будут осуществлены.

В КСЗИ «Панцирь+» реализованы следующие три основные группы механизмов защиты:

• механизмы контроля и разграничения прав доступа субъектов к статичным объектам — к объектам, присутствующим в системе на момент назначения прав доступа к ним субъектов администратором. К таким объектам относятся локальные и разделенные в сети файловые объекты, объекты реестра операционной системы, файловые накопители, определяемые их идентификаторами с учетом серийных номеров, сетевые объекты, локальные и сетевые принтеры и т. д. Этими механизмами реализуется разграничительная политика доступа субъектов к объектам;
• механизмы контроля и разграничения прав доступа субъектов к создаваемым объектам — к объектам, отсутствующим в системе на момент назначения прав доступа субъектов к объектам администратором, создаваемым пользователями впоследствии. К таким объектам относятся создаваемые файлы и данные, временно хранящиеся в буфере обмена. Такими механизмами реализуется разделительная политика между субъектами доступа;
• механизмы защиты от обхода разграничительной и разделительной политик доступа. Эти механизмы также реализуют контроль доступа, но уже применительно к системным объектам операционной системы — к сервисам олицетворения, к возможностям прямого доступа к дискам и инжектирования кода в процессы, к переменным BIOS UEFI (NV RAM) и загрузчику ОС и т. д.

Принципиальной особенностью реализации механизмов защиты является назначение прав доступа субъектам, к объектам, а не к объектам субъектов, как в иных средствах защиты. Это позволяет использовать при задании правил доступа для идентификации объектов масок и переменных среды окружения, что не только существенно упрощает задачу администрирования, но делает возможным тиражирование настроек при внедрении комплекса.

Все механизмы защиты из состава КСЗИ «Панцирь+» сертифицированы на соответствие РД СВТ, РД МЭ, на отсутствие НДВ, большая часть ключевых механизмов защиты, в том числе от целевых атак, сертифицировано на соответствие ТУ, что обеспечивает их легитимное использование в соответствующих информационных системах: КИИ, ГИС, ИСПДн, АСУ ТП, в ИС цифровой экономики РФ.

Подробнее познакомиться с КСЗИ «Панцирь+» можно на сайте разработчика.

ОКБ САПР

ОКБ САПР — компания-разработчик программно-аппаратных средств защиты информации от несанкционированного доступа, в том числе криптографических, с более чем двадцатилетним стажем (год основания — 1989).

Продуктовая линейка «Аккорд» компании ОКБ САПР представлена программно-аппаратными комплексами для защиты Windows и Linux рабочих мест и серверов, которая включает:

• «Аккорд-АМДЗ» — аппаратный модуль доверенной загрузки.
• Программно-аппаратные комплексы «Аккорд-Win32», «Аккорд-Win64» — для разграничения доступа пользователей к рабочим станциям и серверам, работающим под управлением 32- и 64-разрядных Windows.
• Программно-аппаратные комплексы Аккорд-Х, Аккорд-Х К — для разграничения доступа пользователей к рабочим станциям и серверам под управлением Linux.
• СУЦУ — система удаленного централизованного управления средствами защиты информации от несанкционированного доступа «Аккорд».

Отметим, что в основе всех решений семейства «Аккорд» лежит концепция аппаратной защиты, которую коротко можно сформулировать как необходимость наличия резидентного аппаратного компонента компьютерной системы, обеспечивающего ее защиту от НСД.

«Аккорд-АМДЗ»

СЗИ НСД «Аккорд-АМДЗ» представляет собой аппаратный модуль доверенной загрузки (плата расширения, устанавливаемая в свободный слот материнской платы) для серверов и рабочих станций локальной сети.

Комплекс обеспечивает доверенную загрузку различных операционных систем — загрузку только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств компьютера (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.

ПАК «Аккорд-Win32» (TSE), ПАК «Аккорд-Win64» (TSE) и «Аккорд-Win64 К»

Комплексы «Аккорд-Win32», «Аккорд-Win64» и «Аккорд-Win64 К» предназначены для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам под управлением операционных систем семейства Windows.

Комплексы «Аккорд-Win32» и «Аккорд-Win64» реализованы с аппаратным модулем «Аккорд-АМДЗ» (входит в состав продукта). «Аккорд-Win64 К» реализован программно.

Возможности:

• Идентификация/аутентификация пользователей.
• Аппаратный контроль целостности системных файлов и критичных разделов реестра.
• Доверенная загрузка операционной системы (реализуется ПАК «Аккорд-АМДЗ», входит в состав продуктов «Аккорд-Win32» (TSE) и ПАК «Аккорд-Win64» (TSE)).
• Контроль целостности программ и данных, их защита от несанкционированных модификаций.
• Создание индивидуальной для каждого пользователя изолированной рабочей программной среды.
• Разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа.
• Разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа.
• Автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса.
• Усиленная аутентификация терминальных станций с помощью контроллера «Аккорд» или ПСКЗИ ШИПКА.
• Идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА).
• Управление терминальными сессиями.
• Контроль печати на принтерах.
• Контроль доступа к USB-устройствам.

