Windows - как средство защиты! - Форум по вопросам информационной безопасности

Спасибо за ясный ответ.
теперь осталось просчитать целесообразность и экономический эффект от построения системы защиты ПД в этом ключе...

То что перечислили можно решить или орг. мерами или дополнительным ПО (для XP, но не для Vista). Для 1Г.

Экономический эффект, это сразу говорю дороже от 1,5 до 2 раз по сравнению с программными СрЗИ, т.к. ср. доверенной загрузки стоят как СрЗИ и дороже, но плюс стоимость комплекта сертификации на ОС.

Орг. меры - Да можно, но для небольших систем, а именно при загрузке ОС рядом должен стоять адм. безопасности и ждать пока пользователь штатно загрузиться.

Дополнительное ПО, так сразу не вспомню, но Информзащита разрабатывает программный аналог модуля доверенной загрузки. Главное помнить, что оно должно быть сертифицировано.

"Орг. меры - Да можно, но для небольших систем, а именно при загрузке ОС рядом должен стоять адм. безопасности и ждать пока пользователь штатно загрузиться."

Учитывая, что в данном случае нужны именно шашечки, а вовсе не "ехать", то решение вполне возможное :)

"Для АС класса защищенности - 1Д и ИСПДн - К3, достаточно."
Т.е. для К3 - не нажна доверенная загрузка? В Методических рекомендациях не могу найти подтверждения...

Экономический эффект как раз от применения сертиф-й ОС, т.к. сертиф. средство довер-й загрузки и программа контроля идут в комплекте.

to Den

Как таковая доверенная загрузка явно не предусмотрена в РД на АС и МД на ПДн, но раз сам поставщик данного продукта заявляет об этом в свой документации - значит это его требования и их надо выполнять. В противном случае эксплуатация данного СрЗИ для заявленного класса защищенности будет не соответствовать эксплуатационной документации, а это нарушения "Положения ...", утв. 781 ПП РФ (п. 12 г), з) ).

Средства доверенной загрузки осуществляют контроль целостности до загрузки ОС, а РД АС и МД ПДн предусматривают - при загрузке ОС, т.е. можно считать их дополнительными средствами. Но в случае загрузки в безопасном режиме прилагаемый модуль конт. целостности может не отработать (сейчас проверю на стенде, позже отпишусь) и тем самым не выполняется требования РД и МД.
Но данное средство необходимо в любом случае, если у Вас в соответствии с моделью угроз актуальны угрозы - "Угрозы, реализуемые в ходе загрузки ОС", которые как раз и направленны на загрузку в др. режимах и пр. (см. "Базовая модель угроз..." п.5.3.)

to CraftBizon

Не совсем так, только модуль контроля целостности идет в комплекте (XP_Check и пр.), при этом прошу заметить, что о нем ни какого упоминания в самом сертификате на соответствия нет. А "Положение о сертификации средств защиты ...", утв. Гостехкомиссией 1995 г. предусматривает отдельную сертификацию - "Программ контроля целостности информационных массивов".

А про средства доверенной загрузки я уже сказал - это отдельные, почти всегда аппаратно-программные вещи (платы PCI и пр.). В самой документации на эту ОС говорится о том, что это должны быть отдельные сертифицированные средства (см. выше).
Поэтому закупать надо и комплект сертификации ОС и средства дов. загрузки.
При этом еще раз обращаю внимание на то, что это касается только русскоязычных дистрибутивов, официального изготовления (скаченные с сайта MS не подойдут). А большинство компаний использует англоязычные серверные ОС.

В РД АС Классификация АС и требования по ЗИ в таблице для 1Г для сертифицированного средства контроля целостности стоит минус (Использование сертифицированных средств защиты). В комплекте идет СЗИ серт 925/3. Когда первый раз применял это решение ездил на консультацию во ФСТЭК. Аккорд проверенное, но консервативное решение. Согласен, что решение с серт. ОС больше подходит для вновь создаваемых АС, т.к. сразу покупаетмся ОС какая нужно.

to CraftBizon

Если Вы строите АС и/или ИСПДн, которая в последствии должна пройти процедуру оценки соответствия (аттестацию), то все используемые средства должны быть сертифицированы по требованиям безопасности информации (сист. сертификации (№ РОСС RU.0001.01БИ00), если аттестация не стоит как задача, то тогда - да можно не сертифицированные средства.

Подтверждения сертификации (для случая проведения в конце аттестации)
"СТР-К", 2002 г.
п. 2.16. Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации.
п. 2.17. Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами Гостехкомиссии России и требованиями настоящего документа.

"Положение по аттестации объектов информатизации ...", 1994 г.
п. 3.4.2. Испытания отдельных несеpтифициpованных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации проводятся до аттестационных испытаний объектов информатизации.
В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.

МД по ПДн "Основные мероприятия ..."
п. 3.3. Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

И в том же СТР-К и МД сказано, что если Вы не используете сертифицированные технические, программные и программно-технические средств защиты информации, то необходима сертификация по требованиям безопасности информации программных средств защиты информации (в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации, т.е. Вы сами создали что-то или что-то штатное).

Поэтому если есть планы на аттестацию, то только сертифицированные СрЗИ.

to CraftBizon

Сертификат № 925/3 это на электронный ключ eToken PRO и eToken Windows Logon (ПАК усиления функций безопасности ОС MS Windows XP Professional - электронный ключ eToken PRO и eToken Windows Logon на соответствие заданию по безопасности по ОУД1 (усиленный) ) и идет он в комплекте "Полный пакет" http://www.altx-soft.ru/groups/page-29.htm , но надо понимать что это отдельное средство, а не часть серт. ОС, вместо него так может идти и другое средство.
Продавец делает такой набор (солянку):
- модуль контр. целостности
- Device Lock (контроль портов ввода вывода)
- eToken Windows Logon + USB-ключи eToken PRO