03. Вибір ОС, АВПЗ і КЗЗ

Перед початком розробки технічного завдання на створення КСЗІ в ІТС здійснюється вибір технічних і програмно-апаратних засобів, які реалізують задані вимоги щодо надійного функціонування ІТС та захисту інформації, яка в ній обробляється.

До таких першочергових засобів в ІТС відносяться:
- операційна система (далі - ОС);
- антивірусне програмне забезпечення (далі - АВПЗ);
- комплекс засобів захисту (далі - КЗЗ) у разі потреби.

Стаття 8 Закону України «Про захист інформації в ІТС» визначає, що для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері захисту інформації.

Тобто засоби захисту інформації, інші технічні засоби та програмне забезпечення ІТС, що планується задіяти в КСЗІ, повинні мати підтвердження їхньої відповідності НД ТЗІ (сертифікат відповідності або експертний висновок) і використовуватись згідно цих вимог.

Здійснення сертифікації, підтвердження відповідності та проведення державної експертизи таких засобів  здійснює Адміністрація Держспецзв'язку. Вона веде «Перелік засобів ТЗІ, дозволених для забезпечення технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом» (далі - Перелік), який формується відповідно до пункту 17 «Положення про ТЗІ в Україні», затвердженого Указом Президента України від 27.09.99 № 1229.

Перелік призначений для використання суб'єктами системи ТЗІ під час час створення та модернізації КСЗІ в АС. Перелік містить номенклатуру технічних засобів із захистом інформації, засобів ТЗІ, засобів контролю за ефективністю ТЗІ, засобів виявлення та індикації загроз безпеці інформації, відповідність яких вимогам нормативних документів з питань ТЗІ засвідчено сертифікатом відповідності або позитивним експертним висновком.

Отримання цих документів регламентується такими нормативно-правовими актами:

- Правилами проведення робіт із сертифікації засобів захисту інформації, затвердженими спільним наказом Адміністрації Держспецзв'язку та Держспоживстандарту України від 25.04.2007 № 75/91 і зареєстрованими в Міністерстві юстиції України 14.05.2007 за № 498/13765;

- Положенням про державну експертизу в сфері ТЗІ, затвердженим наказом Адміністрації Держспецзв'язку України від 16.05.2007 № 93 і зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087.

Використання засобів з цього Переліку під час створення та модернізації КСЗІ в АС не увільняє від оцінювання відповідності досягнутого рівня захисту вимогам НД ТЗІ, яке здійснюється шляхом експертизи КСЗІ в АС. Можливість подальшого використання засобів, які не ввійшли до цього Переліку, в діючій КСЗІ в АС визначається за результатом їх чергової експертизи.

Оновлення інформації, яка міститься в Переліку, здійснюється шляхом періодичного внесення змін до попередньої редакції. Перелік та його доповнення розміщуються на веб-сайті Держспецзв'язку.

Використання засобів ТЗІ, які на момент проектування КСЗІ не мають підтвердження відповідності у сфері ТЗІ

У разі необхідності використання в КСЗІ засобів ТЗІ, які на момент проектування КСЗІ не мали документа (сертифіката відповідності або експертного висновку), що підтверджує їх відповідність у сфері ТЗІ, ці засоби згідно з «Правилами забезпечення захисту інформації в ІТС», затвердженими ПКМУ від 29 березня 2006 року № 373, мають піддаватися відповідному оцінюванню під час проведення державної експертизи КСЗІ.

При цьому має оцінюватися відповідність засобів ТЗІ вимогам НД ТЗІ в обсязі показників тих функцій захисту, які реалізовані для захисту інформації, що обробляється в даній ІТС. Також має оцінюватися можливість створення цими засобами ТЗІ технічних каналів витоку інформації (в тому числі через закладні пристрої).

Має бути проведений аналіз особливостей застосування засобів ТЗІ в даній ІТС, за результатами якого мають бути встановлені (ідентифіковані, уточнені) функції захисту, які реалізовані для захисту інформації саме в даній ІТС, та показники цих функцій.

