СЗИ ВИ Dallas Lock прошла процедуру оценки соответствия 4 уровню доверия – CNews

На что должен обратить внимание заказчик при выборе решения

Правовые вопросы

В первую очередь при выборе решения следует обращать внимание на наличие сертификатов соответствия регуляторов для формального выполнения требований по безопасности.

Кроме того, необходимо оценить возможность использования, выбранного СЗИ в информационных системах (ИСПДн, ГИС, АСУ ТП и др.), так как сейчас такая возможность явно не указывается в сертификатах. Например, если подобранный антивирусный продукт будет сертифицирован только на соответствие ТУ, а не на соответствие профилям защиты для антивирусных средств, то применение такого продукта для закрытия мер защиты АВЗ.1 и АВЗ.2 в ГИС или ИСПДн будет нелегитимно.

Также должна быть обеспечена совместимость продукта со средой функционирования. Например, если СЗИ приобретается для установки на Windows 8, то возможность функционирования СЗИ в данной версии операционной системы должна быть обязательно отражена в Формуляре и Технических условиях. Иначе применение, как и в предыдущем случае, не обеспечит формального выполнения требований.

Еще стоит обратить внимание на сроки присутствия вендора и продукта на рынке.  Это напрямую связано с возможностью продления сертификатов и выпуском сертифицированных обновлений. Выбор в пользу разработчика с большим стажем на рынке и с достаточно «взрослым» решением снижает риски непродления сертификата, ухода продукта или вендора с рынка, а также может служить гарантией того, что продукт будет периодически обновляться.

Экономические аспекты

При выборе решения необходимо учитывать ценовую политику вендора и совокупную стоимость владения системой. Обратить внимание следует на:

• схему лицензирования;
• стоимость технической поддержки;
• условия перехода на более новые версии.

Если продукт с технической точки зрения сложный, то необходимо учесть стоимость внедрения продукта силами инженеров разработчика (интегратора) или обучения своих администраторов работе с СЗИ.

Технические показатели

С технической точки зрения необходимо уделить внимание следующим критериям:

• удобство и простота установки;
• для технически сложных решений оценить наличие услуг интеграции с привлечением инженеров вендора / системного интегратора или возможность обучения своих администраторов работе с СЗИ;
• для СЗИ от НСД, работающих в сетевом режиме, наличие возможности централизованного управления с помощью единой консоли;
• стабильность работы в процессе эксплуатации (можно определить с помощью демоверсии);
• наличие дополнительных полезных функций, помимо базовых механизмов защиты СЗИ от НСД;
• совместимость с другими технологиями и продуктами СЗИ;
• возможность масштабирования решения;
• наличие технической поддержки.

Следует обратить внимание на комплексные решения, когда продукт включает несколько типов СЗИ в виде модулей. Продукты разных вендоров плохо совместимы между собой, и, как правило, их одновременное применение приводит к нарушению функционирования и замедлению работы защищаемой системы.

Огромным плюсом также будет являться наличие решений у одного вендора для разных  операционных систем (Windows, Linux) и возможность управления всеми продуктами и компонентами с помощью единой консоли.  

Введение

Сертифицированные СЗИ от НСД сегодня особенно востребованы из-за необходимости выполнения требований действующего законодательства и нормативно-правовых актов в области защиты информации:

• Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992)).
• Постановление Правительства РФ от 01.11.2021 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Приказ ФСТЭК России от 11 февраля 2021 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
• Приказ ФСТЭК России от 18 февраля 2021 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Приказ ФСТЭК России от 14 марта 2021 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
• Закон Российской Федерации № 5485-I «О государственной тайне» от 21 июля 1993 г. и другие.

Для серверов и рабочих станций используются решения класса Endpoint Security. Типовой набор средств защиты включает в себя: классические средства, обеспечивающие разграничение доступа пользователей к ресурсам (СЗИ НСД), контроль портов, устройств, подключения съемных машинных носителей информации (СКН), средство доверенной загрузки (СДЗ), средство антивирусной защиты (САВЗ), персональный межсетевой экран (МЭ), систему обнаружения вторжений уровня узла (хоста)  (СОВ).

Каждый перечисленный тип СЗИ должен удовлетворять определенным требованиям руководящих и нормативных документов ФСТЭК России. На сегодняшний день можно выделить следующий перечень документов, на соответствие которым должны быть сертифицированы средства защиты информации:

Руководящие документы:

• Руководящий документ  «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Гостехкомиссия России, 1992 г. (для удобства в статье будем называть — РД СВТ).
• Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Гостехкомиссия России, 1992 г.  (для удобства в статье будем называть — РД НДВ).

