Сзи от ндс это

Опубликовано: 04.05.2024

Тест на прочность: чему нас учат недостатки СЗИ?

Model.Article.Title

Защитить информацию от несанкционированного доступа можно с помощью любого из популярных специализированных средств. Главное — знать его сильные и слабые стороны, чтобы в случае необходимости нейтрализовать негативные последствия. Мы провели эксперимент, чтобы посмотреть, как ведут себя различные решения в ситуации несанкционированного доступа.

Современный рынок средств защиты информации (СЗИ) представлен различными аппаратными, программными и комбинированными комплексами. Продукты различаются по цене, функциональности и настройкам. Прежде чем сделать выбор, IT-специалист должен все это хорошо изучить. Ведь ценность защищаемой информации не дает ему права на ошибку, а руководитель требует обосновать стоимость покупки конкретного СЗИ.

Моделируемая ситуация: в компьютере финансового директора обрабатывается очень важная информация, интерес к которой имеет недовольный зарплатой сотрудник. В обеденный перерыв директор заблокировал свой компьютер и ушел. У злоумышленника есть только час на то, чтобы незаметно похитить нужную ему информацию.

Тестируемые средства

Наименование СЗИ Производитель Цена за одно автоматизированное рабочее место, руб.
Программные
1 Secret Net 7 (автономный) ООО «Код Безопасности» 7 000
2 «Аура 1.2.4» НИО ПИБ 3 000
3 Dallas Lock 8.0 — К
(для корпоративных заказчиков)		 ООО «Конфидент» 6 000
4 «Страж NT» (версия 3.0) ЗАО НПЦ «Модуль» 7 500
Программно-аппаратные
5 Аккорд-АМДЗ ОКБ САПР 12 589
6 Secret Net 7 +
Secret Net Card (плата PCI Express) - комплект с DS1992		 ООО «Код Безопасности» 7 000 + 3 610

Действия злоумышленника: Предположим, что на компьютере установлено одно из вышеуказанных СЗИ и шестизначный пароль, содержащий буквы разного регистра и спецсимволы. На подбор такого пароля потребуется много времени, поэтому злоумышленник, скорее всего, попробует обойти систему следующим образом:

  1. установит в BIOS загрузку с внешнего накопителя;
  2. загрузится с Live USB и скопирует всю нужную ему информацию;
  3. перезагрузит компьютер и покинет место преступления.

Совет № 1. Запретите загрузку с внешних носителей и используйте пароли на BIOS.

Программные СЗИ, к сожалению, оставляют возможность загрузиться в обход операционной системы и похитить ценную информацию. И в этом заключается их главный недостаток. Единственным программным СЗИ, которое не удалось обойти таким образом, оказался «Страж NT».

В СЗИ «Страж NT» идентификация и аутентификация пользователя производится до загрузки операционной системы, что позволяет исключить возможность получения доступа к информации, содержащейся на жестком диске компьютера без успешного прохождения процедуры аутентификации.

Программа идентификации и аутентификации содержится в главной загрузочной записи (MBR) жесткого диска и вызывается автоматически после прохождения процедуры POST BIOS: пользователю предлагается предъявить персональный идентификатор и ввести пароль.

Модификация главной загрузочной записи, выполняемая СЗИ при его инициализации, предотвращает попытки несанкционированного доступа при загрузке компьютера с внешнего носителя, так как любая операционная система «повиснет» при попытке монтирования раздела, на котором установлена СЗИ «Страж NT». Таким образом, для злоумышленника исключается несанкционированный доступ к содержимому жесткого диска, несмотря на гипотетическую возможность загрузки персонального компьютера с внешнего носителя или подключения жесткого диска к другому компьютеру.

Вне эксперимента нам удалось с помощью программы восстановления потерянных разделов TestDisk восстановить загрузочный сектор. Но на эту процедуру ушло больше часа.

При использовании остальных СЗИ рекомендуем в настройках BIOS выставить единственное загрузочное устройство — локальный жесткий диск. Необходимо установить пароль на BIOS. Можно установить ПАК «Соболь» или Secret Net Card, которые обеспечат доверенную загрузку.

