Журнал "Information Security/ Информационная безопасность" #2, 2018

Средство обеспечения дове- ренного сеанса связи (СОДС) "МАРШ!" 6 предназначено для организации защищенной работы удаленных пользова- телей недоверенных компью- теров с сервисами доверенной распределенной информацион- ной системы через сети пере- дачи данных в рамках дове- ренного сеанса связи. Кон- структивно СОДС "МАРШ!" выполнен в виде USB-устрой- ства, в памяти которого разме- щается проверенная загрузоч- ная ОС, в которую предуста- новлены ПО СЗИ и функцио- нальное ПО, необходимое для работы пользователя. Состав ПО СЗИ и функционального ПО может быть любым. Как правило, в состав образа вхо- дит следующее ПО: браузер, модуль интеграции (встраива- ется как плагин браузера и предназначается для иниции- рования операций с электрон- ной подписью), библиотека электронной подписи, средства VPN и криптоядро. ПАК "Ноутбук руководителя" 7 предназначен для обеспечения защищенной работы удален- ных пользователей с сервиса- ми доверенной распределенной информационной системы через сеть Интернет в рамках доверенного сеанса связи. В комплексе сохранены все преимущества мобильной рабочей станции, но при этом обеспечивается загрузка ОС в одном из режимов (защи- щенный и незащищенный). Защищенный режим характе- рен доверенной загрузкой ОС, авторизацией пользователей по смарт-карте, возможностью загрузки профиля пользовате- ля с определенными настрой- ками и данными, регистрацией контролируемых событий в энергонезависимом системном журнале. При работе в обыч- ном режиме безопасность сете- вых соединений не контроли- руется, действия пользователя не ограничены, а ОС загружа- ется из памяти ноутбука. При выборе защищенного режима ОС загружается из защищен- ной от записи памяти средства доверенной загрузки "Аккорд- АМДЗ", входящего в состав "Ноутбука руководителя"; жест- кий диск ноутбука не исполь- зуется. Кроме того, пользова- телю предоставляется изоли- рованная среда, в которой единственным доступным соединением является соеди- нение, разрешенное админи- стратором. Защищенный планшет TrusT- Pad 8 , построенный на Новой гарвардской архитектуре, также позволяет выполнять работу в одном из двух режи- мов – защищенном или неза- щищенном. Работа в разных режимах выполняется в разных ОС, загружающихся из разных, физически разделенных, раз- делов памяти. Взаимовлияние ОС исключено технологически. Переключение режимов работы производится с помощью физи- ческого переключателя (что исключает программное воз- действие на выбор режима), расположенного снаружи кор- пуса устройства. В незащищен- ной ОС пользователь может работать без всяких ограниче- ний, как на любом привычном ему Android-устройстве. Это очень важно, поскольку ком- пьютер в форм-факторе план- шета прочно занял место в лич- ном пространстве пользовате- лей как устройство, позволяю- щее не только работать, но и отдыхать. Линейка защищенных мик- рокомпьютеров Новой гарвард- ской архитектуры включает в себя варианты как с одной, только защищенной, ОС (под- тип MKT 9 ), так и с двумя, защи- щенной и незащищенной (под- тип MKTrust 10 ). Вариант MKT с одной ОС подходит для сценариев при- менения, предполагающих работу только в защищенной среде и ни в какой другой. Это целесообразно, например, в том случае, если для работы в незащищенной среде, в обыч- ном режиме – с интернет- ресурсами и всем прочим – у пользователей имеются дру- гие СВТ, а микрокомпьютеры планируется использовать исключительно для решения определенного заранее круга задач в рамках доверенного сеанса связи. В тех же случаях, когда пред- полагается также применение устройства в частных целях или служебные задачи пред- полагают необходимость использования данных из неза- щищенных ресурсов (допу- стим, картографической информации), целесообразно применение варианта MKTrusT с двумя ОС. Микрокомпьютеры семей- ства MKT и MKTrusT выполне- ны в таких форм-факторах, что их можно подключить к любому монитору, проектору или даже телевизору через порт HDMI. Для подключения к Интернету есть собственный беспровод- ной Wi-Fi, управление осу- ществляется с помощью стан- дартных проводных или бес- проводных клавиатур и мышей. Таким образом, пользователь может получать доступ к своей персональной среде практиче- ски из любого места, а не толь- ко из своего оборудованного кабинета. Защищенные носители информации, средства обес- печения доверенного сеанса связи, защищенные планшеты, ноутбуки, микрокомпьютеры – столь широкий набор устройств достаточен для того, чтобы реа- лизовать целый спектр сцена- риев мобильной работы без ущерба для защищенности. l • 27 КОНТРОЛЬ ДОСТУПА www.itsec.ru Использование защищенных устройств – не единственно возможный метод контроля за перемещениями информации. Однако именно он во всех случаях позволяет дать однозначный ответ на вопрос в заголовке настоящей статьи, ведь если защита обрабатываемой и хранимой на мобильных устройствах информации обеспечена должным образом, политики доступа к информационным ресурсам задаются уполномоченными владельцем информационной системы лицами (администраторами безопасности) и реализуются механизмами, встроенными непосредственно в мобильные устройства, то вне зависимости от того, находится ли устройство физически в пределах организации или за ее пределами, управляет им тот, кому следует. А кому следует – решать в конечном счете владельцу. АДРЕСА И ТЕЛЕФОНЫ ОКБ САПР см. стр. 48 NM 6 http://марш.рф/ 7 http://accord.ru/bossnotebook.html 8 http://www.trustedcloudcomputers.ru/zashhishhennyiy-planshet/ 9 http://www.trustedcloudcomputers.ru/zashhishhennyie-mikro- kompyuteryi/mkt-mktplus/ 10 http://www.trustedcloudcomputers.ru/zashhishhennyie-mikro- kompyuteryi/mktrust/