Контакты
Подписка
МЕНЮ
Контакты
Подписка

Доверенная загрузка - Форум по вопросам информационной безопасности

Доверенная загрузка - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 3 4 >

Автор: Ликёр | 54785 12.12.2014 13:30
Здравствуйте. При защите информации составляющей ГТ, обязаны ли мы реализовать меры по обеспечению доверенной загрузки? Если да, то каким документом это регламентируется. Спасибо.

Автор: Практик | 54791 12.12.2014 14:02
Пока нет.
Те средства НДВ, что сертифицированы до 2014 (и не прописано обязательное применение СДЗ), применяются согласно документации на них.
При продлении сертификата скорее всего требование применения СДЗ добавят..

Автор: Ликёр | 54797 12.12.2014 14:28
Без СДЗ злоумышленник имеет возможность запуска нештатной ОС с любого носителя информации, разве это не большое упущение в защите? Таким образом злоумышленнику предоставляется возможность скомпрометировать или уничтожить информацию с жд.

Автор: sekira | 54802 12.12.2014 14:56
"Без СДЗ злоумышленник имеет возможность запуска нештатной ОС с любого носителя информации, разве это не большое упущение в защите? Таким образом злоумышленнику предоставляется возможность скомпрометировать или уничтожить информацию с жд"
А вы это регулятору скажите... мы то все за.

Автор: Voithe | 54804 12.12.2014 15:08
Замками и дверьми.

Автор: Андрей, ОКБ САПР | 54866 15.12.2014 17:22
to Ликёр:

Посмотрите руководящий документ ФСТЭК "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".

Процитирую требования для АС 1В:

"...Подсистема обеспечения целостности:
должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды...."

Традиционно, данное требование выполняется аппаратными модулями доверенной загрузки.

Автор: Игорь | 54873 16.12.2014 09:14
Андрей, ОКБ САПР | 54866

"...Подсистема обеспечения целостности: должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды...."

Традиционно, данное требование выполняется аппаратными модулями доверенной загрузки."

Очень спорное утверждение. Какое отношение доверенная загрузка имеет к обеспечению целостности программных средств СЗИ НСД и неизменности программной среды? Понятно, что в продукте ОКБ САПР АМДЗ "Аккорд" проводится проверка целостности компонентов СЗИ. Но есть и другие сертифицированные СЗИ НСД, где целостность обеспечивается и без аппаратных модулей доверенной загрузки. Например, DL8.0-C

Автор: Евгений, ОАО "Три дровосека" | 54884 17.12.2014 05:18
А можно по подробней про СДЗ, от куда "ноги" ростут, ну чтоб быть в курсе?

Автор: Андрей, ОКБ САПР | 54890 17.12.2014 10:17
to Игорь:

1. Доверенная загрузка имеет такое отношение, что она попросту подразумевает контроль целостности программных средств СЗИ НСД и программной среды. Поэтому зачастую аппаратные модули доверенной загрузки используются для реализации этой меры. При этом понятно, что это не единственная их функция.

2. Безусловно, существуют не только аппаратно-программные, но и программные СЗИ НСД, для которых декларируется возможность выполнения контроля целостности программной среды. Весь вопрос в том, каков набор угроз, направленных на несанкционированную модификацию программной среды, может быть заблокирован с помощью того или иного СЗИ НСД. Здесь надо проводить соответствующую оценку, учитывать возможности потенциального нарушителя, условия функционирования и пр. Конечно, можно легко предположить существование информационных систем, в которых для контроля целостности программной среды будет достаточно использования и программного СЗИ НСД, спору нет. Если с помощью программного СЗИ НСД можно заблокировать все признанные актуальными угрозы, почему нет? Тут главное ответить на вопрос: как проконтролировать целостность самого программного СЗИ НСД, чтобы можно было доверять результатам его работы и не впасть в рекурсию?

Автор: Практик | 54892 17.12.2014 12:15
"Здесь надо проводить соответствующую оценку, учитывать возможности потенциального нарушителя, условия функционирования и пр. "

Эта оценка называется сертификацией. Набор требований к СЗИ прописан в документах ФСТЭК и в сертификате пишется, какому классу и пр. СЗИ соответствует.
Если у Вас есть основания не доверять сертификату, то необходимо обращаться во ФСТЭК, а не на форум.

Существует Информационное письмо ФСТЭК России от 06.02.2014 N 240/24/405 "Об утверждении Требований к средствам доверенной загрузки" по применению Приказа ФСТЭК России от 27.09.2013 N 119 (о СДЗ). Ни этим письмом, ни другими НМД ФСТЭК, ранее выданные сертификаты на СЗИ без аппаратных СДЗ не отменены.

Андрей, ОКБ САПР, не забывайте, что вы выпускаете СЗИ потоком, а на каждом ОИ стоит одно (или несколько) и на несколько лет. Внезапная замена - это большие затраты времени, усилий и средств. Поэтому выбор будущего оснащения и неприемлемость применения не всегда совпадают.

Страницы: 1 2 3 4 >

Просмотров темы: 24290

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*