Доверенная загрузка - Форум по вопросам информационной безопасности

Но это же не сторонний аппаратный модуль, а как вы сами сказали прошивка.

А по поводу, что чисто программных средств доверенности загрузки не бывает, а как же Dallas lock, который является чисто программным средством?

> Но это же не сторонний аппаратный модуль, а как вы сами сказали прошивка.

Медленно и два раза: это микросхема, которую, что бы она смогла контролировать загрузку, нужно припаять к материнской плате. Причем сертифицирована не вся микросхема, а только заливаемый ей внутре программный код.

> а как же Dallas lock, который является чисто программным средством?

Методом незнания потребителем предметной области :)

Вы радостно покупаете сертифицированное (когда его сертифицируют - пока у DL такого сертификата нет) СДЗ уровня загрузочного сектора, используете его, и при проверке получаете замечание по поводу невыполнения требований к доверенной загрузке. Внимательно смотрите на профиль защиты для СДЗ уровня загрузчной записи, обнаруживаете в нем требование: "В среде, в которой функционирует СДЗ, должны быть реализованы следующие функции безопасности среды: ... защита от отключения (обхода)". Чешете репу и идете думать, как выполнить это требование без использования аппаратной блокировки альтернативных способов загрузки защищаемого компа :)

Для DL доверенная загрузка - просто дополнительный бантик к основному функционалу, поэтому Конфидент не парятся. Средства, предназначенные именно для доверенной загрузки используют аппаратные составляющие.

Извиняюсь за некропостинг (поднимание старых тем), но по-существу:
1. Для ГТ по закону возможно применять только СДЗ уровня платы (АПМДЗ Аккорд, Соболь, Криптон и т.п.) или уровня BIOS (Kraftway-BIOS, AltellTRUST и т.п.). Чем чревато перешивание BIOS (UEFI), думаю, объяснять не нужно. Платы, в свою очередь, возможно "воткнуть" далеко не во всю технику. В частности, за спиной сейчас стоит системный блок на базе мат.платы ASUS A58M-K с китайским UEFI, которое ни Соболь, ни Аккорд-АМДЗ воспринимать не хочет ни под каким соусом.
2. Для ГТ по закону нельзя использовать СДЗ уровня загрузочной записи (СТРАЖ, DallasLock). Однако, поскольку в РД ГТК от НСД, на базе которого до сих пор идет защита ГТ в стране, нет ни слова про доверенную загрузку - постольку использование СЗИ НСД, имеющего сертификат под соответствующий класс СВТ и контроль НДВ - достаточная мера для аттестации объекта. Опять же по закону, а не по логике, как ранее уже говорилось (про угрозы за счет обхода штатной загрузки и т.д.)

При этом, по факту окончания срока действия сертификата соответствия на СТРАЖ и DL - при продлении сертификатов они не получат приписку как средство доверенной загрузки под ГТ. Вот у Соболя уже появился новый сертификат как СДЗ. У Secret Net, соответственно, будет 2 сертификата: как СЗИ НСД (СВТ и НДВ) и как СДЗ при условии использования Соболя или платы SNTouchMemoryCard.

ВЫВОД: СТРАЖ и DL на объектах ГТ достаточно для выдачи аттестата соответствия, не касаясь вопросов доверенной загрузки. Вплоть до момента, когда ФСТЭК России переделает СТР и нормативку по СЗИ НСД, где русским по белому будет сказано, что для АС 2А и выше требуется доверенная загрузка. И тогда нам останутся только платы или BIOS.
В случае КОНФИ, ПДн и ГИС - можно использовать любое СДЗ (или функционал доверенной загрузки СТРАЖ или DL). Для КОНФИ вообще не обязательно (по желанию). Для ПДн и ГИС - только под 2 и 1 уровни (классы) защищенности.

Прибавим сюда также требования небезызвестной Инструкции об обязательном "отчуждении и сдаче в рсп" всех машинных носителей по окончанию сеанса работы. Тогда СДЗ в ГТ вообще не требуется, ибо машинный носитель, с которого производится загрузка и на котором хранится защищаемая информация, в нерабочий период времени отсутствует в составе АС. При этом объекты, на которых рассматривается внутренний нарушитель для ГТ (т.е. опасность нахождения носителя в АС в рабочий период времени), встречаются крайне редко.
ВЫВОД для перестраховщиков, у которых СТРАЖ или DallasLock: использовать один НЖМД в качестве устройства хранения информации + мобильное шасси + комплект инструкций режимного характера.

ЗЫ Механизм доверенной загрузки в DL8.0-C, кстати, слабоват. Имеет право на существование с позиции безопасности только при условии полного "кодирования" всего пространства НЖМД, что, по понятным причинам, далеко не всегда реализуемо и допустимо.
В СТРАЖ3.0 подобный механизм реализован много удачнее с позиции безопасности, но хуже с позиции срока жизни НЖМД.
Имею в виду не "прочность" подсистемы и алгоритмов кодирования (тут DL8.0-C выигрывает за счет ГОСТ), а саму логику работы механизма доверенной загрузки.

