Несанкционированный доступ к информации — наиболее частая и вероятная угроза информационной безопасности для любой организации. Может привести не только к финансовым и репутационным потерям, но и к прекращению существования организации как таковой.
Наиболее часто несанкционированный доступ к данным происходит при помощи вредоносных программ, функционирующих до загрузки операционной системы, на уровне BIOS. Для решения этой проблемы и нужны средства доверенной загрузки.Средства доверенной загрузки — это программные или программно-аппаратные средства, позволяющие осуществлять запуск операционной системы исключительно с доверенных носителей информации (например, жестких дисков). Помимо этого данные средства:
- Контролируют целостность загруженных файлов и сверяют их с эталонными значениями, хранимые в памяти недоступной для ОС.
- Обеспечивают идентификацию и аутентификацию пользователей до загрузки ОС.
- Осуществляют запрет загрузки нештатных копий ОС с недоверенных внешних носителей информации.
Типы средств доверенной загрузки
Средства доверенной загрузки могут быть:
- Программные. Делятся на средства доверенной загрузки BIOS и уровня загрузочной записи. Первые встраиваются в BIOS, что позволяет выполнять свои функции до загрузки ОС. Другие заменяют загрузочную запись на жестком диске и действуют до того, как управление перешло на уровень операционной системы.
- Аппаратные. Такие устройства встраиваются в корпус компьютера, подключаясь к материнской плате через PCI-разъем.
Аппаратные средства доверенной загрузки имеют значительные преимущества перед своими программными аналогами, хоть и доверенная загрузка не может быть выполнена чисто аппаратно.
Главные преимущества аппаратных средств:
- Высокая степень защищенности конфиденциальной информации о паролях, ключах и контрольных суммах системных файлов.
- Невозможность запустить компьютер, не вскрывая его содержимого;
- При шифровании загрузочного сектора, невозможно запустить ОС, даже после извлечения аппаратного модуля;
- При полном шифровании, невозможно получить любые данные после извлечения аппаратного модуля.
Требования к средствам доверенной загрузки, утверждены Приказом ФСТЭК России от 27 сентября 2013 г. № 119. Отечественные производители руководствуются требованиями регулятора и стремятся выполнять требования действующего законодательства в области защиты информации. Выполнение этих требований позволяет вендорам сертифицировать во ФСТЭК и ФСБ России свои продукты, что впоследствии дает возможность использовать их в информационных системах для обработки конфиденциальных данных.
Факторы при выборе средств доверенной загрузки
Когда речь идет о выборе подходящего средства доверенной загрузки для вашей организации, необходимо учитывать несколько ключевых факторов.
Прежде всего, очень важна совместимость. Необходимо убедиться, что выбранные вами средства доверенной загрузки совместимы с существующими системами и операционными системами. Это важно, чтобы избежать возможных конфликтов или проблем с производительностью, которые могут возникнуть из-за несовместимости инструментов. Потратьте время на изучение спецификаций и системных требований рассматриваемых инструментов и убедитесь, что они соответствуют вашей текущей ИТ-среде.
Далее рассмотрите уровень безопасности, обеспечиваемый средствами доверенной загрузки. Различные инструменты обеспечивают разную степень защиты, поэтому важно выбрать решение, отвечающее требованиям безопасности вашей организации. Ищите инструменты, которые прошли тщательное тестирование и были подтверждены независимыми экспертами по безопасности. Рассмотрите конкретные функции безопасности, такие как безопасное хранение ключей, проверка целостности и устойчивость к взлому. Чем более комплексными будут меры безопасности, тем лучше будут защищены ваши системы.
Простота внедрения и управления - еще один важный фактор, который следует учитывать. Выбор средств доверенной загрузки, которые просты в развертывании и управлении, поможет вашей организации сэкономить время и ресурсы в долгосрочной перспективе. Ищите инструменты с понятной документацией и удобными интерфейсами, которые упрощают процесс установки и настройки. Обратите внимание на то, предоставляют ли эти инструменты возможности централизованного управления, позволяющие легко контролировать и управлять несколькими системами с единой консоли.
Также следует обратить внимание на репутацию и поддержку поставщика. Выбор средств доверенной загрузки от авторитетных поставщиков, зарекомендовавших себя в сфере кибербезопасности, может обеспечить спокойствие. Изучите историю поставщика, отзывы клиентов и его присутствие на рынке, чтобы оценить его надежность и опыт. Кроме того, обратите внимание на уровень поддержки, предлагаемой поставщиком. Ищите поставщиков, которые предоставляют всестороннюю техническую помощь, регулярно обновляют программное обеспечение и своевременно реагируют на любые возникающие вопросы и проблемы.
Наконец, для организаций, работающих в России, очень важно соответствие российским нормам и стандартам. Очень важно выбирать средства доверенной загрузки, которые соответствуют особым требованиям и рекомендациям по безопасности, установленным российским правительством. Средства должны состоять в Едином реестре сертифицированных средств защиты информации ФСТЭК РФ. Соблюдение этих требований не только поможет вам выполнить юридические обязательства, но и продемонстрирует ваше стремление поддерживать самые высокие стандарты безопасности.
Российские решения ДЗ
«Доверенная загрузка в Аккорд-АМЗД» — это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.
