Средство доверенной загрузки SafeNode System Loader

Предназначено для обеспечения доверенной загрузки операционных систем семейств Windows/Unix/Linux на персональных компьютерах и серверах с архитектурой x86.

Позволяет осуществлять:

• Идентификацию и аутентификацию пользователей;
• Контроль целостности программной и аппаратной среды;
• Передачу управления доверенному загрузчику ОС.

На этапе загрузки защищает от:

• Подмены штатной ОС, загрузки компьютера с внешнего носителя или нештатного жесткого диска, передачи управления не доверенному загрузчику с последующим контролем над файловой системой и кражей файлов с конфиденциальной информацией;
• Загрузки вредоносного кода в UEFI BIOS с последующим запуском вирусов, троянов и червей;
• Перехвата данных и отключения базовых механизмов работы операционной системы и ее защиты;
• Модификации UEFI BIOS.

Нормативные акты

Применение СДЗ обеспечивает выполнение требований приказов ФСТЭК России:

• №17 по защите государственных информационных систем (ГИС);
• №21 по защите информационных систем персональных данных (ИСПДн);
• №31 по защите автоматизированных систем управления технологическим процессом (АСУ ТП);
• №239 по защите значимых объектов критической информационной инфраструктуры (КИИ).

Применимость

СДЗ «SafeNode System Loader» соответствует требованиям руководящих документов ФСТЭК России к средствам доверенной загрузки уровня базовой системы ввода-вывода 2 класса и может использоваться для построения:

• автоматизированные системы, обрабатывающие сведения, составляющие государственную тайну, до класса защищённости 2А включительно;
• автоматизированные системы, не обрабатывающие сведения, составляющие государственную тайну, до класса защищенности 1Г включительно;
• государственные информационные системы до класса защищенности К1 включительно;
• информационные системы персональных данных до 1 уровня защищенности включительно;
• автоматизированные системы с технологическими процессами до 1 класса защищенности включительно;
• значимые объекты критической информационной инфраструктуры до 1 категории включительно.
• доверенная загрузка операционных систем семейства Linux и Microsoft Windows автономно и в доменах Microsoft AD, FreeIPA, Samba DC AD, ALD Pro.

Централизация

• Централизованное развёртывание средства доверенной загрузки с сервера Блокхост-Сеть 4;
• Иерархическая система управления Блокхост-Сеть 4, позволяющая сформировать и настроить политики безопасности для рабочих станций в защищаемой сети;
• Сбор событий аудита по иерархии серверов Блокхост-Сеть 4 с последующей передачей в SIEM. Доступен удалённый доступ к журналам в режиме реального времени. Выгрузка событий происходит как до загрузки ОС, в среде UEFI, так и после, в операционной системе.

Основные возможности продукта

• Защита от несанкционированного доступа на этапе загрузки устройства;
• Обеспечение блокировки загрузки нештатных операционных систем.
• Контроль неизменности состава модулей UEFI методом проверки целостности, а также целостности системных таблиц UEFI.
• Двухфакторная аутентификация до загрузки операционной системы.
• Возможность локальной проверки цифровых сертификатов при двухфакторной аутентификации
• Дополнительная проверки паролей пользователей в службе каталогов (FreeIPA, Active Directory, Samba DC);
• Установка в UEFI BIOS различных производителей;
• Контроль работоспособности ОЗУ.

Поддерживаемые носители (токены и смарт-карты)

JaCarta PKI, JaCarta ГОСТ (USB-носитель и смарт-карта), JaCarta PKI/ГОСТ, JaCarta-2 ГОСТ (USB-носитель и смарт-карта), Рутокен ЭЦП, Рутокен ЭЦП 2.0 (USB-носитель и смарт-карта), Рутокен ЭЦП 3.0 (USB-носитель и смарт-карта), Рутокен Lite, Рутокен 2151, Рутокен ЭЦП PKI (смарт-карта), eToken Pro Java, SafeNet eToken 5100, SafeNet eToken 5105, SafeNet eToken 5200, SafeNet eToken 5205, Guardant ID 2.0.

Перечень реализуемых мер защиты согласно приказам ФСТЭК России № 17, № 21, № 31 и № 239