Совет № 2. При использовании любых СЗИ, кроме «Страж NT», опечатывайте или опломбируйте корпус системного блока.

При тестировании программных СЗИ мы увидели, что добыть информацию можно и без физического вмешательства в системный блок. В случае с рассматриваемыми программно-аппаратными комплексами «Аккорд» и Secret Net способ загрузки в обход операционной системы не сработал из-за наличия установленной платы, которая не давала доступа к настройкам BIOS и не позволяла изменить источник первичной загрузки.

При настройке системы защиты в соответствии с требованиями законодательства, если системный блок не опломбировать или не закрыть на замок, злоумышленнику ничего не мешает на время своих злодеяний извлечь эту плату из системного блока. В этом состоит главный недостаток плат доверенной загрузки. Таким образом, мы настоятельно рекомендуем использовать такую меру защиты как опломбирование системных блоков и закрытие на ключ.

Совет № 3. Используйте встроенные или дополнительные средства шифрования данных.

Мы рассматриваем ситуацию, когда злоумышленник пытается незаметно похитить информацию. Если это условие убрать, то и установка пароля на BIOS, и опечатывание системного блока не помешают информации «сделать ноги». Поэтому общая рекомендация для всех рассмотренных средств защиты информации следующая — использовать средства шифрования данных. При таких условиях у злоумышленника не будет возможности получить доступ к информации описанными нами или любыми иными способами.

Так, например, в СЗИ Dallas Lock средство шифрования данных является встроенным, а для Secret Net есть возможность приобрести лицензию с возможностью сокрытия выбранных разделов на жестком диске. Для остальных СЗИ остается использовать только дополнительные средства шифрования от сторонних производителей.

Совет № 4. Используйте комплекс мер: дополняйте технические средства административными мерами.

Прежде чем принимать решение о применении того или иного средства защиты, необходимо продумать и смоделировать все возможные варианты утечки информации. В каждой конкретной ситуации это будут различные меры. В случае, описанном в начале статьи, мы бы порекомендовали не оставлять открытым помещение с важной информацией, установить системы видеонаблюдения. Для особо важной информации необходимо использовать средства защиты, позволяющие шифровать информацию «на лету» и т д.

Совет № 5. Не переплачивайте: стоимость средств защиты не должна превышать стоимость самой информации.

Если руководитель поручил защитить информацию на конкретных компьютерах, необходимо понять, какова ценность информации «в цифрах». И только после этого принимать решение о выборе СЗИ. Правда, есть один нюанс: для информации, охраняемой законодательством, это правило не работает — защищать придется даже информационные системы обработки персональных данных, содержащие сведения о пяти сотрудниках.

Вадим Галлямшин, руководитель проектов внедрения систем информационной безопасности «СКБ Контур».
Станислав Шиляев, руководитель группы технической защиты информации проекта «Контур-Безопасность»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Выбор СЗИ от НСД

Выбор СЗИ от НСД

А.Ю. Щеглов
д.т.н., профессор


Особое место в компьютерной безопасности отводится защите информации от несанкционированного доступа (НСД). А поскольку представленные на рынке средства защиты информации (СЗИ) имеют различные функциональные возможности, то перед потребителем встает задача выбора эффективного решения.

Назначение и общая классификация СЗИ

СЗИ от НСД можно разделить на универсальные и специализированные (по области применения), на частные и комплексные решения (по совокупности решаемых задач), на встроенные системные средства и добавочные (по способу реализации).

Классификация крайне важна, так как при построении СЗИ каждого типа разработчики формулируют и решают совершенно разные задачи (подчас противоречащие друг другу). Так, в основу концепции защиты универсальных системных средств закладываются принципы "полного доверия к пользователю", их защита во многом бесполезна в корпоративных системах, например, при решении задач противодействия внутренним ИТ-угрозам. В подавляющей части сегодня СЗИ создаются для усиления встроенных в универсальные ОС механизмов защиты, применительно к использованию в корпоративной среде. Если речь заходит о совокупности решаемых задач, то здесь следует говорить о комплексировании механизмов как в части эффективного решения конкретной задачи защиты, так и в части решения комплекса задач.