СУЦУ СЗИ от НСД

СУЦУ — система удаленного централизованного управления средствами защиты информации от несанкционированного доступа «Аккорд» обеспечивает централизованный мониторинг событий информационной безопасности и управления средствами защиты информации от несанкционированного доступа.

Основные возможности СУЦУ:

• Управление подконтрольными рабочими станциями и серверами.
• Управление пользователями.
• Централизованный сбор и хранение информации о зарегистрированных событиях доступа к подконтрольным объектам.
• Централизованное управление средствами защиты информации от несанкционированного доступа на подконтрольных объектах.
• Управление доступом к коммутационным портам и периферийным устройствам.

СЗИ от НСД «Аккорд-X»

Программно-аппаратный комплекс средств защиты информации «Аккорд-X» предназначен для разграничения доступа пользователей к рабочим станциям под управлением Linux.

Комплекс «Аккорд-X» реализован с аппаратным модулем «Аккорд-АМДЗ» (входит в состав продукта). «Аккорд-X К» реализован программно.

Основные возможности «Аккорд-X»:

• Защита от несанкционированного доступа к компьютерам (включая возможность ограничения разрешенных часов работы каждого пользователя).
• Идентификация/аутентификация пользователей.
• Аппаратный контроль целостности системных файлов.
• Доверенная загрузка операционной системы.
• Статический и динамический контроль целостности данных, их защита от несанкционированных модификаций.
• Разграничение доступа пользователей, процессов к массивам данных (объектам) с помощью дискреционного контроля доступа.
• Разграничение доступа пользователей, процессов к массивам данных (объектам) с помощью мандатного контроля доступа.
• Разграничение доступа пользователей к определенным процессам.
• Контроль доступа к периферийным устройствам.
• Создание индивидуальной для каждого пользователя изолированной рабочей программной среды.
• Автоматическое ведение протокола регистрируемых событий.
• Контроль печати на локальных и сетевых принтерах, протоколирование вывода данных на печать, маркировка распечатанных данных (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

Подробнее познакомиться с линейкой СЗИ от НСД «Аккорд» можно на сайте разработчика.

РНТ

СЗИ от НСД «Фантом»

Это программное средство, предназначенное для создания защищенного рабочего места и серверного решения с использованием технологий виртуализации. «Фантом» позволяет обрабатывать информацию различного уровня конфиденциальности на одной аппаратной единице. Исполнение ПАК «Фантом» на внешнем жестком диске благодаря защите от НСД носителя, каналов связи, а также наличию дополнительных средств защиты позволяет выездным сотрудникам использовать произвольную аппаратную единицу (ноутбук, стационарный компьютер и т. п.) и работать с конфиденциальной информацией в условиях небезопасной среды (в заграничных командировках, в гостиницах, дома и т. п.).

СЗИ от НСД «Фантом» решает следующие основные задачи:

• Безопасная работа на любом компьютере (коллективного пользования, домашний) с индивидуального переносного USB-диска.
• Контроль операционной системы с использованием аппаратных технологий виртуализации.
• Контроль периферийных устройств компьютера, включая встроенную память и диск, с уровня гипервизора.
• Прозрачное функционирование для пользователя.
• Надежная реализация криптографических функций на уровне гипервизора.
• Повышенная отказоустойчивость за счет механизма снимков состояния и хранилища резервных копий.
• Аудит происходящих событий.
• Контроль сетевого взаимодействия.
• Усиленная аутентификация пользователей.
• Возможность отдельного размещения нескольких рабочих мест на одном компьютере или на внешнем загружаемом USB-диске.
• Возможность работы исключительно с индивидуального переносного внешнего USB-диска.
• Полная изоляция рабочих мест (виртуальных доменов).
• Контроль работы вычислительных ресурсов в режиме реального времени.
• Поддержка криптографических функций по требованиям безопасности.
• Наличие механизма хранения резервных копий, что позволяет в случае внештатной ситуации (сбой в случае воздействия злоумышленника, некорректно работающего программного обеспечения и т. п.) в любое время вернуться к сохраненному состоянию системы или ее отдельных компонентов.
• Защита от изменения системных компонент ВМ.
• Контроль целостности операционной системы, окружения пользователя и отдельных компонентов с целью противостоять проникновению в среду вредоносного кода.

В СЗИ «Фантом» также есть встроенные МСЭ, антивирус (проверяются все файлы, которые пользователь переносит из одной ВМ в другую) (данная функциональность не сертифицирована), система для отображения и анализа журнальных записей. Также можно отметить наличие VPN-клиента на уровне самого продукта, а не отдельных ВМ. Кроме того, возможна интеграция комплекса с системой обнаружения компьютерных атак «ФОРПОСТ».