Програма та методика проведення державної експертизи КСЗІ має містити перелік робіт щодо визначення (вимірювання) встановлених за результатами аналізу показників функцій захисту засобів ТЗІ, оцінки відповідності цих показників вимогам НД ТЗІ та оцінки можливості створення цими засобами ТЗІ технічних каналів витоку інформації. Також мають бути наведені нормативні документи з питань ТЗІ, які визначають вимоги до цих показників.

Результати визначення (вимірювань) показників функцій захисту засобів ТЗІ, результати їх порівняння з вимогами нормативних документів та результати оцінювання можливості створення цими засобами ТЗІ технічних каналів витоку інформації мають відображатися у відповідних протоколах, які подаються на розгляд Експертної ради Адміністрації Держспецзв'язку разом з матеріалами державної експертизи КСЗІ (з Протоколом державної експертизи КСЗІ та Експертним висновком).

Засоби ТЗІ, які пройшли оцінювання під час державної експертизи КСЗІ, можуть використовуватись для захисту інформації виключно у складі цієї КСЗІ.

1. Вибір ОС для робочої станції (АС класу 1)

На даний час позитивний експертний висновок мають такі ОС: Windows 8 Professional і Windows 10 Professional. Крім цих, розглянемо ще захищену ОС «myLinux 3.1 ОКО», що отримала позитивний експертний висновок у 2006 році, дані яких для зручного порівняння викладемо у табличному вигляді.

1

Комплекс засобів захисту ОС

myLinux 3.1 ОКО

Windows
8 Profes.

Windows
10 Profes.

2

Виробник

Україна, ТОВ «Майлінукс»

США, Microsoft

США, Microsoft

3

Експертний висновок дійсний до

№ 83 25.07.2009

№ 485 20.12.2016

№ 660 28.04.2019

4

Рівень гарантій

Г3

Г2

Г2

Послуги конфіденційності

1

базова адміністр. конфіденційність

КА-2

-

-

2

базова довірча конфіденційність

КД-2

КД-2

КД-2

3

повторне використання об'єктів

КО-1

КО-1

КО-1

4

мінімальна конфіденційність при обміні

КВ-1

КВ-1

КВ-1

Послуги цілісності

1

базова адміністративна цілісність

ЦА-2

-

-

2

базова / мінімальна довірча цілісність

ЦД-2

ЦД-1

ЦД-1

3

обмежений відкат

ЦО-1

ЦО-1

ЦО-1

4

мінімальна цілісність при обміні

-

ЦВ-1

ЦВ-1

Послуги доступності

1

використання ресурсів - квота

ДР-1

ДР-1

ДР-1

2

стійкість при обмежених відмовах

ДС-1

-

-

3

обмежена гаряча заміна

ДЗ-2

ДЗ-2

ДЗ-2

4

автоматизоване відновлення

ДВ-1

ДВ-2

ДВ-2

Послуги спостереженості

1

захищений журнал

НР-2

НР-2

НР-2

2

множинна / одиночна ідент. і автентифікація

НИ-3

НИ-2

НИ-2

3

дво / однонаправлений достовірний канал

НК-2

НК-1

НК-1

4

виділення адміністратора / розподіл обов'язків на підставі привілеїв

НО-2

НО-3

НО-3

5

КЗЗ з контролем цілісності / гарантованою цілісністю

НЦ-1

НЦ-2

НЦ-2

6

самотестування при старті

НТ-2

НТ-2

НТ-2

7

автентифікація вузла

-

НВ-1

НВ-1

Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище зазначених ОС, можна зробити такі висновки:

- КЗЗ ОС обох «Windows» однакові і забезпечують тільки довірче керування доступом;

- КЗЗ ОС «myLinux 3.1 ОКО» є найсильнішим, оскільки у порівнянні з «Windows» забезпечує вищий рівень гарантій Г-3 і послуги базової адміністративної конфіденційності КА-2 і цілісності ЦА-2, а також стійкості при обмежених відмовах ДС-1 і множинної ідентифікації та автентифікації НИ-3, що забезпечує надійний захист інформації від несанкціонованого і неконтрольованого ознайомлення, модифікації, знищення, копіювання та розповсюдження.

На жаль, на даний час ОС «myLinux 3.1 ОКО» не має позитивного експертного висновку.