Потребительские свойства (назначение) добавочного СЗИ от НСД определяются тем, в какой мере добавочным средством устраняются архитектурные недостатки встроенных в ОС механизмов защиты, применительно к решению требуемых задач в корпоративных приложениях, и насколько комплексно (эффективно) им решается эта совокупность задач защиты информации.

Вопросы оценки эффективности СЗИ от НСД

Эффективность СЗИ от НСД можно оценить, исследовав вопросы корректности реализации механизмов защиты и достаточности набора механизмов защиты применительно к практическим условиям использования.

Оценка корректности реализации механизмов защиты

На первый взгляд, такую оценку провести несложно, но на практике это не всегда так. Один пример: в NTFS файловый объект может быть идентифицирован различными способами: к файловым объектам, задаваемым длинными именами, можно обращаться по короткому имени (так, к каталогу "\Program files\" можно обратиться по короткому имени "\Progra

1\"), а некоторые программы обращаются к файловым объектам не по имени, а по ID. Если установленное в информационной системе СЗИ не перехватывает и не анализирует лишь один подобный способ обращения к файловому объекту, то, по большому счету, оно становится полностью бесполезным (рано или поздно злоумышленник выявит данный недостаток средства защиты и воспользуется им). Упомянем и о том, что файловые объекты, не разделяемые между пользователями системой и приложениями, могут служить "каналом" понижения категории документа, что сводит на нет защиту конфиденциальной информации. Подобных примеров можно привести много.

Требования к корректности реализации механизмов защиты определены в нормативном документе "Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации"; он используется при сертификации СЗИ от НСД.

Эти требования присутствуют в документе в необходимом объеме, они корректны, но сформулированы в общем виде (а как иначе, в противном случае потребовалось бы создавать свой нормативный документ под каждое семейство ОС, а возможно, и под каждую реализацию ОС одного семейства), и для выполнения одного требования может понадобиться реализация нескольких механизмов защиты. Следствием этого становится неоднозначность толкования данных требований (в части подходов к их реализации) и возможность принципиально разных подходов к реализации механизмов защиты в СЗИ от НСД разработчиками. Результат - разная эффективность СЗИ от НСД у производителей, реализующих одни и те же формализованные требования. А ведь невыполнение любого из этих требований может свести на нет все усилия по обеспечению информационной безопасности.

Оценка достаточности (полноты) набора механизмов защиты

Требования к достаточности (полноте, применительно к условиям использования) набора механизмов защиты определены документом "Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации", который используется при аттестации объектов информатизации, в том числе и при использовании в АС СЗИ от НСД. Однако и здесь ситуация во многом схожа с описанной выше.

Так, формулировку требования к достаточности механизмов в СЗИ от НСД для защиты конфиденциальных данных в нормативных документах, при которой возникает неоднозначность определения того, что отнести к защищаемым ресурсам, целесообразно было бы расширить, например, следующим образом: "Должен осуществляться контроль подключения ресурсов, в частности устройств, в соответствии с условиями практического использования защищаемого вычислительного средства, и контроль доступа субъектов к защищаемым ресурсам, в частности к разрешенным для подключения устройствам".

Заметим, что механизмы контроля доступа к ресурсам, всегда присутствующим в системе, -файловые объекты, объекты реестра ОС и т.д. - априори защищаемые, и они должны присутствовать в СЗИ от НСД в любом случае, а что касается внешних ресурсов, то с учетом назначения СЗИ. Если предназначение СЗИ - защита компьютеров в сети, то оно должно иметь механизмы контроля доступа к сетевым ресурсам; если оно служит для защиты автономных компьютеров, то должно обеспечивать контроль (запрет) подключения к компьютеру сетевых ресурсов. Это правило, на наш взгляд, подходит без исключения ко всем ресурсам и может быть использовано в качестве базового требования к набору механизмов защиты при аттестации объектов информатизации.