Подробнее с продуктом можно ознакомиться на сайте разработчика.

Рубинтех

СЗИ от НСД «Страж NТ версия 4.0»

Компания «Рубинтех» для защиты автоматизированных рабочих мест и серверов предлагает решение «Страж NT 4.0».

СЗИ от НСД «Страж NТ версия 4.0» представляет собой программный комплекс средств защиты информации с использованием электронных идентификаторов и предназначена для защиты информационных ресурсов от несанкционированного доступа:

• на автономных рабочих станциях;
• рабочих станциях в составе рабочей группы или домена локальной вычислительной сети;
• серверах (в том числе и терминальных).

«Страж NТ 4.0» может применяться при разработке систем защиты информации для многопользовательских автоматизированных систем (АС),  информационных систем персональных данных (ИСПДн) и государственных информационных систем (ГИС)  в соответствии с требованиями законодательства Российской Федерации.

Функционирует в среде 32- и 64-разрядных операционных систем Microsoft Windows.

Сертифицирован ФСТЭК России на соответствие РД СВТ по 3-му классу защищенности и РД НДВ по 2-му уровню контроля НДВ.

Ключевые особенности СЗИ от НСД «Страж NT версия 4.0»:

• Возможность сетевого развертывания и настройки и СЗИ с любого рабочего места в сети. Децентрализованное управление без сервера безопасности.
• Поддержка компьютеров c UEFI и GPT-разбиением диска.
• Сокрытие логической структуры загрузочного жесткого диска.
• Наличие гибкого механизма сценариев настроек.
• Реализация дискреционного и мандатного принципов разграничения доступа, в том числе и на съемных носителях информации. Возможность одновременной работы с документами разных грифов в одном сеансе (без смены сеанса пользователя). Режим виртуализации объектов при настройке мандатной защиты.
• Поддержка терминальных сессий.

Основные функциональные возможности СЗИ от НСД «Страж NT 4.0»:

• Двухфакторная аутентификация до загрузки операционной системы (в том числе и для виртуальной среды) с использованием аппаратных идентификаторов.
• Дискреционный принцип контроля доступа к ресурсам системы.
• Мандатный принцип контроля доступа к ресурсам системы.
• Создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешенных приложений.
• Регистрация событий безопасности, в том числе и действий администратора.
• Маркировка выдаваемых на печать документов независимо от печатающего их приложения.
• Гарантированная очистка освобождаемой оперативной памяти, содержимого защищаемых файлов при их удалении, файлов подкачки при завершении работы системы.
• Контроль целостности защищаемых ресурсов системы и компонентов системы защиты информации.
• Управление пользователями.
• Управление носителями информации.
• Управление устройствами.
• Преобразование информации на отчуждаемых носителях.
• Тестирование системы защиты информации.

Подробнее с продуктом можно ознакомиться на сайте разработчика.

СПИИРАН

НИО ПИБ Санкт-Петербургского института информатики и автоматизации Российской академии наук (СПИИРАН) для защиты от НСД серверов и рабочих станций предлагает СЗИ «Аура».

СЗИ «Аура»

Решение предназначено для комплексной защиты информации, обрабатываемой на ПЭВМ под управлением Microsoft Windows.

СЗИ от НСД «Аура» решает следующие основные задачи:

• обеспечение доверенной среды для аутентификации пользователей и контроля целостности информационных объектов;
• усиленная аутентификация;
• многоуровневый контроль целостности информационных объектов вычислительной системы;
• контроль доступа к устройствам, файлам и папкам;
• управление печатью, автоматическая маркировка и учет документов;
• достоверное уничтожение информационных объектов;
• регистрация действий пользователя в системных журналах;
• идентификация и аутентификация пользователей в доверенной среде с применением электронных устройств Rutoken.

Подробнее с продуктом можно ознакомиться на сайте разработчика.

ТСС

Компания ТСС для защиты автоматизированных рабочих мест и серверов предлагает программно-аппаратный комплекс Diamond ACS.

Diamond ACS

Это кроссплатформенный программно-аппаратный комплекс средств защиты информации от несанкционированного доступа. Продукт позволяет осуществлять доверенную загрузку и физическое разделение контуров различной степени конфиденциальности на автоматизированных рабочих местах.

Diamond ACS может быть реализован в автономной или сетевой версиях в программном и программно-аппаратном видах (с подключением аппаратного замка Diamond ACS HW). 