У Secret Net, соответственно, будет 2 сертификата: как СЗИ НСД (СВТ и НДВ) и как СДЗ при условии использования Соболя или платы SNTouchMemoryCard.

с первым понятно, а что за второй сертификат? + у Соболя есть ограничения при совместном использовании с SN в ГТ.

"Для ГТ по закону нельзя использовать СДЗ уровня загрузочной записи"

Если вы это утверждаете, сразу же давайте ссылку на этот закон, иначе пишите так:
"Для ГТ, как мне кажется, нельзя использовать СДЗ уровня загрузочной записи"

to simm
Есть информация (источник не стану указывать), что при окончании сертификата на SN будет его перевыпуск с припиской о выполнении требований по доверенной загрузке при использовании SNTouchMemoryCard или ПАК "Соболь". Немного некорректно указал, что будет именно 2 сертификата. Тут надо иметь в виду, что у Кода Безопасности уже есть TrustedLoader (защита НЖМД), который рассматривается как СДЗ не для ГТ.

to Автор
Понял, в дальнейшем буду прилагать ссылки. Не хотел перегружать и без того длинный пост доп. материалами, которые, как мне кажется, должны быть известны участникам данного форума.
Требования ФСТЭК России по СДЗ: http://fstec.ru/component/content/article?id=793:informatsionnoe-pismo-fstek-rossii1. См. таблицу профилей защиты и указание, что СДЗ для ГТ возможны только 3, 2 и 1 классов.

Кстати, забавно, что в приведенном выше официально опубликованном информационном письме в таблице фигурирует "Тип системы обнаружения вторжений", хотя речь об СДЗ. Набирали "по шаблону", вестимо :)

"Понял, в дальнейшем буду прилагать ссылки. Не хотел перегружать и без того длинный пост доп. материалами, которые, как мне кажется, должны быть известны участникам данного форума. Требования ФСТЭК России по СДЗ: http://fstec.ru/component/content/article?id=793:informatsionnoe-pismo-fstek-rossii1. См. таблицу профилей защиты и указание, что СДЗ для ГТ возможны только 3, 2 и 1 классов. "

Не хочу показаться занудой, но в приведенной вами ссылке опять же нет никаких требований для обязательного использования СДЗ. Я как заказчик могу использовать чисто программное средство защиты для защиты ГТ, помимо ОВ.

Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.

Хм... тут не занудство, а, скорее, буквоедство получается. Давайте еще раз.
Для ГТ вообще пока никем не обосновано обязательное применение СДЗ. Это уже обсуждалось тут с отсылкой на действующий поныне комплект РД ГТК (ФСТЭК) от НСД.
Тем не менее, имеем "Требования", которые, естественно, были разработаны и фактически предназначены для организаций-производителей и организаций-сертификаторов, потому как в них (в Требованиях и метод-документах Профилей) указаны нормы, которые продукция-СДЗ должна выполнять, а также конкретика выполнения этих норм.
Вы, как заказчик, вольны купить любое СДЗ или любую СЗИ НСД, не имеющую сертификата по СДЗ (это СЗИ, на которые сертификаты сейчас действительны и были выданы до вступления Требований в силу, аля DallasLock). Дальше алгоритм такой:
1. Если вы обеспечиваете этим СЗИ доверенную загрузку (в документах по ГТ это у вас явно прописано, а для ПДн и ГИС вы просто обязаны на 2 и 1 уровнях-классах защищенности), то на каком основании? Смотрим в сертификат на вашу СЗИ (СДЗ).
2. Если в сертификате про доверенную загрузку ничего не сказано - вы этим СЗИ ничего подобного обеспечить не можете. Конец алгоритма - ставим иное СЗИ или отказываемся от употребления словосочетания "доверенная загрузка" в документах по ГТ. Хотя при отказе имеется риск нарваться на проверяющих, которые по-своему понимают вопрос доверенной загрузки в ГТ. Дальнейшие этапы "разборок" выходят за рамки настоящего алгоритма...
3. Если в сертификате сказано про доверенную загрузку - обращаемся к Требованиям.
4. Если в сертификате сказано про соответствие 6, 5 или 4 классу защиты СДЗ, а объект под ГТ - опять-таки конец алгоритма (см. вывод по п.3 алгоритма).
5. Если в сертификате сказано про соответствие 3, 2 или 1 классу защиты + объект под ГТ, то сравниваем класс СДЗ с классом АС. При совпадении - все хорошо. Иначе опять-таки конец алгоритма.
И для внесения полной ясности: СДЗ уровня загрузочной записи по Требованиям не могут быть сертифицированы под классы 3, 2 или 1. Следовательно, их применение для защиты объектов под ГТ не допускается.