- Описание продукта
- Введение
- Информация о сертификации
- Ключевые особенности
- Работа с продуктом
- Решите проблемы безопасности быстро и эффективно
- Сертифицированная система защиты информации в виртуальных инфраструктурах dallaslock.
- Сертифицированная система защиты информации от несанкционированного доступа dallaslock 8.0-к
- Сертифицированная система защиты информации от несанкционированного доступа dallaslock 8.0-с
- Система защиты конфиденциальной информации от несанкционированного доступа dallaslocklinux.
- Средство доверенной загрузки dallaslock
Описание продукта
Средство контроля съемных машинных носителей информации (СКН) Dallas Lock — сертифицированный модуль в составе СЗИ Dallas Lock 8.0. Обеспечивает контроль использования интерфейсов ввода/вывода средств вычислительной техники, подключения внешних программно-аппаратных устройств.
Введение
Одна из важных составляющих работ по обеспечению безопасности информационных систем —защита рабочих станций и серверов от несанкционированного доступа. И первым рубежом защиты любой компьютерной системы является обеспечение доверенной загрузки вычислительной среды. Для этого существует специальный класс средств — модули доверенной загрузки.
Модули доверенной загрузки операционной системы применяются уже более 20 лет, и сегодня этот класс средств защиты не теряет свою актуальность. Продукты этого типа являются «первым эшелоном защиты» вычислительных систем, и именно на них возлагаются задачи контроля доступа пользователей, контроля целостности программной среды и аппаратных ресурсов компьютерной системы.
Необходимость применения средств доверенной загрузки также отражена и в нормативных документах ФСТЭК России — согласно Приказам № 17 и 21, в государственных информационных системах 1 и 2 классов и в информационных системах персональных данных, при необходимости обеспечения 2 и выше уровня защищенности персональных данных, данная мера является базовой.
В данном обзоре мы расскажем о новом продукте в линейке средств защиты информации компании ООО «Конфидент» — средстве доверенной загрузки (СДЗ) Dallas Lock (версия сборки: 91).
Рисунок 1. Средство доверенной загрузки Dallas Lock
Информация о сертификации
СОВ Dallas Lock поставляется только в комплекте с СЗИ НСД DallasLoсk 8.0 и сертифицирован в соответствии с требованиям ФСТЭК России к средствам обнаружения и предотвращения вторжений, в составе СЗИ НСД Dallas Loсk 8.0.
для редакции 8.0-К — сертифицировано по классу защиты СОВ ИТ.СОВ.У4.ПЗ;
для редакции 8.0-С — сертифицировано по классу защиты СОВ ИТ.СОВ.У4.ПЗ.
Сертификаты ФСТЭК России:
1. Для СЗИ НСД Dallas Loсk 8.0-К — № 2720 от 25 сентября 2021 г. Действителен до 25 сентября 2021 г.
2. Для СЗИ НСД Dallas Loсk 8.0-С — № 2945 от 16 августа 2021 г. Действителен до 16 августа 2021 г.
Ключевые особенности
полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC;
хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ;
полноценная поддержка UEFI;
поддерживается широкий спектр аппаратных идентификаторов;
контроль целостности загружаемой операционной системы;
разграничение доступа к управлению СДЗ;
датчик вскрытия корпуса (для варианта исполнения — PCIe «KT-500»);
наличие собственных часов с независимым источником питания (для варианта исполнения — PCIe «KT-500»);
поддержка разъема M.2;
централизованное управление.
Работа с продуктом
Инсталляция платы СДЗ Dallas Lock в системный блок осуществляется просто и быстро — плата вставляется в свободный слот PCI Express (Mini PCI Express, M.2), «сторожевой таймер» подключается к разъему Reset. Установка дополнительных программных модулей (агентов) в среду штатной ОС для СДЗ Dallas Lock не требуется.