Таким чином, КЗЗ ОС «Windows» не забезпечує виконання вимог пунктів 6 і 7 Правил щодо забезпечення захисту ІзОД від несанкціонованого і неконтрольованого ознайомлення, модифікації, знищення, копіювання, розповсюдження і забезпечення можливості надання користувачу права на виконання однієї або декількох операцій з оброблення конфіденційної інформації або позбавлення його такого права.

У разі використання тільки штатних засобів ОС «Windows» стає можливою навмисна або випадкова реалізація будь-яким авторизованим користувачем таких загроз:

- несанкціонованого копіювання файлів даних, що містять ІзОД, з використанням штатних засобів ОС (наприклад, програми «Провідник»), в каталоги жорсткого диска, які містяться у профайлі користувача (наприклад, каталог «Мої документи»), з отриманням можливості самостійно надавати права доступу до відповідного файлу іншим користувачам, а також безконтрольно його поширювати, що приведе до порушення конфіденційності ІзОД;

- несанкціонованого експорту даних, ІзОД, що містять, на з'ємні носії, розмежування доступу до яких засобами ОС «Windows» не здійснюється, що приведе до порушення конфіденційності ІзОД;

- несанкціонованій модифікації файлів даних з використанням штатних засобів ОС (наприклад, програми «Блокнот»), які не призначені для обробки файлів даних відповідного типу, що не тільки приведе до порушення цілісності ІзОД, але може взагалі привести до блокування можливості подальшої роботи авторизованих користувачів з відповідним файлом даних, тобто до порушення доступності інформації.

2. Вибір ОС для серверу (АС класу 2 і 3)

На даний час позитивний експертний висновок мають такі ОС: Windows Server 2008 R2, Windows Server 2012 R2, OpenBSD шифр «BBOS». Розглянемо ці ОС, дані яких для зручного порівняння викладемо у табличному вигляді.

1

Комплекс засобів захисту ОС

OpenBSD шифр «BBOS»

Windows Server 2008 R2

Windows Server 2012 R2

2

Виробник

Україна, ТОВ «АТМНІС»

США, Microsoft

США, Microsoft

3

Експертний висновок дійсний до

№ 593 25.09.2018

№ 466 06.09.2016

№ 511 21.01.2017

4

Рівень гарантій

Г2

Г2

Г2

Послуги конфіденційності

1

базова адміністративна конфіденційність

КА-2

-

-

2

базова довірча конфіденційність

КД-2

КД-2

КД-2

3

повторне використання об'єктів

КО-1

КО-1

КО-1

4

конфіденційність при обміні (баз/мін)

КВ-2

КВ-1

КВ-1

Послуги цілісності

1

мінімальна адміністративна цілісність

ЦА-1

-

-

2

мінімальна довірча цілісність

ЦД-1

ЦД-1

ЦД-1

3

обмежений відкат

ЦО-1

ЦО-1

ЦО-1

4

мінімальна цілісність при обміні

ЦВ-1

ЦВ-1

ЦВ-1

Послуги доступності

1

незахоплення ресурсів / квота

ДР-2

ДР-1

ДР-1

2

стійкість з погіршенням характеристик / при обмежених відмовах

ДС-2

ДС-1

ДС-1

3

обмежена гаряча заміна

ДЗ-2

ДЗ-2

ДЗ-2

4

автоматизоване відновлення

ДВ-2

ДВ-2

ДВ-2

Послуги спостереженості

1

захищений журнал

НР-2

НР-2

НР-2

2

одиночна ідентифікація і автентифікація

НИ-2

НИ-2

НИ-2

3

однонаправлений достовірний канал

НК-1

НК-1

НК-1

4

виділення адміністратора / розподіл обов'язків на підставі привілеїв

НО-1

НО-3

НО-3

5

КЗЗ з контролем цілісності / гарантованою цілісністю

НЦ-1

НЦ-2

НЦ-2

6

самотестування при старті

НТ-2

НТ-2

НТ-2

7

автентифікація вузла

НВ-1

НВ-1

НВ-1

Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище зазначених ОС, можна зробити такі висновки:

- КЗЗ ОС обох «Windows» однакові і забезпечують тільки довірче керування доступом;

- КЗЗ ОС «OpenBSD» є найсильнішим, оскільки у порівнянні з «Windows» забезпечує послуги адміністративної конфіденційності і цілісності, що дає можливість захисту інформації від несанкціонованого і неконтрольованого ознайомлення, модифікації, знищення, копіювання та розповсюдження.

