Доверяй и загружай. Обзор отечественных средств доверенной загрузки

Несанкционированный доступ к информации — наиболее частая и вероятная угроза информационной безопасности для любой организации. Может привести не только к финансовым и репутационным потерям, но и к прекращению существования организации как таковой. 

Наиболее часто несанкционированный доступ к данным происходит при помощи вредоносных программ, функционирующих до загрузки операционной системы, на уровне BIOS. Для решения этой проблемы и нужны средства доверенной загрузки.

Средства доверенной загрузки — это программные или программно-аппаратные средства, позволяющие осуществлять запуск операционной системы исключительно с доверенных носителей информации (например, жестких дисков). Помимо этого данные средства:

• Контролируют целостность загруженных файлов и сверяют их с эталонными значениями, хранимые в памяти недоступной для ОС.
• Обеспечивают идентификацию и аутентификацию пользователей до загрузки ОС.
• Осуществляют запрет загрузки нештатных копий ОС с недоверенных внешних носителей информации. 

Типы средств доверенной загрузки

Средства доверенной загрузки могут быть: 

1. Программные. Делятся на средства доверенной загрузки BIOS и уровня загрузочной записи. Первые встраиваются в BIOS, что позволяет выполнять свои функции до загрузки ОС. Другие заменяют загрузочную запись на жестком диске и действуют до того, как управление перешло на уровень операционной системы.
2. Аппаратные. Такие устройства встраиваются в корпус компьютера, подключаясь к материнской плате через PCI-разъем. 

Аппаратные средства доверенной загрузки имеют значительные преимущества перед своими программными аналогами, хоть и доверенная загрузка не может быть выполнена чисто аппаратно. 

Главные преимущества аппаратных средств:

• Высокая степень защищенности конфиденциальной информации о паролях, ключах и контрольных суммах системных файлов. 
• Невозможность запустить компьютер, не вскрывая его содержимого;
• При шифровании загрузочного сектора, невозможно запустить ОС, даже после извлечения аппаратного модуля;
• При полном шифровании, невозможно получить любые данные после извлечения аппаратного модуля.

Требования к средствам доверенной загрузки, утверждены Приказом ФСТЭК России от 27 сентября 2013 г. № 119. Отечественные производители руководствуются требованиями регулятора и стремятся выполнять требования действующего законодательства в области защиты информации. Выполнение этих требований позволяет вендорам сертифицировать во ФСТЭК и ФСБ России свои продукты, что впоследствии дает возможность использовать их в информационных системах для обработки конфиденциальных данных. 

Факторы при выборе средств доверенной загрузки

Когда речь идет о выборе подходящего средства доверенной загрузки для вашей организации, необходимо учитывать несколько ключевых факторов. 

Прежде всего, очень важна совместимость. Необходимо убедиться, что выбранные вами средства доверенной загрузки совместимы с существующими системами и операционными системами. Это важно, чтобы избежать возможных конфликтов или проблем с производительностью, которые могут возникнуть из-за несовместимости инструментов. Потратьте время на изучение спецификаций и системных требований рассматриваемых инструментов и убедитесь, что они соответствуют вашей текущей ИТ-среде.

Далее рассмотрите уровень безопасности, обеспечиваемый средствами доверенной загрузки. Различные инструменты обеспечивают разную степень защиты, поэтому важно выбрать решение, отвечающее требованиям безопасности вашей организации. Ищите инструменты, которые прошли тщательное тестирование и были подтверждены независимыми экспертами по безопасности. Рассмотрите конкретные функции безопасности, такие как безопасное хранение ключей, проверка целостности и устойчивость к взлому. Чем более комплексными будут меры безопасности, тем лучше будут защищены ваши системы.

Простота внедрения и управления - еще один важный фактор, который следует учитывать. Выбор средств доверенной загрузки, которые просты в развертывании и управлении, поможет вашей организации сэкономить время и ресурсы в долгосрочной перспективе. Ищите инструменты с понятной документацией и удобными интерфейсами, которые упрощают процесс установки и настройки. Обратите внимание на то, предоставляют ли эти инструменты возможности централизованного управления, позволяющие легко контролировать и управлять несколькими системами с единой консоли.

Также следует обратить внимание на репутацию и поддержку поставщика. Выбор средств доверенной загрузки от авторитетных поставщиков, зарекомендовавших себя в сфере кибербезопасности, может обеспечить спокойствие. Изучите историю поставщика, отзывы клиентов и его присутствие на рынке, чтобы оценить его надежность и опыт. Кроме того, обратите внимание на уровень поддержки, предлагаемой поставщиком. Ищите поставщиков, которые предоставляют всестороннюю техническую помощь, регулярно обновляют программное обеспечение и своевременно реагируют на любые возникающие вопросы и проблемы.

Наконец, для организаций, работающих в России, очень важно соответствие российским нормам и стандартам. Очень важно выбирать средства доверенной загрузки, которые соответствуют особым требованиям и рекомендациям по безопасности, установленным российским правительством. Средства должны состоять в Едином реестре сертифицированных средств защиты информации ФСТЭК РФ. Соблюдение этих требований не только поможет вам выполнить юридические обязательства, но и продемонстрирует ваше стремление поддерживать самые высокие стандарты безопасности.

Российские решения ДЗ

Аккорд-АМДЗ

«Доверенная загрузка в Аккорд-АМЗД» — это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.