Вопросы достаточности механизмов защиты должны рассматриваться не только применительно к набору ресурсов, но и применительно к решаемым задачам защиты информации. Подобных задач при обеспечении компьютерной безопасности всего две - противодействие внутренним и внешним ИТ-угрозам.

Общая задача противодействия внутренним ИТ-угрозам - обеспечение разграничения доступа к ресурсам в соответствии с требованиями к обработке данных различных категорий конфиденциальности. Возможны разные подходы к заданию разграничений: по учетным записям, по процессам, на основе категории прочтенного документа. Каждый из них задает свои требования к достаточности. Так, в первом случае надо изолировать буфер обмена между пользователями; во втором - между процессами; для третьего случая вообще необходимо кардинально пересмотреть всю разграничительную политику доступа ко всем ресурсам, так как один и тот же пользователь одним и тем же приложением может обрабатывать данные различных категорий конфиденциальности.

Существуют десятки способов межпроцессного обмена (поименованные каналы, сектора памяти и т.д.), поэтому необходимо обеспечить замкнутость программной среды -предотвратить возможность запуска программы, реализующей подобный канал обмена. Встают и вопросы неразделяемых системой и приложениями ресурсов, контроля корректности идентификации субъекта доступа, защиты собственно СЗИ от НСД (список необходимых механизмов защиты для эффективного решения данной задачи весьма внушительный). Большая их часть в явном виде не прописана в нормативных документах.

Задача эффективного противодействия внешним ИТ-угрозам, на наш взгляд, может быть решена только при условии задания разграничительной политики для субъекта "процесс" (т.е. "процесс" следует рассматривать как самостоятельный субъект доступа к ресурсам). Это обусловлено тем, что именно он несет в себе угрозу внешней атаки. Подобного требования в явном виде нет в нормативных документах, но в этом случае решение задачи защиты информации требует кардинального пересмотра базовых принципов реализации разграничительной политики доступа к ресурсам.

Если вопросы достаточности механизмов защиты применительно к набору защищаемых ресурсов еще как-то поддаются формализации, то применительно к задачам защиты информации формализовать подобные требования не представляется возможным.

В данном случае СЗИ от НСД разных производителей, выполняющих формализованные требования нормативных документов, также могут иметь кардинальные отличия как в реализуемых подходах и технических решениях, так и в эффективности этих средств в целом.

В заключение отметим, что нельзя недооценивать важность задачи выбора СЗИ от НСД, так как это особый класс технических средств, эффективность которых не может быть высокой или низкой. С учетом сложности оценки реальной эффективности СЗИ от НСД рекомендуем потребителю привлекать специалистов (желательно из числа разработчиков, практически сталкивающихся с этими проблемами) на стадии выбора СЗИ от НСД.

Предисловие

Основные инструменты

В нашей компании клиентам предлагается три варианта программно-аппаратных средств защиты информации:

  • Secret Net от компании «Код безопасности»
  • Страж NT от НПЦ «Модуль»
  • Ранее упомянутый Dallas Lock

Все продукты примерно равны по характеристикам (особенно с появлением в версии 7.7 Dallas Lock'а контроля USB-устройств), вопрос о применении конкретного средства решается либо на основе возможности установки в целевую систему, либо на основе уровня взаимоотношений с поставщиками.

Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.

Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».

Применение

Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются. В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.

В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net'а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.

Проблемы

Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство спасет отца русской демократии поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.

Secret Net

Фаворит — он везде фаворит

Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:
image

Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.

Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:

В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:
image

Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:

И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.

Страж NT

Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.

Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.

Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.

Dallas Lock

Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.

Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock'а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».

Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.

Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.

утвержденному приказом ФСБ РФ

от 13 ноября 1999 г. N 564

Виды средств защиты информации,
подлежащих сертификации в системе сертификации СЗИ-ГТ

1. Технические средства защиты информации, включая средства контроля эффективности принятых мер защиты информации:

1.1. Средства защиты информации от перехвата оптических сигналов (изображений) в видимом, инфракрасном и ультрафиолетовом диапазонах волн.

