Доверенная загрузка без иностранных компонентов

Ведущие мировые производители микрочипов для электроники вводят запреты на экспорт в Россию и Белоруссию чипов с тактовой частотой более 25 МГц и микросхем, у которых более 144 контактов. Те компоненты, которые еще возможно привезти в Россию напрямую или через параллельный импорт, выросли в стоимости, а сроки их доставки неизвестны.

Ряд компонентов, попавших под запрет, используется для производства плат, в том числе, в аппаратных средствах доверенной загрузки (СДЗ). Таким образом, заказ аппаратных СЗИ несет в себе риски срыва сроков реализации проектов. Сколько продлится такая ситуация с поставками электронных компонентов на российский рынок, пока спрогнозировать сложно. Но уже сейчас понятно, что в среднесрочной перспективе обстановка вряд ли изменится, и значит выход из нее искать нужно уже сегодня. Решением становятся программные СДЗ отечественных производителей.

Отличия СДЗ

В складывающейся ситуации именно программные средства доверенной загрузки могут стать оптимальным решением для обеспечения информационной безопасности и исполнения требований законодательства. Программные СДЗ соответствуют требованиям ФСТЭК, обеспечивают тот же уровень защищенности, что и аппаратные, и могут быть использованы для защиты:

• автоматизированных систем, обрабатывающих сведения, составляющие государственную тайну, до класса 2А включительно;
• автоматизированных систем, не обрабатывающих сведения, составляющие государственную тайну, до класса 1Г включительно;
• государственных информационных систем до класса К1 включительно;
• информационных систем персональных данных до 1 уровня защищенности включительно;
• автоматизированных систем технологическими процессами до 1 класса включительно;
• значимых объектов критической информационной инфраструктуры до 1 категории включительно.

Особенности установки программных СДЗ

При необходимости установки СДЗ на уже имеющемся компьютерном парке модули СДЗ могут быть интегрированы в состав UEFI на объекте заказчика централизованно. Для этого, после предварительного уточнения совместимости с конкретными моделями материнских плат, производятся развертывание программных пакетов установки на рабочих станциях с сервера управления СЗИ, установка СДЗ на рабочих станциях, настраиваются политики безопасности из единой консоли управления.

Более удобным вариантом поставки как для заказчика, так и для поставщика СДЗ является предустановка модулей защиты в UEFI BIOS (Basis Input-Output System - базовая система ввода-вывода) непосредственно на производстве ПК или серверов. Это решение позволяет значительно экономить время и средства на внедрении, так как установка на объекте заказчика потребует только ввода ключа активации лицензии. Предварительная установка возможна в том случае, когда производство или модификация BIOS происходит в России.

СДЗ SafeNode System Loader

Одним из программных средств доверенной загрузки, сертифицированным ФСТЭК является СДЗ SafeNode System Loader - разработка компании «Газинформсервис».

Рис. 1 «Консоль администратора безопасности. Общий вид»

Продукт обеспечивает доверенную загрузку операционных систем:

• семейства Linux/Unix, стандарт Linux Standard Base (LSB) версий 3.2 и выше (в т.ч. ОС специального назначения Astra Linux 1.6 SE, Astra Linux 1.7 SE, AltLinux 8 SP);
• систем виртуализации VMware ESX, VMware ESXi;
• Microsoft Windows 7 и выше;
• Microsoft Server 2012 R2 и выше.

Ключевые возможности ПО SafeNode SL:

Рис. 2 «Основные настройки»

• защита BIOS Setup от несанкционированной модификации входа пользователей;
• усиленная двухфакторная аутентификация пользователей с использованием персональных идентификаторов (АНП) и уникальных PIN-кодов до загрузки ОС.
• централизованный сбор событий безопасности;
• блокировка загрузки пользователями нештатных копий операционной системы с различных устройств ввода информации (FDD, CD-ROM, HDD, USB);
• блокировка возможности обхода процесса доверенной загрузки с помощью внешних органов управления;
• контроль целостности: файлов, завершенности журналов транзакций файловых систем, объектов реестра для операционной системы семейства Microsoft Windows, параметров среды UEFI, загрузочных секторов устройств хранения данных, аппаратного обеспечения (устройств) ЭВМ в процессе доверенной загрузки операционной системы;
• контроль исполнения программного кода собственных модулей в однозначно определенном порядке в соответствии с установленными правилами (с помощью механизма динамического контроля) и многое другое.

Ограничение поставок, микрочипов и комплектующих применяющихся в специализированных программно-аппаратных комплексах, вносит свои коррективы в подход к выбору средств доверенной загрузки. Если вы столкнулись с невозможностью заказать и в плановые сроки установить аппаратные решения СЗД, предлагаем вам обратить внимание именно на программные решения, которые не уступают аппаратным комплексам в своей функциональности, а их поставка и эксплуатация сегодня предсказуема и проста.