Комплекс начинает работу сразу после выполнения кода системного BIOS компьютера — до загрузки операционной системы. Контроллеры семейства «Аккорд-АМДЗ» обеспечивают доверенную загрузку ОС, поддерживающих наиболее распространенные файловые системы, включая: FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, Ext4, ReiserFS, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX. Это, в частности, ОС семейств MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD и др.

 Аккорд-АМДЗ применяется в следующей конфигурации:

• контроллер («Аккорд-АМДЗ») — представляет собой карту расширения (expansion card), устанавливаемую в свободный слот материнской платы СВТ (РС). Контроллер является универсальным, не требует замены при смене используемого типа операционной системы (ОС);
• съемник информации с контактным устройством, обеспечивающий интерфейс между контроллером комплекса и персональным идентификатором пользователя;
• персональный идентификатор пользователя— специальное устройство, содержащее уникальный признак пользователя, с которым зарегистрированный пользователь входит в систему и который используется системой для определения его прав, а также для регистрации факта доступа и характера выполняемых им работ или предоставляемых ему услуг.
• Количество и тип идентификаторов, модификация контроллера и съемника оговариваются при поставке комплекса. Персональные идентификаторы и съемники информации заказываются отдельно.

СДЗ Dallas Lock

Решение уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, и иной информации с ограниченным доступом. СДЗ Dallas Lock выполняет свои функции (включая администрирование параметров изделия и просмотр журнала) до начала загрузки штатной операционной системы (ШОС).

СДЗ Dallas Lock - программно-аппаратное средство, блокирующее попытки несанкционированной загрузки нештатной операционной системы. Также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.

3 форм-фактора для удобной интеграции в различные модели АРМ:

• PCI Express
• Mini PCI Express
• M2

Ключевые возможности СДЗ Dallas Lock:

1. Независимость от штатной ОС. 
2. Полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC (согласно новым требования ФСТЭК России об изолировании СДЗ), включая разграничение доступа к управлению СДЗ и централизованное управление файлами конфигурации и отчетами. Поддерживается авторизация с использованием доменных учетных записей.
3. Полноценная поддержка UEFI и безопасного режима загрузки UEFI («Secureboot»). Возможность подключения платы в разъем M.2. Собственные часы с независимым источником питания и возможность подключения датчика вскрытия корпуса (для варианта исполнения – PCIe «KT-500»). «Сторожевой таймер», необходимый в случае невозможности подключить провод аппаратного «сторожевого таймера» к разъему «Reset» или «Power» ЭВМ. Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ. Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.
4. Обеспечена совместимость со следующими аппаратными идентификаторами: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), электронные ключи Touch Memory (iButton), ESMART. Поддержка считывателя КТ-ТМ, предназначенного для работы с ключами Touch Memory.

ViPNet SafeBoot

Сертифицированный высокотехнологичный программный модуль доверенной загрузки (ПМДЗ), устанавливаемый в UEFI BIOS различных производителей. Предназначен для защиты ПК, мобильных устройств, серверов (в том числе и серверов виртуализации) от различных угроз несанкционированного доступа (НСД) на этапе загрузки и от атак на BIOS.

Защита для компьютеров и серверов должна действовать с момента их включения. Время с момента включения до старта операционной системы является ключевым для доверия к системе в целом. На самых ранних этапах загрузки есть риск:

• передачи управления недоверенному загрузчику;
• загрузки вредоносного кода в UEFI;
• перехвата данных и отключения базовых защитных механизмов.

Все это может привести к обходу всех установленных в операционной системе средств защиты и краже информации. Встраивание модуля доверенной загрузки ViPNet SafeBoot защищает компьютер от этих угроз и делает систему доверенной. 

Возможности ViPNet SafeBoot:

Строгая двухфакторная аутентификация — Аутентификация пользователя с помощью токена с сертификатом формата x.509 (двухфакторная), пароля или их сочетания. 

Поддерживаемые идентификаторы:

• JaCarta PKI
• Rutoken ЭЦП
• Rutoken ЭЦП 2.0
• Rutoken Lite
• Guardant ID

Контроль целостности. Чтобы платформе можно было доверять, нужна гарантия, что все важные модули, загружаемые при старте системы, неизменны. Поэтому ViPNet SafeBoot проверяет целостность:

• всех ключевых модулей UEFI BIOS;
• загрузочных секторов жесткого диска;
• таблиц ACPI, SMBIOS, карты распределения памяти;
• файлов на дисках с системами FAT32, NTFS, EXT2, EXT3, EXT4 (ViPNet SafeBoot не важно какая операционная система установлена);
• реестра Windows;
• ресурсов конфигурационного пространства PCI/PCe;
• CMOS (содержимого энергонезависимой памяти);
• завершенности транзакций — NTFS, EXT3, EXT4.

Поручите это профессионалам

Порой вопрос выбора и внедрения правильного средства доверенной загрузки может оказаться непосильным. Именно здесь на помощь приходит помощь экспертов. Сотрудничайте с системными интеграторами — опытными профессионалами в области ИБ, которые смогут разработать индивидуальную стратегию защиты с учетом ваших потребностей. С помощью их опыта и отечественных средств доверенной загрузки вы можете быть уверены, что ваши данные действительно в безопасности.

Готовы взять под контроль свою цифровую безопасность? Оставьте заявку на нашем сайте — наша команда ответит на все вопросы, подберет идеальное средство доверенной загрузки для ваших нужд, проведет пилотный проект и демонстрацию возможностей системы, осуществит интеграцию в существующую инфраструктуру компании.