1.2. Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах.

1.3. Средства защиты информации от перехвата электромагнитных сигналов, в том числе от перехвата побочных электромагнитных излучений и наводок (ПЭМИН), возникающих при работе технических средств регистрации, хранения, обработки и документирования информации.

1.4. Средства защиты информации от перехвата электрических сигналов, возникающих в токопроводящих коммуникациях:

за счет ПЭМИН при работе технических средств регистрации, хранения, обработки и документирования информации;

вследствие эффекта электроакустического преобразования сигналов вспомогательными техническими средствами и системами.

1.5. Средства защиты информации от деятельности радиационной разведки по получению сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты.

1.6. Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей среды, возникающего при функционировании объекта защиты.

1.7. Средства защиты информации от возможности получения сведений магнитометрической разведкой за счет изменения локальной структуры магнитного поля Земли, возникающего вследствие деятельности объекта защиты.

1.8 Технические средства обнаружения и выявления специальных технических средств, предназначенных для негласного получения информации, устанавливаемых в конструкциях зданий и объектов (помещения, транспортные средства), инженерно-технических коммуникациях, интерьере, в бытовой технике, в технических средствах регистрации, хранения, обработки и документирования информации, системах связи и на открытой территории.

2. Технические средства и системы в защищенном исполнении, в том числе:

2.1. Средства скремблирования, маскирования или шифрования телематической информации, передаваемой по каналам связи.

2.2. Аппаратура передачи видеоинформации по оптическому каналу.

3. Технические средства защиты специальных оперативно-технических мероприятий (специальных технических средств, предназначенных для негласного получения информации).

4. Технические средства защиты информации от несанкционированного доступа (НСД):

4.1. Средства защиты, в том числе:

замки (механические, электромеханические, электронные);

замки разового пользования;

защитные липкие ленты;

защитные и голографические этикетки;

специальные защитные упаковки;

электрические датчики разных типов;

телевизионные системы охраны и контроля;

оптические и инфракрасные системы;

пластиковые идентификационные карточки;

средства обнаружения нарушителя или нарушающего воздействия;

специальные средства для транспортировки и хранения физических носителей информации (кассеты стриммеров, магнитные и оптические диски и т.п.)

4.2. Специальные средства защиты от подделки документов на основе оптико-химических технологий, в том числе:

средства защиты документов от ксерокопирования;

средства защиты документов от подделки (подмены) с помощью химических идентификационных препаратов;

средства защиты информации с помощью тайнописи.

4.3. Специальные пиротехнические средства для транспортировки, хранения и экстренного уничтожения физических носителей информации (бумага, фотопленка, аудио- и видеокассеты, лазерные диски).

5. Программные средства защиты информации от НСД и программных закладок:

5.1. Программы, обеспечивающие разграничение доступа к информации.

5.2. Программы идентификации и аутентификации терминалов и пользователей по различным признакам (пароль, дополнительное кодовое слово, биометрические данные и т.п.), в том числе программы повышения достоверности идентификации (аутентификации).

5.3. Программы проверки функционирования системы защиты информации и контроля целостности средства защиты от НСД.

5.4. Программы защиты различного вспомогательного назначения, в том числе антивирусные программы.

5.5. Программы защиты операционных систем ПЭВМ (модульная программная интерпретация и т.п.).

5.6. Программы контроля целостности общесистемного и прикладного программного обеспечения.

5.7. Программы, сигнализирующие о нарушении использования ресурсов.

5.8. Программы уничтожения остаточной информации в запоминающих устройствах (оперативная память, видеопамять и т.п.) после завершения ее использования.

5.9. Программы контроля и восстановления файловой структуры данных.

5.10. Программы имитации работы системы или ее блокировки при обнаружении фактов НСД.

5.11. Программы определения фактов НСД и сигнализации (передачи сообщений) об их обнаружении.

6. Защищенные программные средства обработки информации:

6.1. Пакеты прикладных программ автоматизированных рабочих мест (АРМ).

