Процесс построения системы защиты

• анализ возможных угроз АСОИ;

• планирование системы защиты;

• реализация системы защиты;

• сопровождение системы защиты

При проектировании эффективной системы защиты следует учитывать ряд принципов, отображающих основные положения по безопасности информации К числу этих принципов относятся следующие:

• Экономическая эффективность. Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.

• Минимум привилегий. Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.

• Простота. Защита тем более эффективна, чем легче пользователю с ней работать.

• Отключаемость защиты. При нормальном функционировании защита не должна отключаться. Только в особых случаях сотрудник со специальными полномочиями может отключить систему защиты.

• Открытость проектирования и функционирования механизмов защиты. Специалисты, имеющие отношение к системе защиты, должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.

• Всеобщий контроль. Любые исключения из множества контролируемых субъектов и объектов защиты снижают защищенность автоматизированного комплекса обработки информации.

• Независимость системы защиты от субъектов защиты. Лица, занимавшиеся разработкой системы защиты, не должны быть в числе тех, кого эта система будет контролировать.

• Отчетность и подконтрольность. Система защиты должна предоставлять доказательства корректности своей работы.

• Ответственность. Подразумевается личная ответственность лиц, занимающихся обеспечением безопасности информации.

• Изоляция и разделение. Объекты защиты целесообразно разделять на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других групп.

• Параметризация. Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.

• Принцип враждебного окружения. Система защиты должна проектироваться в расчете на враждебное окружение. Разработчики должны исходить из предположения, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты.

• Привлечение человека. Наиболее важные и критические решения должны приниматься человеком.

• Отсутствие излишней информации о существовании механизмов защиты. Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых должна контролироваться.

Результатом этапа планирования является развернутый план защиты АСОИ, содержащий перечень защищаемых компонентов АСОИ и возможных воздействий на них, цель защиты информации в АСОИ, правила обработки информации в АСОИ, обеспечивающие ее защиту от различных воздействий, а также описание планируемой системы защиты информации.

Сущность этапа реализации системы защиты заключается в установке и настройке средств защиты, необходимых для реализации запланированных правил обработки информации.

Заключительный этап сопровождения заключается в контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружения нарушений безопасности, коррекции системы защиты.

Криптографические протоколы доказательства с нулевым разглашением

Средство доверенной загрузки

Средство доверенной загрузки (СДЗ) Dallas Lock является программно-аппаратным средством, которое осуществляет блокирование попыток несанкционированной загрузки нештатной операционной системы, а также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно­аппаратной среды и регистрацию событий безопасности.

СДЗ Dallas Lock обеспечивает:

• двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;

• автоматическое прохождение идентифика ции и ау тентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;

• контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);

• блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;

• блокировку пользователя при выявлении попыток обхода СДЗ;

• автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;

Ключевые особенности СДЗ Dallas Lock

• Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ.

• Поддерживается широкий спектр аппаратных идентификаторов: USB-ключи и смарт-карты Aladdin eToken Pro/Jaya, Рутокен, J a Carta (JaCarta ГОСТ, J a Car ta PKI), электронные ключи Touch Memory (iButton), ESMART.

• Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.

• Разграничение доступа к управлению СДЗ.

JaCarta - смарт-карты, USB- и MicroUSB-токены

JaCarta - смарт-карты, USB- и MicroUSB-токены для аутентификации, электронной подписи и безопасного хранения ключей и цифровых сертификатов.

Ключевые функции JaCarta

Аутентификация

• Строгая двух- и трёхфакторная аутентификация

• Биометрическая идентификация

• Неотчуждаемость токена от его владельца

• Строгая аутентификация для Web-порталов и облачных сервисов

Электронная подпись

• Персональное средство ЭП с неизвлекаемым ключом и аппаратной поддержкой национальной криптографии

• Электронная подпись для мобильных устройств

• Электронная подпись в недоверенной среде