3. Вибір АВПЗ

На даний час позитивний експертний висновок мають такі АВПЗ: Kaspersky, ESET, McAfee, Symantec, Zillya! Розглянемо три АВПЗ під керуванням найпоширенішої ОС «Windows», дані яких для зручного порівняння викладемо у табличному вигляді.

1

АВПЗ під керуванням ОС «Windows»

Kaspersky Endpoint Security 10 for Windows

McAfee Endpoint Protection Suite

Zillya! Антивірус для Бізнесу версія 1.1

2

Виробник

Росія, ЗАТ «Лабораторія Касперського»

США, «McAfee Inc.»

Україна, ТОВ «Олайті Сервіс»

3

Експертний висновок дійсний до

№ 565 04.02.2018

№ 562 29.12.2017

№ 545 20.10.2017

4

Рівень гарантій

Г2

Г2

Г2

Послуги конфіденційності

1

базова адміністративна конфіденційність

КА-2

КА-2

КА-2

Послуги цілісності

1

мінімальна адміністративна цілісність

ЦА-1

ЦА-1

ЦА-1

2

обмежений відкат

ЦО-1

ЦО-1

-

3

мінімальна цілісність при обміні

ЦВ-1

ЦВ-1

ЦВ-1

Послуги доступності

1

використання ресурсів - квота

ДР-1

-

-

2

стійкість при обмежених відмовах

ДС-1

ДС-1

ДС-1

3

модернізація

ДЗ-1

ДЗ-1

ДЗ-1

4

ручне відновлення

ДВ-1

ДВ-1

ДВ-1

Послуги спостереженості

1

захищений журнал

НР-2

НР-2

НР-2

2

одиночна ідентифікація і автентифікація

НИ-2

НИ-2

НИ-2

3

однонаправлений достовірний канал

НК-1

НК-1

НК-1

4

виділення адміністратора

НО-1

НО-2

НО-1

5

КЗЗ з контролем цілісності

НЦ-1

НЦ-1

НЦ-1

6

самотестування при старті

НТ-2

НТ-2

НТ-2

7

автентифікація вузла

НВ-1

НВ-1

-

Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище зазначених АВПЗ, можна зробити такі висновки:

- «Kaspersky Endpoint Security» є найсильнішим ПЗ, оскільки у порівнянні з іншими має найбільшу кількість послуг безпеки та додатково забезпечує послугу використання ресурсів ДР-1 (квота);

- «Zillya! Антивірус» є найслабкішим ПЗ, оскільки у порівнянні з іншими має найменшу кількість послуг безпеки та не забезпечує послуг обмеженого відкату ЦО-1, використання ресурсів ДР-1 і автентифікації вузла НВ-1.

Порядок оновлення антивірусних програмних засобів, які мають позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ(затверджений наказом Адміністрації Держспецзв'язку від 26.03.2007 № 45 і зареєстрований в Міністерстві юстиції України 10.04.2007 за № 320/13587)

3. Поняття, що використовуються у цьому Порядку, мають таке значення:

- центр антивірусного захисту інформації (далі - ЦАЗІ) - організаційно-технічний комплекс, призначений для вирішення питання  захисту  ІТС від комп'ютерних вірусів з подальшим розвитком комплексного підходу до проблеми антивірусного захисту ІТС;

- комп'ютерний вірус - програма, що  здатна створювати свої копії, модифіковані  копії, які можуть цілком не відповідати оригіналу, і впроваджувати їх у різні  об'єкти/ресурси  ІТС безвідома користувача, й направлена на деструктивну дію;

- антивірусний програмний засіб (далі - АВПЗ) - програмне забезпечення, яке призначене для захисту об'єктів/ресурсів ІТС відушкодження комп'ютерними вірусами;

- антивірусне оновлення  АВПЗ -  складова частина АВПЗ, яка розробляється після створення& засобу та призначена для пристосування АВПЗ до захисту об'єктів/ресурсів ІТС від ушкодженнята зараження новими вірусами.