Требования ФСТЭК России:

• Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2021 г. № 638.
• Требования к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2021 г. № 28.
• Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2021 г. № 119.
• Требования к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2021 г. № 87.
• Требования к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2021 г. № 9).¹
• Требования безопасности информации к операционным системам, утвержденные приказом ФСТЭК России от 19 августа 2021 г. № 119.

1Отдельно отметим, что согласно Информационному сообщению ФСТЭК России от 27.03.2021 г. «по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации» допускается применение межсетевых экранов, сертифицированных на соответствие РД МЭ (при условии наличия действующих сертификатов соответствия требованиям по безопасности). Подробности см. в Информационном сообщении ФСТЭК России.

Сделаем несколько пояснений. На соответствие требованиям РД СВТ обычно сертифицируются СЗИ от НСД для разграничения доступа пользователей к ресурсам компьютера. Кроме того, данные СЗИ обычно включают и подсистему контроля съемных носителей и сертифицируются на соответствие требованиям к СКН (Приказ № 87). Проверку на отсутствие НДВ может проходить программное обеспечение СЗИ всех типов.

Основные игроки российского рынка сзи от нсд в сегменте endpoint security

В настоящее время среди основных игроков рынка СЗИ от НСД в сегменте Endpoint Security можно выделить:

Таблица 1. Крупнейшие игроки рынка СЗИ от НСД и их сертифицированные решения класса Endpoint Security

Как видно из таблицы, наиболее комплексным решением Endpoint Security (включает больше всего сертифицированных модулей защиты) является линейка продуктов Dallas Lock Центра защиты информации компании «Конфидент». Рассмотрим ее более подробно.

2945 | сзи от нсд «dallas lock 8.0-c» | государственный реестр средств защиты информации фстэк 2021

Архитектура и системные требования сзи ви dallas lock

В архитектуре СЗИ ВИ Dallas Lock присутствуют три основных модуля, и в зависимости от компонента меняются требования к программно-техническому обеспечению:

Клиентская часть СЗИ Dallas Lock 8.0.

Обязательным условием во время развертывания инфраструктуры СЗИ ВИ Dallas Lock является установка клиентской части СЗИ Dallas Lock 8.0 на сервер виртуализации и сервер с установленным компонентом СБ ВИ Dallas Lock для предотвращения несанкционированного удаленного доступа к VMware vCenter.

Техническое средство с установленным VMware vCenter Server 5.5 должно иметь следующий состав и характеристики программно-технического обеспечения:

• ОС: Microsoft Windows Server 2008 R2 64-bit (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008) или Microsoft Windows Server 2021 64-bit (Foundation, Essentials, Standard, Datacenter);
• процессор: Intel или AMD с двумя логическими ядрами по 2 ГГц каждое;
• оперативная память: минимум 12 Гб;
• свободное место на диске: минимум 60 Гб;
• сетевая карта.

Клиентский модуль поддерживает большой список популярных операционных систем:

• Windows XP (SP3) (Professional, Home, Starter);
• Windows Server 2003 (SP2) (Web, Standard, Enterprise, Datacenter);
• Windows Server 2003 R2 (SP2) (Web, Standard, Enterprise, Datacenter);
• Windows Vista (SP2) (Ultimate, Enterprise, Business, Home Premium, Home Basic, Starter);
• Windows Server 2008 (SP2) (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008);
• Windows 7 (SP1) (Ultimate, Enterprise, Professional, Home Premium, Home Basic, Starter);
• Windows Server 2008 R2 (SP1) (Foundation, Standard, Web, Enterprise, Datacenter);
• Windows 8 (Core, Pro, Enterprise);
• Windows Server 2021 (Foundation, Essentials, Standard, Datacenter);
• Windows 8.1 (Core, Pro, Enterprise);
• Windows Server 2021 (R2) (Foundation, Essentials, Standard, Datacenter);
• Windows 10 (Enterprise, Education, Pro, Home).

Сервер безопасности виртуальной инфраструктуры (СБ ВИ) Dallas Lock, Консоль сервера безопасности (КСБ).

Данный модуль осуществляет управление сервером vCenter и доверенными клиентами управления vCenter.