Комплекс начинает работу сразу после выполнения кода системного BIOS компьютера — до загрузки операционной системы. Контроллеры семейства «Аккорд-АМДЗ» обеспечивают доверенную загрузку ОС, поддерживающих наиболее распространенные файловые системы, включая: FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, Ext4, ReiserFS, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX. Это, в частности, ОС семейств MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD и др.
Аккорд-АМДЗ применяется в следующей конфигурации:
- контроллер («Аккорд-АМДЗ») — представляет собой карту расширения (expansion card), устанавливаемую в свободный слот материнской платы СВТ (РС). Контроллер является универсальным, не требует замены при смене используемого типа операционной системы (ОС);
- съемник информации с контактным устройством, обеспечивающий интерфейс между контроллером комплекса и персональным идентификатором пользователя;
- персональный идентификатор пользователя— специальное устройство, содержащее уникальный признак пользователя, с которым зарегистрированный пользователь входит в систему и который используется системой для определения его прав, а также для регистрации факта доступа и характера выполняемых им работ или предоставляемых ему услуг.
- Количество и тип идентификаторов, модификация контроллера и съемника оговариваются при поставке комплекса. Персональные идентификаторы и съемники информации заказываются отдельно.
Решение уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, и иной информации с ограниченным доступом. СДЗ Dallas Lock выполняет свои функции (включая администрирование параметров изделия и просмотр журнала) до начала загрузки штатной операционной системы (ШОС).
СДЗ Dallas Lock - программно-аппаратное средство, блокирующее попытки несанкционированной загрузки нештатной операционной системы. Также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.
3 форм-фактора для удобной интеграции в различные модели АРМ:
- PCI Express
- Mini PCI Express
- M2
Ключевые возможности СДЗ Dallas Lock:
- Независимость от штатной ОС.
- Полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC (согласно новым требования ФСТЭК России об изолировании СДЗ), включая разграничение доступа к управлению СДЗ и централизованное управление файлами конфигурации и отчетами. Поддерживается авторизация с использованием доменных учетных записей.
- Полноценная поддержка UEFI и безопасного режима загрузки UEFI («Secureboot»). Возможность подключения платы в разъем M.2. Собственные часы с независимым источником питания и возможность подключения датчика вскрытия корпуса (для варианта исполнения – PCIe «KT-500»). «Сторожевой таймер», необходимый в случае невозможности подключить провод аппаратного «сторожевого таймера» к разъему «Reset» или «Power» ЭВМ. Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ. Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.
- Обеспечена совместимость со следующими аппаратными идентификаторами: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), электронные ключи Touch Memory (iButton), ESMART. Поддержка считывателя КТ-ТМ, предназначенного для работы с ключами Touch Memory.
Сертифицированный высокотехнологичный программный модуль доверенной загрузки (ПМДЗ), устанавливаемый в UEFI BIOS различных производителей. Предназначен для защиты ПК, мобильных устройств, серверов (в том числе и серверов виртуализации) от различных угроз несанкционированного доступа (НСД) на этапе загрузки и от атак на BIOS.
Защита для компьютеров и серверов должна действовать с момента их включения. Время с момента включения до старта операционной системы является ключевым для доверия к системе в целом. На самых ранних этапах загрузки есть риск:
- передачи управления недоверенному загрузчику;
- загрузки вредоносного кода в UEFI;
- перехвата данных и отключения базовых защитных механизмов.
Все это может привести к обходу всех установленных в операционной системе средств защиты и краже информации. Встраивание модуля доверенной загрузки ViPNet SafeBoot защищает компьютер от этих угроз и делает систему доверенной.
Возможности ViPNet SafeBoot:
Строгая двухфакторная аутентификация — Аутентификация пользователя с помощью токена с сертификатом формата x.509 (двухфакторная), пароля или их сочетания.
Поддерживаемые идентификаторы:
- JaCarta PKI
- Rutoken ЭЦП
- Rutoken ЭЦП 2.0
- Rutoken Lite
- Guardant ID
Контроль целостности. Чтобы платформе можно было доверять, нужна гарантия, что все важные модули, загружаемые при старте системы, неизменны. Поэтому ViPNet SafeBoot проверяет целостность:
- всех ключевых модулей UEFI BIOS;
- загрузочных секторов жесткого диска;
- таблиц ACPI, SMBIOS, карты распределения памяти;
- файлов на дисках с системами FAT32, NTFS, EXT2, EXT3, EXT4 (ViPNet SafeBoot не важно какая операционная система установлена);
- реестра Windows;
- ресурсов конфигурационного пространства PCI/PCe;
- CMOS (содержимого энергонезависимой памяти);
- завершенности транзакций — NTFS, EXT3, EXT4.
Поручите это профессионалам
Порой вопрос выбора и внедрения правильного средства доверенной загрузки может оказаться непосильным. Именно здесь на помощь приходит помощь экспертов. Сотрудничайте с системными интеграторами — опытными профессионалами в области ИБ, которые смогут разработать индивидуальную стратегию защиты с учетом ваших потребностей. С помощью их опыта и отечественных средств доверенной загрузки вы можете быть уверены, что ваши данные действительно в безопасности.
Готовы взять под контроль свою цифровую безопасность? Оставьте заявку на нашем сайте — наша команда ответит на все вопросы, подберет идеальное средство доверенной загрузки для ваших нужд, проведет пилотный проект и демонстрацию возможностей системы, осуществит интеграцию в существующую инфраструктуру компании.