5. Оновлення АВПЗ здійснюється шляхом організації та забезпечення процесу отримання та впровадження в АВПЗ антивірусних оновлень.   

 6. Оновлення АВПЗ, який пройшов державну експертизу та має позитивний  експертний висновок Адміністрації Держспецзв'язку, здійснюється з використанням антивірусних оновлень, які розміщуються на веб-сайті ЦАЗІ.

7. На веб-сайті ЦАЗІ розміщуються тільки антивірусні оновлення АВПЗ, які пройшли експрес-експертизу. Крім того, на веб-сайті можна подивитись перелік АВПЗ, що отримало позитивний експертний висновок Держспецзв'язку.

8. Експрес-експертиза антивірусного оновлення АВПЗ здійснюється ЦАЗІ шляхом перевірки АВПЗ з впровадженим антивірусним оновленням на його відповідність експертному висновку, виданому за результатами державної експертизи.

У подальшому під антивірусним оновленням АВПЗ розуміється антивірусне оновлення АВПЗ, яке пройшло експрес-експертизу.

9. Органи державної влади та місцевого самоврядування, утворені відповідно  до  законів України військові формування та організації державної форми власності:

- не менше ніж раз на день отримують антивірусні оновлення АВПЗ за допомогою веб-серверу ЦАЗІ;

- інсталюють отримані за допомогою веб-серверу ЦАЗІ антивірусні оновлення АВПЗ відповідно до технічної документації АВПЗ;

- для забезпечення авторизованого доступу до ресурсів веб-серверу ЦАЗІ щороку до 1 березня надають до Адміністрації Держспецзв'язку відомості щодо кожного користувача у паперовому вигляді за визначеною формою (у разі внесення змін - протягом 3-х днів).

10. Адміністрація Держспецзв'язку:

- організовує за допомогою спеціалізованого ПЗ отримання органами державної влади та місцевого самоврядування, утвореними відповідно до законів України військовими формуваннями та організаціями державної форми власності антивірусних оновлень для АВПЗ, які мають позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ, та забезпечує функціонування веб-серверу ЦАЗІ;

- заносить надану органами державної влади та місцевого самоврядування, утвореними відповідно до законів України військовими формуваннями та організаціями державної форми власності реєстраційну інформацію до бази даних користувачів ЦАЗІ. Реалізує автентифікацію та ідентифікацію користувачів відповідно до цієї бази даних;

- проводить експрес-експертизу антивірусних оновлень АВПЗ;

- розробляє рекомендації щодо тримання антивірусних оновлень АВПЗ та їх розміщення на веб-сайті ЦАЗІ;

- використовує механізм ЕЦП для підтвердження цілісності антивірусних оновлень АВПЗ та ідентифікації підписувача після впровадження в органі державної влади та місцевого самоврядування, утворених відповідно до законів України військових формуваннях та організаціях державної форми власності ЕЦП.

4. Вибір КЗЗ від НСД

4.1. Системи захисту в АС класу «1»

На даний час позитивний експертний висновок мають такі КЗЗ: «Лоза-1», «Гриф» і «Рубіж-РСО». Розглянемо два КЗЗ, дані яких для зручного порівняння викладемо у табличному вигляді. 

1

Система захисту інформації

Лоза-1 версія 4

Рубіж-РСО версія 2

Гриф версія 3

2

Виробник

ТОВ НДІ «Автопром»

ПАТ «КП ОТІ»