Минимальная и оптимальная конфигурация компьютера для СБ ВИ Dallas Lock определяется требованиями к версии операционной системы Windows, на которую установлена клиентская часть СЗИ Dallas Lock 8.0, на сервере необходимо наличие сетевой карты и USB-порта для использования аппаратного идентификатора (RuToken, eToken), содержащего лицензионный ключ.

Агент СЗИ ВИ Dallas Lock.

Устанавливается на гипервизор VMware ESXi и является необходимым компонентом для защиты информации в виртуальной инфраструктуре. Агент СЗИ ВИ Dallas Lock разворачивается на гипервизоре VMware ESXi для выполнения части функций СЗИ на соответствующем гипервизоре.

Техническое средство с установленным гипервизором VMware ESXi 5.5 должно иметь следующий состав и характеристики программно-технического обеспечения:

• процессор: Intel или ADM с двумя логическими ядрами по 2ГГц каждое, только x64;
• оперативная память: минимум 8 Гб;
• свободное место на диске: минимум 60 Гб;
• сетевая карта.

Набор подключаемых модулейдля дополнительной защиты от угроз иб

Обеспечивается проверка пользователей при каждом входе в операционную систему и в консольное приложение управления СЗИ НСД.

В качестве интерфейса взаимодействия предоставляется консольная оболочка администрирования, доступ к которой ограничен и предоставляется только для администраторов безопасности.
При необходимости возможно использовать графическую оболочку администрирования, реализующую все возможности консольной оболочки администрирования, но имеющую интуитивно понятный интерфейс и набор инструментов, позволяющих упростить работу администратора СЗИ.

Обеспечивается контроль целостности аппаратной среды, целостность объектов файловой системы и целостность программных компонентов СЗИ НСД, а также восстановление целостности для программных компонентов средства защиты информации.

Производится регистрация событий и их группировка в зависимости от типов событий, подлежащих протоколированию, также задает степень детализации аудита и другие факторы.

Гарантирует предотвращение восстановления удаленных данных.

Реализуются собственные механизмы, направленные на контроль доступа пользователей в операционную систему и к защищаемым ресурсам – объектам файловой системы и устройствам.

Предназначен для защиты рабочих станций и серверов от несанкционированного доступа посредством осуществления контроля и фильтрации, проходящих через сетевые интерфейсы ПК сетевых пакетов в соответствии с заданными правилами.

Обеспечивает контроль использования интерфейсов ввода/вывода СВТ, подключения внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации.

Продуктовая линейка dallas lock центра защиты информации компании «конфидент»

Продуктовая линейка Dallas Lock Центра защиты информации компании «Конфидент» представлена современными средствами защиты информации для платформ Windows и Linux. Решения компании позволяют не только привести информационные системы в соответствие требованиям законодательства, но и создать их комплексную защиту благодаря таким уникальным возможностям, как наличие элементов функциональности DLP и SIEM систем, управления привилегированными пользователями, создание доверенной рабочей среды.

Продукты компании «Конфидент» применяются для защиты конфиденциальной информации и информации, составляющей государственную тайну до уровня «совершенно секретно» включительно, в АС до класса защищенности 1Б включительно, в ГИС всех классов защищенности и для обеспечения всех уровней защищенности ПДн. Предназначены для разграничения, защиты и контроля доступа, межсетевого экранирования.

Набор сертификатов соответствия ФСТЭК России для защиты конечных точек охватывает следующие решения:

• защита от несанкционированного доступа (НСД) для ОС Windows и Linux;
• персональный межсетевой экран (МЭ);
• система обнаружения и предотвращения вторжений (СОВ);
• средство контроля съемных машинных носителей информации (СКН);
• средство доверенной загрузки (СДЗ) уровня платы расширения;
• система защиты информации виртуальных инфраструктур (СЗИ ВИ) Dallas Lock (планируемый срок окончания сертификационных испытаний в системе ФСТЭК России — 2 квартал 2021 г.).

СЗИ от НСД Dallas Lock Linux — сертифицированная СЗИ от НСД накладного типа, предназначенная для защиты конфиденциальной информации, в том числе содержащейся в автоматизированных системах до класса защищенности 1Г включительно, в государственных информационных системах до 1 класса защищенности включительно, в информационных системах персональных данных для обеспечения 1 уровня защищенности ПДн, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно.

Ключевые особенности:

• Поддерживает широкий набор современных дистрибутивов ОС семейства Linux.
• Консоль удаленного управления СЗИ из ОС Windows и Linux.
• Сервис-ориентированная архитектура.
• Современный графический интерфейс (GUI).
• Универсальная лицензия.

