Доверенная загрузка - Форум по вопросам информационной безопасности

Здравствуйте. При защите информации составляющей ГТ, обязаны ли мы реализовать меры по обеспечению доверенной загрузки? Если да, то каким документом это регламентируется. Спасибо.

Пока нет.
Те средства НДВ, что сертифицированы до 2014 (и не прописано обязательное применение СДЗ), применяются согласно документации на них.
При продлении сертификата скорее всего требование применения СДЗ добавят..

Без СДЗ злоумышленник имеет возможность запуска нештатной ОС с любого носителя информации, разве это не большое упущение в защите? Таким образом злоумышленнику предоставляется возможность скомпрометировать или уничтожить информацию с жд.

"Без СДЗ злоумышленник имеет возможность запуска нештатной ОС с любого носителя информации, разве это не большое упущение в защите? Таким образом злоумышленнику предоставляется возможность скомпрометировать или уничтожить информацию с жд"
А вы это регулятору скажите... мы то все за.

Замками и дверьми.

to Ликёр:

Посмотрите руководящий документ ФСТЭК "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".

Процитирую требования для АС 1В:

"...Подсистема обеспечения целостности:
должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды...."

Традиционно, данное требование выполняется аппаратными модулями доверенной загрузки.

Андрей, ОКБ САПР | 54866

"...Подсистема обеспечения целостности: должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды...."

Традиционно, данное требование выполняется аппаратными модулями доверенной загрузки."

Очень спорное утверждение. Какое отношение доверенная загрузка имеет к обеспечению целостности программных средств СЗИ НСД и неизменности программной среды? Понятно, что в продукте ОКБ САПР АМДЗ "Аккорд" проводится проверка целостности компонентов СЗИ. Но есть и другие сертифицированные СЗИ НСД, где целостность обеспечивается и без аппаратных модулей доверенной загрузки. Например, DL8.0-C

А можно по подробней про СДЗ, от куда "ноги" ростут, ну чтоб быть в курсе?

to Игорь:

1. Доверенная загрузка имеет такое отношение, что она попросту подразумевает контроль целостности программных средств СЗИ НСД и программной среды. Поэтому зачастую аппаратные модули доверенной загрузки используются для реализации этой меры. При этом понятно, что это не единственная их функция.

2. Безусловно, существуют не только аппаратно-программные, но и программные СЗИ НСД, для которых декларируется возможность выполнения контроля целостности программной среды. Весь вопрос в том, каков набор угроз, направленных на несанкционированную модификацию программной среды, может быть заблокирован с помощью того или иного СЗИ НСД. Здесь надо проводить соответствующую оценку, учитывать возможности потенциального нарушителя, условия функционирования и пр. Конечно, можно легко предположить существование информационных систем, в которых для контроля целостности программной среды будет достаточно использования и программного СЗИ НСД, спору нет. Если с помощью программного СЗИ НСД можно заблокировать все признанные актуальными угрозы, почему нет? Тут главное ответить на вопрос: как проконтролировать целостность самого программного СЗИ НСД, чтобы можно было доверять результатам его работы и не впасть в рекурсию?

"Здесь надо проводить соответствующую оценку, учитывать возможности потенциального нарушителя, условия функционирования и пр. "

Эта оценка называется сертификацией. Набор требований к СЗИ прописан в документах ФСТЭК и в сертификате пишется, какому классу и пр. СЗИ соответствует.
Если у Вас есть основания не доверять сертификату, то необходимо обращаться во ФСТЭК, а не на форум.

Существует Информационное письмо ФСТЭК России от 06.02.2014 N 240/24/405 "Об утверждении Требований к средствам доверенной загрузки" по применению Приказа ФСТЭК России от 27.09.2013 N 119 (о СДЗ). Ни этим письмом, ни другими НМД ФСТЭК, ранее выданные сертификаты на СЗИ без аппаратных СДЗ не отменены.

Андрей, ОКБ САПР, не забывайте, что вы выпускаете СЗИ потоком, а на каждом ОИ стоит одно (или несколько) и на несколько лет. Внезапная замена - это большие затраты времени, усилий и средств. Поэтому выбор будущего оснащения и неприемлемость применения не всегда совпадают.