ТОВ «ІКТ» Київ

3

Експертний висновок дійсний до

№ 540 08.08.2017

№ 422 01.03.2016

№ 674 01.07.2019

4

Рівень гарантій

Г4

Г3

Г4

Послуги конфіденційності

1

повна / базова адмін. конфіденційність

КА-3

КА-2

КА-2

2

повторне використання об'єктів

КО-1

КО-1

КО-1

Послуги цілісності

1

мінімальна / базова адмін. цілісність

ЦА-1

ЦА-1

ЦА-2

2

обмежений відкат

-

-

ЦО-1

Послуги доступності

1

використання ресурсів - квота

-

-

ДР-1

2

стійкість при обмежених відмовах

ДС-1

-

ДС-1

3

модернізація

ДЗ-1

-

ДЗ-1

4

ручне відновлення

ДВ-1

ДВ-1

ДВ-1

Послуги спостереженості

1

детальна реєстрація / захищений журнал

НР-4

НР-2

НР-2

2

множинна ідентифікація і автентифікація

НИ-3

НИ-3

НИ-3

3

однонаправлений достовірний канал

НК-1

НК-1

НК-1

4

розподіл обов'язків адміністратора

НО-2

НО-2

НО-2

5

КЗЗ з гарантованою цілісністю

НЦ-2

НЦ-1

НЦ-2

6

самотестування при старті

НТ-2

НТ-2

НТ-2

Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище зазначених КЗЗ, можна зробити такі висновки:

- усі КЗЗ забезпечують послуги адміністративної конфіденційності КА та цілісності ЦА, тобто гарантують захист інформації від несанкціонованого і неконтрольованого ознайомлення, модифікації, знищення, копіювання та розповсюдження;

- «Гриф» є найсильнішим КЗЗ, оскільки у порівнянні з іншими має найбільшу кількість послуг безпеки та додатково забезпечує послуги обмеженого відкату ЦО-1 і використання ресурсів ДР-1 (квота);

- «Рубіж-РСО» є найслабкішим КЗЗ, оскільки у порівнянні з іншими має найменшу кількість послуг безпеки.

4.2. Системи захисту в АС класу «2»

На даний час позитивний експертний висновок мають такі КЗЗ: «Лоза-2», «Гриф-Мережа», «VTI-Рубіж». Розглянемо два КЗЗ, дані яких для зручного порівняння викладемо у табличному вигляді.

1

Система захисту інформації

Лоза-2 версія 4

VTI-Рубіж версія 2

Гриф-Мережа

2

Виробник

ТОВ НДІ «Автопром»

ПАТ «КП ОТІ»

ТОВ «ІКТ»

3

Експертний висновок дійсний до

№ 605 30.12.2018

№ 482 13.12.2016

№ 643 02.03.2019

4

Рівень гарантій

Г4

Г3

Г4

Послуги конфіденційності

1

повна / базова адмін. конфіденційність

КА-3

КА-2

КА-2

2

повторне використання об'єктів

КО-1

КО-1

КО-1

Послуги цілісності

1

мінімальна / базова адмін. цілісність

ЦА-1

ЦА-2

ЦА-2

2

обмежений відкат

-

ЦО-1

ЦО-1

Послуги доступності

1

використання ресурсів - квоти

-

-

ДР-1

2

стійкість при обмежених відмовах

ДС-1

ДС-1

ДС-1

3

модернізація

ДЗ-1

ДЗ-1

ДЗ-1

4

ручне відновлення

ДВ-1

ДВ-1

ДВ-1

Послуги спостереженості

1

детальна реєстрація / аналіз у реальному часі

НР-4

НР-4

НР-5

2

множинна ідентифікація і автентифікація

НИ-3

НИ-3

НИ-3

3

однонаправлений достовірний канал

НК-1

НК-1

НК-1

4

розподіл обов'язків адміністратора

НО-2

НО-2

НО-2

5

КЗЗ з гарантованою цілісністю

НЦ-2

НЦ-2

НЦ-2

6

самотестування при старті

НТ-2

НТ-3

НТ-2

Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище зазначених КЗЗ, можна зробити такі висновки:

- «Гриф-Мережа» є найсильнішим КЗЗ, оскільки у порівнянні з іншими має найбільшу кількість послуг безпеки і вищий рівень послуги реєстрації НР-5 (аналіз у реальному часі) та додатково забезпечує послугу використання ресурсів ДР-1 (квоти);

- «Лоза» є найслабкішим КЗЗ, оскільки у порівнянні з іншими має найменшу кількість послуг безпеки, менший рівень послуги адміністративної цілісності ЦА-1 та не забезпечує послуг обмеженого відкату ЦО-1 і використання ресурсів ДР-1;

- «VTI-Рубіж» у порівнянні з іншими КЗЗ забезпечує вищий рівень послуги самотестування НТ-3 (у реальному часі).