СЗИ Dallas Lock 8.0 (НСД, СКН) — сертифицированная система защиты информации накладного типа для автономных и сетевых АРМ (применима для сложных сетевых инфраструктур). Предназначена для защиты конфиденциальной информации (редакции «К» и «С»), в том числе содержащейся в автоматизированных системах до класса защищенности 1Б включительно, в государственных информационных системах до 1 класса защищенности включительно, в информационных системах персональных данных для обеспечения 1 уровня защищенности ПДн, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно, а также для защиты информации, содержащей сведения, составляющие государственную тайну (редакция «С») до уровня «совершенно секретно» включительно.

Ключевые особенности:

• Собственные сертифицированные механизмы управления информационной безопасностью, дублирующие (подменяющие) стандартные механизмы ОС Windows.
• Возможность применения в различных версиях и редакциях ОC Windows (от Windows XP до Windows 10) на персональных, портативных компьютерах (ноутбуках, планшетах), серверах (от Windows Server 2003 до Windows Server 2021), в виртуализированных средах.
• Широкий набор дополнительных возможностей.
• Наличие встроенного модуля СКН — это сертифицированное средство контроля съемных машинных носителей информации (в соответствии с  Требованиями ФСТЭК России к СКН).
• Бесшовная интеграция с другими решениями продуктовой линейки Dallas Lock.
• Совместимость с ИТ-/ИБ-решениями других производителей.

Межсетевой экран Dallas Lock (МЭ) — сертифицированный модуль СЗИ от НСД Dallas Lock 8.0, выполняющий функции персонального межсетевого экрана с централизованным управлением, аудитом событий информационной безопасности и предназначенный для защиты рабочих станций и серверов от несанкционированного доступа по сети.

МЭ осуществляет контроль и фильтрацию проходящих через интерфейсы ПК сетевых пакетов в соответствии с заданными правилами, блокирует нежелательную сетевую активность и уведомляет о попытках нарушения заданных правил. Модуль тесно интегрирован с СЗИ от НСД Dallas Lock 8.0, что позволяет производить централизованное развертывание и настройку функционала НСД и МЭ из единого общего интерфейса.

Ключевые особенности:

• Впервые в России поддержка Windows 10.
• Защита конфиденциальной информации в сетях, подключенных к сетям общего пользования.
• Интеграция с СЗИ Dallas Lock 8.0.
• Гибкая настройка правил фильтрации в соответствии с сетевой моделью OSI всех уровней.

Система обнаружения и предотвращения вторжений Dallas Lock (СОВ) — сертифицированная гибридная система обнаружения и предотвращения вторжений уровня узла в программном исполнении.

Ключевые особенности:

• Эвристический и сигнатурный анализ попыток нарушения безопасности.
• Обновление сигнатур сетевых атак и сигнатур анализа журналов ОС.
• Защита от атак на сетевые протоколы модели OSI различных уровней.
• Перехват вызова функций ОС, гибкая настройка ограничения доступа к системным функциям для недоверенных приложений.
• Гибкая настройка уровня реагирования системы и детализации журналов.

Средство доверенной загрузки Dallas Lock (СДЗ) — сертифицированное средство доверенной загрузки уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, а также для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах, информационных системах персональных данных.

Ключевые особенности:

• Полноценная поддержка интерфейса UEFI.
• Разъемы для подключения: PCI (через переходник), PCI-Express, Mini PCI-Express, M.2.
• Полное администрирование СДЗ без использования ресурсов загружаемой штатной ОС.
• Установка дополнительных программных модулей (агентов) в среду штатной ОС не требуется.
• Возможность подключения датчика вскрытия корпуса на плате PCI Express.
• Унифицированный с другими продуктами Dallas Lock дизайн интерфейса СДЗ.
• Централизованное управление (функциональность будет доступна в рамках планового обновления).

СЗИ ВИ Dallas Lock — система защиты информации в виртуальных инфраструктурах, которая предназначена для комплексной и многофункциональной защиты конфиденциальной информации от несанкционированного доступа в виртуальных средах на базе VMware vSphere. Применяется для приведения информационных систем в соответствие требованиям приказов ФСТЭК России № 17 и № 21.

Ключевые особенности:

• Возможность управления из единой консоли несколькими серверами виртуализации (vCenter и Hyper-V).
• Универсальная лицензия на ПО для защиты гипервизоров ESXi и Hyper-V.
• Удобное внедрение и последующее администрирование.
• Прозрачное взаимодействие с механизмами систем виртуализации.
• Возможность гибкого управления квотами на количество физических процессоров (с помощью Сервера лицензий Dallas Lock).

