Доверенная загрузка - Форум по вопросам информационной безопасности

To Практик:
"Здесь надо проводить соответствующую оценку, учитывать возможности потенциального нарушителя, условия функционирования и пр. " Эта оценка называется сертификацией. Набор требований к СЗИ прописан в документах ФСТЭК и в сертификате пишется, какому классу и пр. СЗИ соответствует. Если у Вас есть основания не доверять сертификату, то необходимо обращаться во ФСТЭК, а не на форум."

Я писал про оценку не в плане оценки соответствия СЗИ требованиям безопасности, а про характеристики ОИ. Факторы, влияющие на выбор СЗИ того или иного типа, могут быть самыми разными, и как раз зависят от характеристик ОИ. Поэтому необходимо учитывать требования Технических условий СЗИ.

Уважаемый коллеги!
Немного офтоп, но тем не менее тоже касается доверенной загрузки - является ли наличие сертификата соответствия ФСТЭК и голографического знака обязательным для средства доверенной загрузки при аттестации АС по 1г? Казалось бы очевидный ответ "да" не является очевидным как оказалось :)) наш поставщик СЗИ уверяет что раз в РД ФСТЭК по требованиям к АС в графе применение сертифицированных СЗИ стоит прочерк то это значит в АС класса 1г применение сертифицированный СЗИ не обязательно..моя ссылка на пункт 2.16 СТРК и п. 5.1.3. позиция 11 не возымели действия....дело осложняется тем что данную АС буду я же и аттестовывать :) помогите найти аргументы в пользу наличия сертификата или я не прав и сертификат не нужен (хотя если это так то моя вера в человесество и ФСТЭК уже больше не будет прежней;)) заранее спасибо :)

Genomm | 54934

Встречный вопрос. А зачем Вам средства доверенной загрузки для класса 1Г? Требований обязательности доверенной загрузки для АС в НМД нет. Они появились только в 21 и 17 приказах в базовых мерах для соответственно 1 и 2 уровней защищенности ПДн, или 1 и 2 классов защищенности ГИС, причем обязательность использования сертифицированных СЗИ прописана только для ГИС в 17 приказе ФСТЭК.

Для Игоря. Вы не поверите но НИГДЕ в РД АС нет упоминания про именно "доверенную загрузку ОС" даже для более высоких классов чем 1Г :) Посмотрите ГОСТ РО 0043—00 2013 "Защита информации. аттестация ОИ. Программа и методика" Приложение Д. Пункт Д.6.4.2.4 "Проверка средств загрузки операционной системы АС в обход подсистемы идентификации и аутентификации" там очень хорошо написано для чего это надо .

Для чего надо понятно.
Но ГОСТ не обязателен и ТРЕБОВАНИЙ нет!

Многоуважаемый Sekira, я повторюсь, но если исходить из написанного в РД по НСД то требований к доверенной загрузке нет ни для одного класса АС...но во вех комплексах СЗИ от НСД используемых для гос. тайны данный механизм обеспечен (секрет нет,акорд,страж и т.д.) и для чего это сделано как вы сами написали "понятно"...но если нет требований то к чему такие сложности ? ;) ...или все таки есть кроме требований РД ФСТЭК еще и банальная логика :)

И прости те но опять же...куча сертифицированного софта под 1 Г,всякие ОС и СУБД... к чему это все если нет требований по наличию сертифицированных СЗИ!?

И прости те но опять же...куча сертифицированного софта под 1 Г,всякие ОС и СУБД... к чему это все если нет требований по наличию сертифицированных СЗИ!?

to Андрей, ОКБ САПР

"Традиционно, данное требование выполняется аппаратными модулями доверенной загрузки"

"Тут главное ответить на вопрос: как проконтролировать целостность самого программного СЗИ НСД, чтобы можно было доверять результатам его работы и не впасть в рекурсию?"

В начале года появилась информация, что ФСТЭК сертифицировал модуль доверенной загрузки ALTELL TRUST (без аппаратной реализации), разработанный Российской компанией «АльтЭль».

ALTELL TRUST функционирует на уровне базовой системы ввода-вывода (UEFI BIOS) российской разработки, благодаря чему ему не требуется установка дополнительной платы аппаратного замка. По этой причине ALTELL TRUST невозможно извлечь из защищаемого устройства, а специальный механизм защищает BIOS от перезаписи злоумышленниками. Высокий класс защиты позволяет использовать ALTELL TRUST для защиты информации, составляющей коммерческую или государственную тайну, в автоматизированных системах с классом защищенности до 1Б включительно (до уровня «совершенно секретно»).

Я думаю, что имеют право на существование оба варианта реализации средства доверенной загрузки: аппаратный и программный. Здесь уже вопрос цены закупки и внедрения в ИС.

> В начале года появилась информация, что ФСТЭК сертифицировал модуль доверенной загрузки ALTELL TRUST (без аппаратной реализации),

Вообще-то это чип EEPROM, припаиваемый к материнской плате. Сертификат выдан на прошивку чипа. Чисто программных средств доверенной загрузки не бывает.