Основные функции Diamond ACS в программно-аппаратном исполнении:

• централизованное управление (единая консоль управления политиками безопасности);
• контроль целостности загрузочного сектора жесткого диска до загрузки операционной системы (опционально);
• возможность работы в двух изолированных контурах различного уровня конфиденциальности на одной машине (опционально);
• разграничение доступа пользователей к данным, устройствам и приложениям на основе дискреционного и мандатного принципов контроля доступа;
• статический и динамический контроль целостности приложений и данных;
• автоматическая регистрация системных событий в журналах безопасности;
• контроль вывода на печать и маркировка документов, содержащих конфиденциальную информацию;
• блокировка рабочего места по периоду неактивности;
• возможность настройки расписания доступа пользователя в систему;
• функция многофакторной аутентификации с использованием биометрических данных пользователя (вход в систему по отпечаткам пальцев, смарт-карте и пин-коду).

Diamond ACS поддерживает Windows и Linux. Diamond ACS также может применяться в системах терминального доступа, построенных на базе терминальных служб Microsoft RDS и программного обеспечения Citrix (функционирующего на базе протокола ICA).

Комплекс обеспечивает возможность совместной работы со следующими СЗИ и СКЗИ:

• по части обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений — Diamond VPN/FW,
• для хранения ключевой и идентифицирующей информации — JaCarta (производства ЗАО «Аладдин Р.Д.»).

Подробнее с продуктом можно ознакомиться на сайте разработчика.

Выводы

Мы рассмотрели российский рынок сертифицированных средств защиты информации от несанкционированного доступа для конечных точек, рассказали, каким требованиям должны соответствовать СЗИ от НСД, а также обозначили основных игроков российского рынка СЗИ от НСД.

Основным драйвером рынка сертифицированных СЗИ от НСД является необходимость выполнения требований действующего законодательства и нормативных актов в области защиты информации (защита персональных данных, защита государственных информационных систем, защита государственной тайны).

Хотя изначально СЗИ от НСД создавались применительно к решению задач усиления встроенных в операционные системы механизмов защиты, современные продукты этого класса эволюционируют в сторону комплексной защиты конечных точек сети от внешних и внутренних угроз, где функциональность СЗИ от НСД является лишь одной из составляющих.

К наиболее популярным в России продуктам можно отнести Secret Net Studio, «Аккорд», Dallas Lock, «Блокхост-сеть», Diamond ACS, «Панцирь», «Страж NT», «Аура» и «Фантом».

Среди комплексных решений для защиты автоматизированных рабочих мест и серверов можно выделить продукты Dallas Lock ЦЗИ «Конфидент» и Secret Net Studio компании «Код Безопасности». Помимо стандартных функций СЗИ от НСД у этих решений есть персональный межсетевой экран, система обнаружения вторжений. Secret Net Studio включает антивирусный модуль на базе антивирусного ядра ESET, а также планируется интеграция с Kaspersky Anti-Virus.

О плюсах и минусах рассмотренных систем в данном обзоре говорить не будем. Чтобы подробно разобраться в преимуществах той или иной системы, в дальнейшем мы проведем детальное сравнение сертифицированных СЗИ от НСД.

Продолжаем тему подсистем по версии ФСТЭК.

Одна из самых богатых на сертификаты от ФСТЭК подсистем – это подсистема защиты от НСД. Условно сертифицированные средства можно разделить на «Встроенные» и «Наложенные».

Встроенные системы защиты от НСД присутствуют в:

1. Windows XP
2. Windows Vista
3. MS Office 2007
4. Oracle 9i
5. Red Hat

Продукты сертифицированы на применение в ИСПДн до 2 класса включительно. Обращу ваше внимание, что если у вас стоит, например, Windows Vista лицензионный, то это вовсе не означает, наличие у него сертификата. Будьте внимательны.

Что касается наложенных средств, то тут все интереснее. Так как бОльшая часть операторов персональных данных уже имеют свои ИСПДн, которые в 99,9% не сертифицированы. Поэтому им необходимо «обвешивать» свои дорогостоящие системы дополнительными сертифицированными средствами, чтобы удовлетворить требованиям регуляторов.

Из наложенных выделим:

1. Панцирь-С
2. Dallas Lock 7.5
3. Аккорд
4. SecretNet
5. Zlock 1.3
6. eSafe 6

Панцирь-С и Dallas Lock 7.5 сертифицированы на использования в ИСПДн до 1 класса включительно , Аккорд и SecretNet вообще до гостайны, а Zlock и eSafe сертифицированы на применение в ИСПДн до 2 класса включительно.

Подробный реестр сертифицированных средств защиты информации находится на сайте ФСТЭК.

Конечно, в таком деле как подбор сертифицированных средств, есть масса тонкостей. Например, необходимо смотреть, на что именно сертифицировано средство; выдавался сертификат на партию или серию и т.д. Одним словом подбор средств остается нетривиальной задачей. Более того конфликты технических средств также не исключены, поэтому если ваша компания решила подбирать средства самостоятельно, то рекомендую действовать по принципу: Look before you leap/Семь раз отмерь один раз отрежь.