• анализ возможных угроз АСОИ;
• планирование системы защиты;
• реализация системы защиты;
• сопровождение системы защиты
При проектировании эффективной системы защиты следует учитывать ряд принципов, отображающих основные положения по безопасности информации К числу этих принципов относятся следующие:
• Экономическая эффективность. Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
• Минимум привилегий. Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.
• Простота. Защита тем более эффективна, чем легче пользователю с ней работать.
• Отключаемость защиты. При нормальном функционировании защита не должна отключаться. Только в особых случаях сотрудник со специальными полномочиями может отключить систему защиты.
• Открытость проектирования и функционирования механизмов защиты. Специалисты, имеющие отношение к системе защиты, должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.
• Всеобщий контроль. Любые исключения из множества контролируемых субъектов и объектов защиты снижают защищенность автоматизированного комплекса обработки информации.
• Независимость системы защиты от субъектов защиты. Лица, занимавшиеся разработкой системы защиты, не должны быть в числе тех, кого эта система будет контролировать.
• Отчетность и подконтрольность. Система защиты должна предоставлять доказательства корректности своей работы.
• Ответственность. Подразумевается личная ответственность лиц, занимающихся обеспечением безопасности информации.
• Изоляция и разделение. Объекты защиты целесообразно разделять на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других групп.
• Параметризация. Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.
• Принцип враждебного окружения. Система защиты должна проектироваться в расчете на враждебное окружение. Разработчики должны исходить из предположения, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты.
• Привлечение человека. Наиболее важные и критические решения должны приниматься человеком.
• Отсутствие излишней информации о существовании механизмов защиты. Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых должна контролироваться.
Результатом этапа планирования является развернутый план защиты АСОИ, содержащий перечень защищаемых компонентов АСОИ и возможных воздействий на них, цель защиты информации в АСОИ, правила обработки информации в АСОИ, обеспечивающие ее защиту от различных воздействий, а также описание планируемой системы защиты информации.
Сущность этапа реализации системы защиты заключается в установке и настройке средств защиты, необходимых для реализации запланированных правил обработки информации.
Заключительный этап сопровождения заключается в контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружения нарушений безопасности, коррекции системы защиты.
Криптографические протоколы доказательства с нулевым разглашением
Средство доверенной загрузки
Средство доверенной загрузки (СДЗ) Dallas Lock является программно-аппаратным средством, которое осуществляет блокирование попыток несанкционированной загрузки нештатной операционной системы, а также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программноаппаратной среды и регистрацию событий безопасности.
СДЗ Dallas Lock обеспечивает:
• двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;
• автоматическое прохождение идентифика ции и ау тентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;
• контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
• блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;
• блокировку пользователя при выявлении попыток обхода СДЗ;
• автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;
Ключевые особенности СДЗ Dallas Lock
• Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ.
• Поддерживается широкий спектр аппаратных идентификаторов: USB-ключи и смарт-карты Aladdin eToken Pro/Jaya, Рутокен, J a Carta (JaCarta ГОСТ, J a Car ta PKI), электронные ключи Touch Memory (iButton), ESMART.
• Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.
• Разграничение доступа к управлению СДЗ.
JaCarta - смарт-карты, USB- и MicroUSB-токены
JaCarta - смарт-карты, USB- и MicroUSB-токены для аутентификации, электронной подписи и безопасного хранения ключей и цифровых сертификатов.
Ключевые функции JaCarta
Аутентификация
• Строгая двух- и трёхфакторная аутентификация
• Биометрическая идентификация
• Неотчуждаемость токена от его владельца
• Строгая аутентификация для Web-порталов и облачных сервисов
Электронная подпись
• Персональное средство ЭП с неизвлекаемым ключом и аппаратной поддержкой национальной криптографии
• Электронная подпись для мобильных устройств
• Электронная подпись в недоверенной среде