Часто задаваемые вопросы (FAQ) — ОКБ САПР

Часто задаваемые вопросы (FAQ) — ОКБ САПР Сертификаты

Основные характеристики

СПО СЗИ Аккорд-Х К:

  • позволяет установить предельно допустимый порог неудачных попыток аутентификации;
  • позволяет контролировать целостность системных файлов, программ и данных;
  • имеет собственную систему разграничения доступа;
  • предотвращает доступ к остаточной информации при освобождении (распределении) памяти;
  • поддерживает управление потоками информации, при этом обработка информации определённого уровня конфиденциальности выполняется только с помощью выделенных программ (процессов);
  • позволяет блокировать множество параллельных сессий пользователя;
  • поддерживает механизм блокировки экрана после некоторого установленного времени неактивности, который дополнен функцией идентификации пользователя при разблокировании СВТ;
  • позволяет контролировать печать из любого прикладного программного обеспечения и маркировать выводимые на печать документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

Программное обеспечение комплекса позволяет администратору безопасности информации реализовать правила разграничения доступа на основе набора атрибутов:

Дискреционные прд для объектов

R

разрешение на открытие файлов только для чтения

W

разрешение на открытие файлов для записи

Х

открытие объекта на выполнение

О

подмена атрибута R атрибутами RW на этапе открытия объекта

C

разрешение на создание файлов на диске

D

разрешение на удаление файлов

N

разрешение на переименование файлов

L

разрешение на создание жесткой ссылки для объекта

Дискреционные прд для контейнеров

M

создание каталогов

E

удаление каталогов

G

разрешение перехода в этот каталог

n

переименование подкаталогов

S

наследование прав на все вложенные подкаталоги

1

наследование прав на 1 уровень вложенности

0

запрет наследования прав на все вложенные подкаталоги

меток доступа, которые могут быть поименованы как уровни секретности либо другим, более удобным образом (количество меток допуска может достигать шестнадцати);

параметров:

  • перечень объектов и прав доступа к ним для группы субъектов;
  • перечень объектов, целостность которых должна контролироваться системой (статический и/или динамический контроль целостности), для конкретного субъекта;
  • перечень объектов, целостность которых должна контролироваться системой (статический и/или динамический контроль целостности), для группы субъектов;
  • перечень системных возможностей субъекта;
  • перечень системных настроек;
  • уровень детальности журнала регистрации событий;
  • назначение/изменение пароля для аутентификации;
  • назначение/изменение идентификатора;
  • временные ограничения – время по дням недели (с дискретностью 30 мин), в которое разрешено начало работ для данного субъекта.


Аккорд-X K может поставляться в двух вариантах:

1) записанное на дистрибутивном носителе (CD или USB-накопителе) СПО Аккорд-X К, которое устанавливается на СВТ под управлением ОС Linux, и средства идентификации пользователя.

2) Аккорд-X К в составе средства обеспечения доверенного сеанса связи (СОДС) МАРШ! — программно-аппаратный комплекс, состоящий из СОДС «МАРШ!» с предустановленным на этапе производства специальным ПО разграничения доступа и средств идентификации пользователя.

Про сертификаты:  Как скопировать сертификат с Рутокена на другой носитель и обратно

Вариант 1 предназначен для использования на СВТ, на которые производится загрузка ОС, установленной на жестком диске этого же СВТ.


Вариант 2 предназначен для случаев, когда на недоверенные компьютеры должна загружаться ОС из доверенного источника. Аккорд-Х К в этом случае загружается вместе с подконтрольной ОС из защищенной от записи памяти устройства «МАРШ!».

Вариант 2 стоит рассмотреть подробнее. Это связано с тем, что наложение дополнительного СЗИ на ПАК СОДС «МАРШ!», единственной функцией которого является обеспечение защищенного соединения с сервером, при поверхностном рассмотрении может показаться неоправданным, поскольку ОС запускается с защищенного от записи раздела памяти (с атрибутом доступа к памяти ReadOnly), а значит, критичные для функционирования ОС файлы не могут быть модифицированы.

Для применения встроенного средства защиты в таком случае есть две группы оснований.

1. Существует всего два основных подхода к обеспечению безопасности данных на АРМ:

  • использование сертифицированных ОС;
  • использование встроенных средств защиты.

С учетом того, что целостность ОС, предустановленной на МАРШ!, защищена технологически, применение сертифицированной ОС без «навесных» средств защиты вполне приемлемо. Однако сертифицированная ОС значительно уступает в гибкости встроенным средствам защиты — она не может быть изменена по желанию заказчика или своевременно обновлена.

Обновляемость ОС и возможность ее комплектации компонентами по выбору Заказчика — это один из основных блоков функциональности СОДС МАРШ! и отказываться от него было бы неверно. Применение Аккорд-Х К позволяет сохранить гибкость работы с ОС, а также обеспечить безопасность и соответствие требованиям нормативной базы.

2. Помимо раздела ReadOnly ПАК СОДС «МАРШ!» может содержать разделы с другими атрибутами доступа:

  • ReadWriteHidden (для хранения обновлений, дополнений функционального ПО, ключевой информации VPN и пр.);
  • AddOnly (для хранения аппаратных журналов событий безопасности);
  • ReadWrite (для хранения пользовательских данных).


Данные разделов, доступных для записи, не защищены от несанкционированной модификации. Контроль их целостности может выполняться с помощью механизмов Аккорд-Х К.

Для того чтобы обеспечить доступ пользователей к ресурсам СОДС «МАРШ!» в соответствии с их функциональными обязанностями, Аккорд-Х К реализует функцию разграничения доступа пользователей. Необходимость выполнения соответствующих настроек Аккорд-Х К обусловливает введение в ролевую структуру СОДС «МАРШ!» привилегированного пользователя — администратора информационной безопасности.

Комплекс в рассматриваемом варианте исполнения обеспечивает выполнение СОДС «МАРШ!» также следующих функций:

  • контроль печати;
  • очистка внешней памяти путем записи маскирующей информации в память при её освобождении (распределении);
  • защита от воздействия вредоносного кода (за счет функции контроля запуска задач).


На последнем стоит остановиться подробнее.

Технологически СОДС «МАРШ!» защищен от атаки с целью внедрения вредоносного кода, так как после окончания доверенного сеанса связи содержимое RO раздела приходит в исходное состояние, и вирус, возможно, полученный в ходе сеанса, не записывается на «МАРШ!».

Про сертификаты:  Обучение в Институте биоинформатики -

Однако добавление в структуру СОДС «МАРШ!» разделов с другими атрибутами доступа делает вероятным запись вирусов в эти разделы. Особенно высока эта вероятность в случае наличия «пользовательского» раздела диска RW, предназначенного для записи пользователем нужных ему для работы в сеансе файлов.

Возможность создания белого списка задач, разрешенных к запуску, исключит вероятность запуска вируса, даже если он запишется на СОДС «МАРШ!».


Кроме того, регулируя атрибутами доступа работу с разными разделами, можно запретить запуск любых задач из любых разделов, кроме раздела RO, оставив возможность только читать данные из остальных разделов и/или писать в них при необходимости.

Библиотека:

Возможности ПАК СЗИ НСД «Аккорд-Х» для ОС Linux

Обеспечение доверенной среды в ОС Linux с использованием ПАК СЗИ НСД «Аккорд-X»

Аппаратная идентификация для входа в ОС GNU/Linux

Возможности:

  1. Защита от несанкционированного доступа к ПЭВМ (включая возможность ограничения разрешенных часов работы каждого пользователя);
  2. Идентификация/ аутентификация пользователей до загрузки операционной системы с возможностью последующей передачи результатов успешной идентификации/аутентификации в ОС;
  3. Аппаратный контроль целостности системных файлов;
  4. Доверенная загрузка ОС;
  5. Статический и динамический контроль целостности данных, их защита от несанкционированных модификаций;
  6. Разграничение доступа пользователей, процессов, к массивам данных (объектам) с помощью дискреционного контроля доступа;
  7. Разграничение доступа пользователей, процессов, к массивам данных (объектам) с помощью мандатного контроля доступа;
  8. Разграничение доступа пользователей, к определенным процессам.
  9. Контроль доступа к периферийным устройствам.
  10. Создание индивидуальной для каждого пользователя изолированной рабочей программной среды;
  11. Автоматическое ведение протокола регистрируемых событий;
  12. Контроль печати на локальных и сетевых принтерах, протоколирование вывода данных на печать, маркировка распечатанных данных (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

Галерея скриншотов:

[1] Информация имеет минимальный уровень значимости, если обладателем информации и (или) оператором степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не может быть определена, но при этом информация подлежит защите в соответствии с законодательством РФ.

[2] Информация имеет низкий уровень значимости, если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.

[3] Изначально раздел с БД имеет атрибуты ReadOnly. В случае необходимости изменения данных администратор может назначить разделу атрибуты ReadWrite на время выполнения административных функций.


ОКБ САПР оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.

Идентификаторы

В качестве идентификатора пользователя могут использоваться USB-токены, USB-ключи, смарт-карты, устройства ШИПКА (на базе ШИПКА-лайт Slim, ШИПКА-2.0 CCID или других моделей), ТМ-идентификаторы. Количество и тип идентификаторов оговариваются при поставке комплекса. Персональные идентификаторы заказываются отдельно.

Контроллеры «аккорд-амдз»

«Аккорд-АМДЗ» может быть реализован на различных контроллерах, предназначенных для работы с разными шинными интерфейсами СВТ. При этом его базовая функциональность всегда остается одинаковой (вне зависимости от типа контроллера) и соответствует заявленной и отраженной в конструкторской и эксплуатационной документации.

Про сертификаты:  Возможные ошибки при работе с ЭЦП – Инструкции и полезные статьи

Это может быть:

Все контроллеры допускают возможность расширения функций с «Аккорд-АМДЗ» до ПАК «Аккорд» (например, «Аккорд-Win32/64», «Аккорд-X», «Аккорд-В.»). Можно выбирать «Аккорд-АМДЗ» на базе любого контроллера, не опасаясь что, если в дальнейшем Вам понадобится добавить СПО разграничения доступа, компоненты окажутся несовместимы.

Презентации:

Особенности реализации программно-аппаратных средств защиты информации для работы в ОС Linux (доклад на конференции “Red Hat для государственных учреждений” (Москва, 27 ноября 2007 года))

Сертификат фстэк россии №2400 на комплекс сзи нсд «аккорд-win64» — окб сапр

Действителен до: 10.08.2020

СЕРТИФИКАТ СООТВЕТСТВИЯ

№ 2400

Действителен до 10 августа 2020г.

Сертификат ФСТЭК России №2400 на комплекс СЗИ НСД «Аккорд-Win64» (технические условия ТУ 4012-037-11443195-10 06, руководящие документы «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) –3 класс защищенности, «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – 2 уровень контроля).

Сравнение с пак сзи аккорд-х

Для реализации функций защиты (в первую очередь доверенной загрузки) Аккорд-Х использует контроллер. Отсутствие контроллера в составе Аккорд-Х К обуславливает некоторые различия в реализации функций. Различия рассмотрены в таблице ниже.

Съемники информации


Съемники информации предназначены для считывания данных с ТМ-идентификаторов, смарт-карт и бесконтактных RFID-меток.

Часто задаваемые вопросы (faq) — окб сапр

32. У нас на сервере установлен ПАК Аккорд-Win32/Аккорд-Win64 TSE. При попытке подключения к серверу с помощью ШИПКи-2.0 возникает сообщение «The card supplied requires drivers that are not present on this system. Please try another card» («Имеющаяся плата требует наличия драйверов, отсутствующих в системе. Попробуйте использовать другую плату»). Что можно сделать?

Оцените статью
Мой сертификат
Добавить комментарий