Решите проблемы безопасности быстро и эффективно
В компании используются физические машины различного вида: ПК, ноутбуки, есть свой сервер. На некоторых СВТ установлены системные платы с UEFI BIOS. Нужно обеспечить доверенную загрузку СВТ с помощью единого решения.
Изделие выпускается в 3 различных форм-факторах для подключения к системной плате с помощью разъемов PCI Express, mini PCI Express или M.2, что подходит для установки в СВТ различного вида. СДЗ Dallas Lock поддерживает системные платы как с Legacy BIOS, так и с UEFI BIOS.
Необходимо выполнить требования ФСТЭК России по обеспечению доверенной загрузки СВТ
Нужно защитить АРМ от возможности загрузки не штатной ОС, а также изменения программного или аппаратного обеспечения АРМ.
Загрузка СДЗ Dallas Lock производится до загрузки штатной операционной системы. Изделие блокирует несанкционированные попытки загрузки НШОС, обеспечивает контроль целостности ПО и аппаратных компонентов АРМ. Перезагружает компьютер в случае попыток обхода механизмов защиты.
В компании осуществляется централизованное управление защищенными продукцией Dallas Lock компьютерами с помощью Сервера безопасности Dallas Lock. Необходимо включить компьютеры, защищенные СДЗ, в единый Домен безопасности
СДЗ Dallas Lock можно управлять с помощью Сервера безопасности Dallas Lock. Для централизованного управления СДЗ Dallas Lock на компьютерах, где уже установлены Dallas Lock 8.0 или Dallas Lock Linux, не требуется приобретение каких-либо дополнительных лицензий
Необходимо обеспечить контроль за физическим изменением конфигурации СДЗ и АРМ.
Для варианта исполнения СДЗ Dallas Lock PCIe «KT-500» есть возможность установки датчика вскрытия корпуса. При каждой загрузке СДЗ определяет целостность параметров собственной платы и конфигурации АРМ. При обнаружении изменений происходит блокировка загрузки ОС.
Необходимо производить учет несанкционированных действий пользователя для принятия оперативных мер
В СДЗ Dallas Lock производится автоматическая регистрация событий, относящихся к безопасности, в соответствующих журналах аудита. Реализована защита от несанкционированного уничтожения или модификации записей журнала аудита.
Нужно обеспечить полную независимость СДЗ от компонентов системы.
В СДЗ Dallas Lock реализовано хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ. Обеспечивается недоступность ресурсов СДЗ из штатной ОС после завершения работы СДЗ.
В организации принято решение об обязательной двухфакторной аутентификации пользователя при входе в ОС.
СДЗ Dallas Lock позволяет использовать следующие распространенные виды аппаратных идентификаторов: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), ESMART (ESMART Token, ESMART GOST) электронные ключи Touch Memory (iButton).
Сертифицированная система защиты информации в виртуальных инфраструктурах dallaslock.
Система защиты информации от несанкционированного доступа в виртуальных средах на базе VMware vSphere.
Сертифицированная система защиты информации от несанкционированного доступа dallaslock 8.0-к
Программный комплекс средств защиты конфиденциальной информации от несанкционированного доступа в локальных и сетевых АРМ под управлением ОС семейства Windows. СЗИ НСД DallasLock 8.0-К — сертифицированная система защиты конфиденциальной информации от несанкционированного доступа накладного типа. Предназначена для автономных персональных компьютеров и компьютеров в составе локально-вычислительной сети.
Сертифицированная система защиты информации от несанкционированного доступа dallaslock 8.0-с
Программный комплекс средств защиты конфиденциальной информации и информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, в локальных и сетевых АРМ под управлением ОС семейства Windows.
Система защиты конфиденциальной информации от несанкционированного доступа dallaslocklinux.
Программный комплекс средств защиты информации в ОС семейства Linux с возможностью подключения аппаратных идентификаторов.
Средство доверенной загрузки dallaslock
Решение уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, и иной информации с ограниченным доступом.