1. Идентификация и аутентификация пользователей, являющихся работниками оператора (ИАФ.1). В изделии реализован механизм идентификации и аутентификации пользователей, являющихся работниками оператора с использованием уникальных учетных записей и паролей, а также персональных электронных идентификаторов. Список поддерживаемых идентификаторов приведен в пункте 3.1 настоящего документа.
2. Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов (ИАФ.3). В изделии реализована возможность управления уникальными идентификаторами пользователей. Данная функция доступна администратору безопасности после успешного прохождения им процедуры идентификации и аутентификации. Описание порядка управления идентификаторами пользователей приведено в разделе 8 документа «Средство доверенной загрузки «SafeNode System Loader». Руководство по эксплуатации. Часть 2. Руководство администратора. ГМТК.468269.060РЭ2».
3. Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации (ИАФ.4). В изделии реализован механизм управления средствами аутентификации пользователей, позволяющий осуществлять хранение в базе данных изделия информации о средствах аутентификации и их сопоставление с пользователями. Указанный механизм осуществляет блокирование загрузки ОС пользователями в случае предъявления ими незарегистрированных (не связанных с каждым конкретным пользователем) средств аутентификации. В случае утраты средств аутентификации доверенная загрузка ОС невозможна для пользователя, утратившего средство аутентификации. Описание порядка управления идентификаторами пользователей приведено в разделе 8 документа «Средство доверенной загрузки «SafeNode System Loader». Руководство по эксплуатации. Часть 2. Руководство администратора. ГМТК.468269.060РЭ2».
4. Защита обратной связи при вводе аутентификационной информации (ИАФ.5). В изделии реализована защита обратной связи при вводе аутентификационной информации пользователями и администратором безопасности. При вводе паролей и PIN-кодов средств аутентификации вводимая пользователями информация отображается условными знаками «*» по количеству вводимых символов.
5. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, за исключением внешних пользователей (УПД.1). В изделии реализована возможность управления уникальными идентификаторами пользователей. Данная функция доступна администратору безопасности после успешного прохождения им процедуры идентификации и аутентификации. Описание порядка управления идентификаторами пользователей приведено в разделе 8 документа «Средство доверенной загрузки «SafeNode System Loader». Руководство по эксплуатации. Часть 2. Руководство администратора. ГМТК.468269.060РЭ2». При использовании изделия все учетные записи пользователей являются внутренними, работа внешних пользователей не предусмотрена в связи с назначением (спецификой применения) изделия.
6. Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы (УПД.4). В изделии реализовано разделение полномочий администратора безопасности, аудиторов и пользователей. Администратору безопасности доступно управление параметрами и данными изделия после обязательного прохождения идентификации и аутентификации без возможности загрузки ОС. Пользователи не имеют полномочий для управления параметрами и данными изделия, после прохождения идентификации и аутентификации им доступна только доверенная загрузка ОС (при отсутствии ошибок контроля целостности). Аудиторы в дополнение к привилегиям пользователей имеют возможность просматривать журнал аудита изделия и экспортировать его на внешний носитель.
7. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы (УПД.5). В изделии реализованы следующие роли безопасности: администратор безопасности (встроенная учетная запись), аудиторы и пользователи. Удаление встроенной учетной записи администратора безопасности исключено. Выбранная модель ролей безопасности исключает возможность управления параметрами, а также данными изделия аудиторами и обычными пользователями.
8. Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) (УПД.6). В изделии реализован механизм ограничения неуспешных попыток входа пользователей и администратора безопасности. Количество попыток входа устанавливается в пределах от 1 до 8 попыток администратором безопасности после его идентификации и аутентификации. После исчерпания попыток идентификации и аутентификации пользователем его дальнейший доступ в систему блокируется, при этом в зависимости от установленной политики аутентификации блокируется учетная запись конкретного пользователя, группы пользователей или всех пользователей.
9. Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы (УПД.9). В изделии в один момент времени возможна работа администратора безопасности (управление параметрами и данными изделия), либо идентификация и аутентификация пользователей (аудиторов) и последующая доверенная загрузка ОС.
10. Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу (УПД.10). В изделии реализовано блокирование доступа пользователей после истечения времени на идентификацию и аутентификацию. После истечения времени идентификации и аутентификации пользователей возможна перезагрузка или выключение средства вычислительной техники. Интервал времени идентификации и аутентификации пользователей устанавливается в пределах от 1 до 30 минут администратором безопасности после его идентификации и аутентификации.
11. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации (УПД.11). В изделии запрещены любые действия администратора безопасности и пользователей до их успешной идентификации и аутентификации.
12. Обеспечение доверенной загрузки средств вычислительной техники (УПД.17). Основное назначение изделия.
13. Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации (ОЦЛ.1). Изделие реализует контроль целостности объектов (файлов) загружаемой ОС, данных пользователя, каталогов, объектов реестра ОС семейства Microsoft Windows, аппаратных устройств СВТ, загрузочных секторов устройств хранения данных, переменных и драйверов среды UEFI, таблиц ACPI и SMBIOS, завершенности транзакций журналов файловых систем NTFS, EXT3, EXT4. В изделии реализован механизм контроля целостности собственного встроенного программного обеспечения.
14. Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций (ОЦЛ.3). В изделии реализован механизм автоматического восстановления собственного программного обеспечения при возникновении нештатных ситуаций из резервного хранилища изделия.

Вид поставки

Сертифицированный установочный комплект «СЗИ от НСД «Блокхост-Сеть 4» (дистрибутив, формуляр, сертификат).

Способ получения средства доверенной загрузки SafeNode System Loader

Для уточнения деталей о получении данного решения, просьба обратиться к вашему менеджеру со стороны Positive Technologies или со стороны партнера ООО «Газинформсервис», или написать по адресу pt@ptsecurity.com.