4.3. Системи захисту Web-ресурсів

На даний час позитивний експертний висновок мають такі КЗЗ: «Портал Менеджер» і «Тайфун-Web». Розглянемо їх, дані яких для зручного порівняння викладемо у табличному вигляді. 

1

Система захисту інформації

Портал Менеджер 1.0

Тайфун-Web вер.1

2

Виробник

ТОВ «Софтлайн ІТ» Київ

ТОВ «ІКТ» Київ

3

Експертний висновок дійсний до

№ 567 27.02.2018

№ 566 27.02.2018

4

Рівень гарантій

Г2

Г4

Послуги конфіденційності

1

базова адміністративна конфіденційність

КА-2

КА-2

2

повторне використання об'єктів

КО-1

КО-1

3

базова конфіденційність при обміні

-

КВ-2

Послуги цілісності

1

мінімальна адміністративна цілісність

ЦА-1

ЦА-1

2

обмежений відкат

ЦО-1

-

3

базова цілісність при обміні

-

ЦВ-2

Послуги доступності

1

стійкість при обмежених відмовах

-

ДС-1

2

модернізація

-

ДЗ-1

3

ручне відновлення

ДВ-1

ДВ-1

Послуги спостереженості

1

захищений журнал / зовнішній аналіз

НР-2

НР-1

2

одиночна / зовнішня ідентифікація і автентифікація

НИ-2

НИ-1

3

однонаправлений достовірний канал

НК-1

-

4

розподіл обов'язків / виділення адміністратора

НО-2

НО-1

5

КЗЗ з контролем цілісності

НЦ-1

НЦ-1

6

самотестування при старті

НТ-2

НТ-2

7

автентифікація вузла / джерела даних

НВ-1

НВ-2

Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище зазначених КЗЗ, можна зробити такі висновки:

- «Тайфун-Web» є найсильнішим КЗЗ, оскільки у порівнянні з іншим має найбільшу кількість послуг безпеки, вищий рівень гарантій та забезпечує додатково послуги базової конфіденційності при обміні КВ-2, базової цілісності при обміні ЦВ-2, стійкості при обмежених відмовах ДС-1 і модернізації ДЗ-1;

- «Портал Менеджер» є найслабкішим КЗЗ, оскільки у порівнянні з іншим має найменшу кількість послуг безпеки.

Разом з тим, «Портал Менеджер» у порівнянні з іншим забезпечує додатково послуги обмеженого відкату ЦО-1 і однонаправленого достовірного каналу НК-1, а також вищий рівень послуг ідентифікації і автентифікації НИ-2 (одиночна), реєстрації НР-2 (захищений журнал), розподілу обов'язків НО-2 (адміністраторів).

Крім того, головна відмінність КЗЗ «Тайфун-Web» від КЗЗ «Портал Менеджер» є застосування криптоалгоритмів для захисту конфіденційності та цілісності інформації, що передається між клієнтом та сервером.

Кінцевий результат вибору ОС, АВПЗ і КЗЗ залежить від необхідності та достатності послуг безпеки, які повинні забезпечити обраний ФПЗ ІТС.

5. Вибір комплексу ТЗІ

Інформація, що становить державну таємницю та оброболяється технічними засобами (у тому числі АС), згідно вимог законодавства підлягає захисту від витоку технічними каналами за рахунок побічних електромагнітних випромінювань і наведень (далі – ПЕМВН).

Закриття технічних каналів витоку інформації (далі - ТКВІ) забезпечується пасивними або активними методами і засобами:

- пасивні - здійснюють ослаблення рівня інформаційних сигналів АС, що забезпечується екрануванням технічних засобів обробки інформації або приміщень, де вони розташовані;

- активні - здійснюють зменшення відношення сигнал/завада (далі - С/3) АС у місцях можливого розміщення технічних засобів розвідки до рівня, який унеможливлює виділення інформації, що забезпечується електромагнітним зашумленням.

Пасивні засоби

Одним з пасивних засобів захисту інформації в АС від ПЕМВН є електронні обчислювальні машини (далі - ЕОМ) у захищеному виконанні. Вони виготовляються з використанням сучасних пасивних методів захисту у поєднанні з оригінальними схемотехнічними рішеннями, що|вирішеннями,розв'язаннями,розв'язуваннями| забезпечують їх захист від ПЕМВН і|та| зовнішнього|навмисної| електромагнітного впливу, спрямованого|направленої| на знищення інформації або порушення її працездатності|чинить|.

Розроблені технології включають нанесення екрануючого покриття  з використанням методів іонно-плазмового напилення на внутрішні поверхні пластмасових корпусів моніторів, клавіатур, маніпуляторів «миша» та нанесення прозорих екрануючих покриття на захисні стекла моніторів, а також використання спеціальної конструкції корпусів системних блоків, протизавадних фільтрів, спеціальних екранованих кабелів і електроз’єднувачів. При цьому забезпечується збереження початкового зовнішнього вигляду ЕОМ, а рівень  захищеності не залежить від їх конкретних конфігурацій.

ЕОМ у захищеному виконанні призначена для обробки інформації будь-якого рівня секретності на одній і тій же ЕОМ на об’єктах будь-якої категорії без використання дорогих і небезпечних для здоров'я персоналу екранованих приміщень (внаслідок відбивання та складання випромінювань).

Крім того, використання розробленої технології дозволяє забезпечити додатковий захист користувачів від високочастотного електромагнітного випромінювання ЕОМ, яке не регламентується стандартами безпеки «ТСО», але при довготривалій дії також є шкідливим, оскільки електромагнітні випромінювання в дециметровому і сантиметровому діапазоні найбільш «ефективні» за дією на організм людини, особливо на нервову систему і органи зору.

Використанню підлягають тільки ті пасивні засоби, які мають сертифікат відповідності у сфері ТЗІ. На даний час українські виробники пропонують такі захищені ПЕОМ, які мають сертифікат відповідності:

- електронна обчислювальна машина «ЕОМ-П0» (робоча станція) і «ЕОМ-П1» (сервер) - ЗАТ «Інформаційні комп'ютерні системи» (Київ);

- персональний комп'ютер із захистом інформації «Expert» - ТОВ «Епос» (Київ);

- універсальне автоматизоване робоче місце у захищеному виконанні ЗОТ «Плазма-ЗВ-АРМ» - ТОВ «НВП “Плазмотехніка”» (Київ).

Активні засоби

Пристрої просторового зашумлення застосовуються у разі, коли пасивні заходи не забезпечують необхідної ефективності захисту інформації, що становить державну таємницю, яка обробляється в АС.

При цьому треба розуміти, що застосування генераторів шуму негативно впливає на центральну нервову та серцево-судинну систему людини, а також демаскує місцезнаходження об’єкта та час обробки інформації, не забезпечуючи захист інформативних сигналів у вищому гігагерцовому діапазоні. До того ж, захисна дія генераторів шуму може бути взагалі компенсована сучасними методами обробки сигналів.

До складу засобу просторового зашумлення входять:
- надширокосмугові генератори електромагнітного шуму;
- система антен;
- пульт сигналізації справності роботи системи.

Використанню підлягають тільки ті активні засоби, які мають позитивний експертний висновок у сфері ТЗІ. На даний час українські виробники пропонують такі генератори, які мають позитивний експертний висновок:
- «БАЗАЛЬТ- 5ГЕШ» - ДП «Укрспецтехніка система» (Київ);
- «РІАС-1К» - ПП «РІАС» (Київ);
- «ІЗ-2000» - ТОВ «Інфозахист» (Київ);
- «УЗОР-ПЕ» - ТОВ «Галтехноком» (Львів);
- «DELTA-7» - ТОВ «Discovery defence enjineering» (Київ).

Порівняльний аналіз характеристик генераторів

Назва

Габаритні розміри, мм

Вага, кг

Частотний діапазон

Потуж-ність

Ціна, тис.грн

БАЗАЛЬТ- 5ГЕШ

750×750×50

1,1

100 кГц - 1 ГГц

6 Вт

7,5

РІАС-1К

198×190×70

2,5

0,18 кГц - 2 ГГц

20 Вт

8,0

DELTA-7

220×60×40

0,8

9 кГц - 3,3 ГГц

-

-

ІZ-2000

-

-

100 кГц - 2 ГГц

60 Вт

-

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика