На российском рынке информационной безопасности представлено большое количество средств защиты информации от несанкционированного доступа (СЗИ от НСД) для серверов и рабочих станций. Многим корпоративным и государственным заказчикам сложно сориентироваться в огромном количестве представленных решений и выбрать действительно качественную и эффективную защиту.
В данной статье мы расскажем, каким требованиям должны соответствовать средства защиты для конечных точек, на что должен обратить внимание заказчик при выборе решения, рассмотрим основных игроков российского рынка СЗИ от НСД в сегменте Endpoint Security и особенности линейки продуктов Dallas Lock Центра защиты информации компании «Конфидент».
2. На что должен обратить внимание заказчик при выборе решения
3. Основные игроки российского рынка СЗИ от НСД в сегменте Endpoint Security
4. Продуктовая линейка Dallas Lock Центра защиты информации компании «Конфидент»
Введение
Сертифицированные СЗИ от НСД сегодня особенно востребованы из-за необходимости выполнения требований действующего законодательства и нормативно-правовых актов в области защиты информации:
- Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992)).
- Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
- Закон Российской Федерации № 5485-I «О государственной тайне» от 21 июля 1993 г. и другие.
Для серверов и рабочих станций используются решения класса Endpoint Security. Типовой набор средств защиты включает в себя: классические средства, обеспечивающие разграничение доступа пользователей к ресурсам (СЗИ НСД), контроль портов, устройств, подключения съемных машинных носителей информации (СКН), средство доверенной загрузки (СДЗ), средство антивирусной защиты (САВЗ), персональный межсетевой экран (МЭ), систему обнаружения вторжений уровня узла (хоста) (СОВ).
Каждый перечисленный тип СЗИ должен удовлетворять определенным требованиям руководящих и нормативных документов ФСТЭК России. На сегодняшний день можно выделить следующий перечень документов, на соответствие которым должны быть сертифицированы средства защиты информации:
Руководящие документы:
- Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Гостехкомиссия России, 1992 г. (для удобства в статье будем называть — РД СВТ).
- Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Гостехкомиссия России, 1992 г. (для удобства в статье будем называть — РД НДВ).
Требования ФСТЭК России:
- Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. № 638.
- Требования к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. № 28.
- Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. № 119.
- Требования к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. № 87.
- Требования к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. № 9).1
- Требования безопасности информации к операционным системам, утвержденные приказом ФСТЭК России от 19 августа 2016 г. № 119.
1Отдельно отметим, что согласно Информационному сообщению ФСТЭК России от 27.03.2017 г. «по вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации» допускается применение межсетевых экранов, сертифицированных на соответствие РД МЭ (при условии наличия действующих сертификатов соответствия требованиям по безопасности). Подробности см. в Информационном сообщении ФСТЭК России.
Сделаем несколько пояснений. На соответствие требованиям РД СВТ обычно сертифицируются СЗИ от НСД для разграничения доступа пользователей к ресурсам компьютера. Кроме того, данные СЗИ обычно включают и подсистему контроля съемных носителей и сертифицируются на соответствие требованиям к СКН (Приказ № 87). Проверку на отсутствие НДВ может проходить программное обеспечение СЗИ всех типов.
На что должен обратить внимание заказчик при выборе решения
Правовые вопросы
В первую очередь при выборе решения следует обращать внимание на наличие сертификатов соответствия регуляторов для формального выполнения требований по безопасности.
Кроме того, необходимо оценить возможность использования, выбранного СЗИ в информационных системах (ИСПДн, ГИС, АСУ ТП и др.), так как сейчас такая возможность явно не указывается в сертификатах. Например, если подобранный антивирусный продукт будет сертифицирован только на соответствие ТУ, а не на соответствие профилям защиты для антивирусных средств, то применение такого продукта для закрытия мер защиты АВЗ.1 и АВЗ.2 в ГИС или ИСПДн будет нелегитимно.
Также должна быть обеспечена совместимость продукта со средой функционирования. Например, если СЗИ приобретается для установки на Windows 8, то возможность функционирования СЗИ в данной версии операционной системы должна быть обязательно отражена в Формуляре и Технических условиях. Иначе применение, как и в предыдущем случае, не обеспечит формального выполнения требований.
Еще стоит обратить внимание на сроки присутствия вендора и продукта на рынке. Это напрямую связано с возможностью продления сертификатов и выпуском сертифицированных обновлений. Выбор в пользу разработчика с большим стажем на рынке и с достаточно «взрослым» решением снижает риски непродления сертификата, ухода продукта или вендора с рынка, а также может служить гарантией того, что продукт будет периодически обновляться.
Экономические аспекты
При выборе решения необходимо учитывать ценовую политику вендора и совокупную стоимость владения системой. Обратить внимание следует на:
- схему лицензирования;
- стоимость технической поддержки;
- условия перехода на более новые версии.
Если продукт с технической точки зрения сложный, то необходимо учесть стоимость внедрения продукта силами инженеров разработчика (интегратора) или обучения своих администраторов работе с СЗИ.
Технические показатели
С технической точки зрения необходимо уделить внимание следующим критериям:
- удобство и простота установки;
- для технически сложных решений оценить наличие услуг интеграции с привлечением инженеров вендора / системного интегратора или возможность обучения своих администраторов работе с СЗИ;
- для СЗИ от НСД, работающих в сетевом режиме, наличие возможности централизованного управления с помощью единой консоли;
- стабильность работы в процессе эксплуатации (можно определить с помощью демоверсии);
- наличие дополнительных полезных функций, помимо базовых механизмов защиты СЗИ от НСД;
- совместимость с другими технологиями и продуктами СЗИ;
- возможность масштабирования решения;
- наличие технической поддержки.
Следует обратить внимание на комплексные решения, когда продукт включает несколько типов СЗИ в виде модулей. Продукты разных вендоров плохо совместимы между собой, и, как правило, их одновременное применение приводит к нарушению функционирования и замедлению работы защищаемой системы. Комплексные решения, которые объединяют несколько защитных механизмов, упрощают администрирование, исключают конфликты в работе подсистем и существенно упрощают масштабируемость продукта.
Огромным плюсом также будет являться наличие решений у одного вендора для разных операционных систем (Windows, Linux) и возможность управления всеми продуктами и компонентами с помощью единой консоли.
Основные игроки российского рынка СЗИ от НСД в сегменте Endpoint Security
В настоящее время среди основных игроков рынка СЗИ от НСД в сегменте Endpoint Security можно выделить:
- продукты линейки СЗИ от НСД Secret Net, Secret Net Studio и ПАК «Соболь» («Код Безопасности»);
- продукты линейки СЗИ (СЗИ от НСД, МЭ, СОВ, СКН, СДЗ) Dallas Lock («Конфидент»);
- продукты линейки СЗИ от НСД «Аккорд» (ОКБ САПР);
- СЗИ от НСД «Блокхост-сеть К» и «Блокхост-АМДЗ 2.0» («Газинформсервис»);
- продукты СЗИ от НСД «ПАНЦИРЬ» («НПП «Информационные технологии в бизнесе»).
Таблица 1. Крупнейшие игроки рынка СЗИ от НСД и их сертифицированные решения класса Endpoint Security
Вендор, СЗИ |
Классы сертификации СЗИ |
|||||||
СВТ | НДВ | САВЗ | СОВ | СДЗ | СКН | МЭ | ОС | |
«Код Безопасности» | ||||||||
Secret Net Studio (серт. ФСТЭК № 3675) |
3 кл. | 2 ур. | 2 кл. | |||||
Secret Net 7 (серт. ФСТЭК № 2707) |
3 кл. | 2 ур. | ||||||
Secret Net LSP (серт. ФСТЭК № 2790) |
5 кл. | 4 ур. | ||||||
СДЗ ПАК «Соболь» (серт. ФСТЭК № 1967) |
2 ур. | 2 кл. | ||||||
«Конфидент» | ||||||||
СЗИ Dallas Lock 8.0-С (серт. ФСТЭК № 2945) |
3 кл. | 2 ур. | 4 кл. | 2 кл. | 3 кл. | |||
СЗИ Dallas Lock 8.0-К (серт. ФСТЭК № 2720) |
5 кл. | 4 ур. | 4 кл. | 4 кл. | 3 кл. | |||
СЗИ Dallas Lock Linux (серт. ФСТЭК № 3594) |
5 кл. | 4 ур. | ||||||
СДЗ Dallas Lock (серт. ФСТЭК № 3666) |
2 ур. | 2 кл. | ||||||
ОКБ САПР | ||||||||
«Аккорд-АМДЗ» (серт. ФСТЭК №246/7) |
2 ур. | |||||||
«Аккорд-WIN32» (серт. ФСТЭК № 2398) |
3 кл. | 2 ур. | ||||||
«Аккорд-WIN64» (серт. ФСТЭК № 2400) |
3 кл | 2 ур | ||||||
«Газинформсервис» | ||||||||
«Блокхост-сеть К» (серт. ФСТЭК № 2766) |
3 кл. | 2 ур. | 4 кл. | |||||
«Блокхост -АМДЗ» 2.0 (серт. ФСТЭК № 3700) |
2 ур. | 2 кл. | ||||||
НПП ИТБ | ||||||||
«ПАНЦИРЬ+» (серт. ФСТЭК №3473) |
5 кл. | 4 ур. | 4 кл. | |||||
«ПАНЦИРЬ-К» (Серт. ФСТЭК № 1973) |
5 кл. | 4 ур. |
Как видно из таблицы, наиболее комплексным решением Endpoint Security (включает больше всего сертифицированных модулей защиты) является линейка продуктов Dallas Lock Центра защиты информации компании «Конфидент». Рассмотрим ее более подробно.
Продуктовая линейка Dallas Lock Центра защиты информации компании «Конфидент»
Продуктовая линейка Dallas Lock Центра защиты информации компании «Конфидент» представлена современными средствами защиты информации для платформ Windows и Linux. Решения компании позволяют не только привести информационные системы в соответствие требованиям законодательства, но и создать их комплексную защиту благодаря таким уникальным возможностям, как наличие элементов функциональности DLP и SIEM систем, управления привилегированными пользователями, создание доверенной рабочей среды.
Продукты компании «Конфидент» применяются для защиты конфиденциальной информации и информации, составляющей государственную тайну до уровня «совершенно секретно» включительно, в АС до класса защищенности 1Б включительно, в ГИС всех классов защищенности и для обеспечения всех уровней защищенности ПДн. Предназначены для разграничения, защиты и контроля доступа, межсетевого экранирования.
Набор сертификатов соответствия ФСТЭК России для защиты конечных точек охватывает следующие решения:
- защита от несанкционированного доступа (НСД) для ОС Windows и Linux;
- персональный межсетевой экран (МЭ);
- система обнаружения и предотвращения вторжений (СОВ);
- средство контроля съемных машинных носителей информации (СКН);
- средство доверенной загрузки (СДЗ) уровня платы расширения;
- система защиты информации виртуальных инфраструктур (СЗИ ВИ) Dallas Lock (планируемый срок окончания сертификационных испытаний в системе ФСТЭК России — 2 квартал 2017 г.).
СЗИ от НСД Dallas Lock Linux — сертифицированная СЗИ от НСД накладного типа, предназначенная для защиты конфиденциальной информации, в том числе содержащейся в автоматизированных системах до класса защищенности 1Г включительно, в государственных информационных системах до 1 класса защищенности включительно, в информационных системах персональных данных для обеспечения 1 уровня защищенности ПДн, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно.
Ключевые особенности:
- Поддерживает широкий набор современных дистрибутивов ОС семейства Linux.
- Консоль удаленного управления СЗИ из ОС Windows и Linux.
- Сервис-ориентированная архитектура.
- Современный графический интерфейс (GUI).
- Универсальная лицензия.
СЗИ Dallas Lock 8.0 (НСД, СКН) — сертифицированная система защиты информации накладного типа для автономных и сетевых АРМ (применима для сложных сетевых инфраструктур). Предназначена для защиты конфиденциальной информации (редакции «К» и «С»), в том числе содержащейся в автоматизированных системах до класса защищенности 1Б включительно, в государственных информационных системах до 1 класса защищенности включительно, в информационных системах персональных данных для обеспечения 1 уровня защищенности ПДн, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно, а также для защиты информации, содержащей сведения, составляющие государственную тайну (редакция «С») до уровня «совершенно секретно» включительно.
Ключевые особенности:
- Собственные сертифицированные механизмы управления информационной безопасностью, дублирующие (подменяющие) стандартные механизмы ОС Windows.
- Возможность применения в различных версиях и редакциях ОC Windows (от Windows XP до Windows 10) на персональных, портативных компьютерах (ноутбуках, планшетах), серверах (от Windows Server 2003 до Windows Server 2016), в виртуализированных средах.
- Широкий набор дополнительных возможностей.
- Наличие встроенного модуля СКН — это сертифицированное средство контроля съемных машинных носителей информации (в соответствии с Требованиями ФСТЭК России к СКН).
- Бесшовная интеграция с другими решениями продуктовой линейки Dallas Lock.
- Совместимость с ИТ-/ИБ-решениями других производителей.
Межсетевой экран Dallas Lock (МЭ) — сертифицированный модуль СЗИ от НСД Dallas Lock 8.0, выполняющий функции персонального межсетевого экрана с централизованным управлением, аудитом событий информационной безопасности и предназначенный для защиты рабочих станций и серверов от несанкционированного доступа по сети. МЭ осуществляет контроль и фильтрацию проходящих через интерфейсы ПК сетевых пакетов в соответствии с заданными правилами, блокирует нежелательную сетевую активность и уведомляет о попытках нарушения заданных правил. Модуль тесно интегрирован с СЗИ от НСД Dallas Lock 8.0, что позволяет производить централизованное развертывание и настройку функционала НСД и МЭ из единого общего интерфейса.
Ключевые особенности:
- Впервые в России поддержка Windows 10.
- Защита конфиденциальной информации в сетях, подключенных к сетям общего пользования.
- Интеграция с СЗИ Dallas Lock 8.0.
- Гибкая настройка правил фильтрации в соответствии с сетевой моделью OSI всех уровней.
Система обнаружения и предотвращения вторжений Dallas Lock (СОВ) — сертифицированная гибридная система обнаружения и предотвращения вторжений уровня узла в программном исполнении.
Ключевые особенности:
- Эвристический и сигнатурный анализ попыток нарушения безопасности.
- Обновление сигнатур сетевых атак и сигнатур анализа журналов ОС.
- Защита от атак на сетевые протоколы модели OSI различных уровней.
- Перехват вызова функций ОС, гибкая настройка ограничения доступа к системным функциям для недоверенных приложений.
- Гибкая настройка уровня реагирования системы и детализации журналов.
Средство доверенной загрузки Dallas Lock (СДЗ) — сертифицированное средство доверенной загрузки уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, а также для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах, информационных системах персональных данных.
Ключевые особенности:
- Полноценная поддержка интерфейса UEFI.
- Разъемы для подключения: PCI (через переходник), PCI-Express, Mini PCI-Express, M.2.
- Полное администрирование СДЗ без использования ресурсов загружаемой штатной ОС.
- Установка дополнительных программных модулей (агентов) в среду штатной ОС не требуется.
- Возможность подключения датчика вскрытия корпуса на плате PCI Express.
- Унифицированный с другими продуктами Dallas Lock дизайн интерфейса СДЗ.
- Централизованное управление (функциональность будет доступна в рамках планового обновления).
СЗИ ВИ Dallas Lock — система защиты информации в виртуальных инфраструктурах, которая предназначена для комплексной и многофункциональной защиты конфиденциальной информации от несанкционированного доступа в виртуальных средах на базе VMware vSphere. Применяется для приведения информационных систем в соответствие требованиям приказов ФСТЭК России № 17 и № 21.
Ключевые особенности:
- Возможность управления из единой консоли несколькими серверами виртуализации (vCenter и Hyper-V).
- Универсальная лицензия на ПО для защиты гипервизоров ESXi и Hyper-V.
- Удобное внедрение и последующее администрирование.
- Прозрачное взаимодействие с механизмами систем виртуализации.
- Возможность гибкого управления квотами на количество физических процессоров (с помощью Сервера лицензий Dallas Lock).
Сервер безопасности Dallas Lock (СБ) — специальный модуль, который позволяет объединять защищаемые компьютеры в Домен безопасности для централизованного и оперативного управления.
Ключевые особенности:
- Централизованное управление модулями СКН, МЭ, СОВ; СЗИ на АРМ пользователей Dallas Lock 8.0 и Dallas Lock Linux из единой консоли; CДЗ Dallas Lock (функциональность будет доступна в рамках планового обновления).
- Создание отказоустойчивых доменов безопасности Dallas Lock (реплицирование СБ Dallas Lock).
- Совместная работа с Сервером лицензий.
- Графическая визуализация событий ИБ, сетевого трафика и т. п. на СБ Dallas Lock (функциональность будет доступна в рамках планового обновления).
Сервер лицензий Dallas Lock (СЛ) — дополнительный инструмент для централизованного управления, позволяющий существенно снизить затраты и повысить надежность комплексной системы защиты информации.
Ключевые особенности:
- Мониторинг и информирование администраторов безопасности о состоянии технической поддержки по использующимся лицензиям, автоматизированный запрос стоимости продления технической поддержки.
- Перераспределение квот на терминальные подключения между терминальными серверами или на количество клиентов Dallas Lock между Серверами безопасности.
- Создание новых доменов безопасности Dallas Lock в рамках общей квоты клиентских лицензий, назначение дополнительных терминальных серверов в рамках общей квоты лицензий на терминальные подключения к Dallas Lock.
- Сокращение затрат на внедрение, администрирование и модернизацию Dallas Lock в распределенных инфраструктурах; на приобретение и обновление лицензий на СБ Dallas Lock и терминальные подключения.
Выводы
В данной статье мы рассмотрели вопросы выбора сертифицированных средств защиты информации от несанкционированного доступа для конечных точек, рассказали, каким требованиям должны советовать СЗИ различных типов и на что должен обратить внимание заказчик при выборе решения. Рассмотрев основных игроков российского рынка СЗИ от НСД в сегменте Endpoint Security, мы сфокусировали внимание на линейке продуктов Dallas Lock компании «Конфидент».
Линейка продуктов Dallas Lock — это комплекс решений для защиты информации на рабочих станциях и серверах как от внешних, так и от внутренних угроз. Наличие единой консоли управления упрощает администрирование СЗИ, а бесшовная интеграция продуктов Dallas Lock между собой исключает возможность нарушения функционирования защищаемой системы.
Наличие действующих сертификатов ФСТЭК России и регулярное их продление, а также сертификация новой функциональности позволяют применять продукты линейки для защиты государственных информационных систем и АСУ ТП до 1 класса включительно, защиты персональных данных до 1 уровня защищенности включительно, автоматизированных систем до класса 1Б включительно (сведений, составляющих государственную тайну до уровня «совершенно секретно» включительно).