Сервер безопасности Dallas Lock (СБ) — специальный модуль, который позволяет объединять защищаемые компьютеры в Домен безопасности для централизованного и оперативного управления.

Ключевые особенности:

• Централизованное управление модулями СКН, МЭ, СОВ; СЗИ на АРМ пользователей Dallas Lock 8.0 и Dallas Lock Linux из единой консоли; CДЗ Dallas Lock (функциональность будет доступна в рамках планового обновления).
• Создание отказоустойчивых доменов безопасности Dallas Lock (реплицирование СБ Dallas Lock).
• Совместная работа с Сервером лицензий.
• Графическая визуализация событий ИБ, сетевого трафика и т. п. на СБ Dallas Lock (функциональность будет доступна в рамках планового обновления).

Сервер лицензий Dallas Lock (СЛ) — дополнительный инструмент для централизованного управления, позволяющий существенно снизить затраты и повысить надежность комплексной системы защиты информации.

Ключевые особенности:

• Мониторинг и информирование администраторов безопасности о состоянии технической поддержки по использующимся лицензиям, автоматизированный запрос стоимости продления технической поддержки.
• Перераспределение квот на терминальные подключения между терминальными серверами или на количество клиентов Dallas Lock между Серверами безопасности.
• Создание новых доменов безопасности Dallas Lock в рамках общей квоты клиентских лицензий, назначение дополнительных терминальных серверов в рамках общей квоты лицензий на терминальные подключения к Dallas Lock.
• Сокращение затрат на внедрение, администрирование и модернизацию Dallas Lock в распределенных инфраструктурах; на приобретение и обновление лицензий на СБ Dallas Lock и терминальные подключения.

Системные требования и поддерживаемые технологии

Средство доверенной загрузки Dallas Lock предназначено для защиты от несанкционированного доступа компьютеров архитектуры Intel х86 и может быть реализовано на различных платах, предназначенных для работы с разными шинными интерфейсами вычислительной техники:

• PCI Express,
• Mini PCI Express,
• M.2.

Рисунок 2. Плата СДЗ Dallas Lock формата PCI Express

Рисунок 3. Плата СДЗ Dallas Lock формата Mini PCI Express (Half Size)

Рисунок 4. Плата СДЗ Dallas Lock формата M.2

Плату PCI Express можно применить как с полнопрофильной планкой, так и низкопрофильной, что дает возможность использования в разных корпусах. Допускается подключать плату PCI Express к разъему PCI через переходник.

СДЗ в форм-факторе M.2 имеет размер 22мм x 30мм, что позволяет обеспечивать доверенную загрузку современных ноутбуков и моноблоков. В разъем M.2 допускается вставлять различные по размеру устройства. Например, устройства Mini PCI Express можно подключать к разъему M.

Особенных требований СДЗ Dallas Lock не предъявляет — минимальная и оптимальная конфигурация компьютера в большей степени определяется требованиями операционной системы. Минимальные аппаратные требования к вычислительной технике для установки СДЗ Dallas Lock следующие:

• Процессор Pentium с частотой от 300 МГц.
• Не менее 128 МБ оперативной памяти.
• Свободный разъем PCI Express / Mini PCI Express на материнской плате для подключения СДЗ.
• Разъем Reset для подключения сторожевого таймера СДЗ.
• Наличие свободных портов USB для использования аппаратных идентификаторов.
• Клавиатура и компьютерная мышь.
• Видеоадаптер и монитор, поддерживающие режим Super VGA, с разрешением не менее чем 800×600 точек.

Компьютеры могут иметь в своем составе системные платы как с BIOS, так и UEFI.

В СДЗ Dallas Lock реализована поддержка наиболее распространенных файловых систем, включая: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS. При этом для СДЗ Dallas Lock не важно, какая операционная система установлена на компьютере. Значение имеет только файловая система.

Кроме того, СДЗ Dallas Lock поддерживает широкий перечень аппаратных идентификаторов:

• USB-ключи Aladdin eToken Pro/Java1;
• USB-ключи Рутокен;
• электронные ключи Touch Memory (iButton);
• USB-ключи JaCarta (JaCarta ГОСТ, JaCarta PKI);
• аппаратные идентификаторы ESMART (смарт-карты: ESMART Token ГОСТ, ESMART Token SC 64K; USB-токены: ESMART Token ГОСТ, ESMART Token USB 64K).