6.2. Базы данных вычислительных сетей.

6.3. Программные средства автоматизированных систем управления (АСУ).

6.4. Программные средства идентификации изготовителя программного (информационного) продукта, включая средства идентификации авторского права.

7. Программно-технические средства защиты информации:

7.1 Программно-технические средства защиты информации от несанкционированного копирования, в том числе:

средства защиты носителей данных;

средства предотвращения копирования программного обеспечения, установленного на ПЭВМ.

7.2. Программно-технические средства криптографической и стенографической защиты информации (включая средства маскирования информации) при ее хранении на носителях данных и при передаче по каналам связи.

7.3. Программно-технические средства прерывания работы программы пользователя при нарушении им правил доступа, в том числе:

принудительное завершение работы программы;

7.4. Программно-технические средства стирания данных, в том числе:

стирание остаточной информации, возникающей в процессе обработки секретных данных в оперативной памяти и на магнитных носителях;

надежное стирание устаревшей информации с магнитных носителей.

7.5. Программно-технические средства выдачи сигнала тревоги при попытке несанкционированного доступа к информации, в том числе:

средства регистрации некорректных обращений пользователей к защищаемой информации;

средства организации контроля за действиями пользователей ПЭВМ.

7.6. Программно-технические средства обнаружения и локализации действия программных и программно-технических закладок.

8. Специальные средства защиты от идентификации личности:

8.1. Средства защиты от фонографической экспертизы речевых сигналов.

8.2. Средства защиты от дактилоскопической экспертизы.

9. Программно-аппаратные средства защиты от несанкционированного доступа к системам оперативно-розыскных мероприятий (СОРМ) на линиях связи:

Есть определенный перечень программного обеспечения и технических средств, которые подлежат сертификации средств защиты информации (СЗИ). Без наличия разрешения нельзя заниматься импортом, реализацией и оборотом такой продукции.

Контрольные мероприятия регулируются ПП РФ №608 от 26.06.1995 г., Положением ФСТЭК №55 от 03.04.2018 г.

Помимо оценки безопасности дополнительно может потребоваться проверка в системе ТР ТС (к примеру, если речь идет о техническом средстве, работающем от сети – в этом случае необходимо провести оценку согласно ТР ТС 004/2011).

Если же средство не подлежит контролю качества в системах ТР ТС, то можно провести добровольную проверку соответствия государственным стандартам или другим нормативным документам.

Перечень продукции, подлежащей сертификации ФСТЭК

Федеральная служба по техническому и экспортному контролю предусматривает необходимость оценки качества для средств противодействия иностранным разведкам, устройств для защиты государственной тайны и обеспечения безопасности информационных технологий. Это могут быть отечественные и импортные IT-продукты.

Речь идет о следующих типах продукции:

  1. программные и программно-технические средства защиты информации от нарушения целостности;
  2. программные средства, которые разграничивают доступ к данным, контролируют единство инфо-данных, уничтожают остатки данных на информационных носителях, имитируют работу ОС или блокируют ее при необходимости;
  3. защитные программы, встроенные в ОС;
  4. средства, цель которых предотвратить незаконное копирование данных;
  5. операционные системы;
  6. экраны для межсетевого доступа;
  7. средства доступа к виртуальным локальным сетям;
  8. системы контроля эффективности;
  9. системы, которые используют защищенные методы обработки данных.

Это лишь часть товаров, которые подлежат обязательной проверке в рамках требований ФСТЭК. Точный перечень средств, на которые потребуется получить сертификат СЗИ, уточните у специалистов центра «Рос-Тест».

Схемы сертификации

Пройти оценку можно в соответствии с требованиями, установленными законодательно. Наиболее актуальными для предпринимателей являются такие схемы:

  1. оценка качества единичного оборудования;
  2. проверка партии изделий (в случае, если речь идет об ограниченном тираже копий);
  3. сертификация серийного выпуска.

Какую именно выбрать схему, зависит от типа производства и конкретной ситуации.

Участники системы оценки

Основными звеньями осуществления контроля продукции являются:

  1. федеральный орган (Росаккредитация);
  2. аккредитованные органы (центры), наделенные специальными полномочиями;
  3. испытательные лаборатории;
  4. изготовители (поставщики) товара.

Право на проведение проверки СЗИ имеют только аккредитованные органы. Аккредитация выдается при наличии у них лицензии на соответствующие виды деятельности.

Добровольный сертификат

На сегодняшний день предприниматели обладают широким спектром возможностей в плане продвижения своего бизнеса. Актуально оформление сертификатов для получения дополнительных преимуществ. Так, заказать документ можно для подтверждения соответствия ГОСТ (на продукцию), ИСО (на систему менеджмента качества). Проверка СМК может быть осуществлена в рамках системы «Промтехсертификация», которая имеет официальную аккредитацию Росстандарта и высоко ценится в России.

Наличие добровольного документа способно принести следующие преимущества:

  1. выход на новые рынки (если речь идет о международном сертификате ISO, то это поможет выйти на иностранный рынок);
  2. увеличение интереса со стороны потенциальных партнеров по бизнесу;
  3. укрепление имиджа;
  4. привлечение средств на развитие проекта, улучшение инвестиционных показателей;
  5. более простое прохождение надзорных экспертиз;
  6. формирование доверительного отношения к компании;
  7. возможность применять знаки соответствия в сопроводительной документации, в рекламе, на упаковке программных продуктов;
  8. рост продаж, повышение рентабельности и многое другое.

Важно! Наличие добровольного документа не избавляет от необходимости проводить обязательную оценку качества, а служит лишь инструментом для продвижения.

Пакет документов для подачи в центр «Рос-Тест»

Чтобы пройти оценку соответствия ГОСТ Р, ИСО или ФСТЭК, потребуется предоставить специалистам «Рос-Тест» полный пакет документов для проверки.

В него необходимо включить:

  • наименование и описание подконтрольной продукции, коды ТН ВЭД и ОКПД 2;
  • перечень продукции, которая будет проходить проверку (номера партии, артикулы, другая информация);
  • идентификационный налоговый номер, основной государственный регистрационный номер, учредительные и уставные документы, юридический и фактический адреса компании-заявителя;
  • техническую документацию, которая используется на предприятии – технологические регламенты и инструкции, стандарт организации, документацию ИСО, технические условия;
  • ранее выданные сертификаты (ТР ТС, иностранные, завершившие действие);
  • документы, указывающие на законность владения производственными площадями (договор аренды, свидетельство о собственности);
  • контракт на поставку, сведения об изготовителе, сопроводительные транспортные документы (если осуществляется поставка оборудования).

Если документы предоставляются на другом языке, следует выполнить их перевод на русский. В некоторых случаях предоставляется возможность подать документы в электронном порядке.

Этапы сертификации

Чтобы стать обладателем подтверждающего документа, предприниматель должен пройти все предусмотренные в этом случае проверки. Как правило, алгоритм действий следующий:

  1. подача заявки в центр «Рос-Тест», оказание консультационных услуг: идентификация товара, определение необходимости проведения оценки качества, выбор схемы;
  2. подготовка комплекта документации – на этой стадии наши сотрудники помогут вам разработать техдокументацию, если это понадобится;
  3. после этого осуществляются лабораторные испытания – провести их можно только в аккредитованной лаборатории, по результатам она должна выдать протоколы (они также направляются в аккредитованный орган на проверку);
  4. если того требует схема, то также осуществляются производственные экспертизы. Для этого на объект выезжают эксперты, оценивают соответствие производства установленным требованиям;
  5. по факту контрольных мероприятий выдается разрешительный документ, ему присваивают идентификационный номер, сведения о нем вносятся в специальный реестр.

За более подробной информацией об оценке соответствия СЗИ обращайтесь в центр «Рос-Тест». Просто позвоните по телефону 8 (800) 100-20-85 или оставьте сообщение в форме обратной связи. Наши сотрудники проведут для вас бесплатную консультацию и помогут в оформлении сертификата.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Читайте также: