Журнал "Information Security/ Информационная безопасность" #2, 2021

34 • УПРАВЛЕНИЕ Вариант 2 Защищенный компьютер в месте рас- положения пользователя отсутствует, но последнему по долгу службы необхо- димо получать кратковременный доступ к ГИС. Кратковременный доступ должен пре- доставляться в рамках доверенного сеанса связи (ДСС) с использованием средства обеспечения доверенного сеанса (СОДС) [3]. Длительность сеанса должна составлять не более 20 минут, при этом вероятность успешной атаки за такое время низка при использова- нии проверенных решений. Особенность этого типа доступа – кратковременность. При этом загрузка сертифицированной ОС должна осу- ществляться с носителя, обеспечиваю- щего ее неизменность, – в качестве такового обычно применяется носитель в формфакторе USB [3, 4, 5]. С учетом кратковременности доступа и специальных свойств носителя можно сформулировать следующие особенно- сти этого сценария: l в состав ИС включаются СОДС – нужны изменения в аттестационные материалы; l внутреннего нарушителя нет, СОДС – персональное устройство; l внешний нарушитель – Н1, СКЗИ – КС1; l эксплуатация СКЗИ осуществляется вне контролируемой зоны; l к ПЭВМ требования не предъявляются; l идентификация и аутентификация осу- ществляется средствами СОДС, резуль- таты передаются по защищенному кана- лу в ГИС; l целостность ОС ПЭВМ и СКЗИ, испол- няемой на ПЭВМ при хранении на СОДС, обеспечивается средствами СОДС; l журналы идентификации/аутентифика- ции ведутся и хранятся в защищенном и некорректируемом виде (средствами СОДС); l СОДС должен иметь возможность настройки на Интернет, настройки долж- ны храниться в защищенной памяти СОДС; l целостность ОС и СКЗИ при исполне- нии на ПЭВМ обеспечиваются средства- ми динамического контроля целостности оперативной памяти, сертифицирован- ными ФСТЭК (средства должны входить в состав СОДС); l при использовании СКЗИ, исполняе- мых на средствах СОДС, неизвлекае- мость криптографических ключей обес- печивается средствами СОДС; l поскольку могут использоваться любые ПЭВМ, появляются требования к ОС, загружаемой с СОДС, например необходимо исключить настройками все, кроме самого необходимого (монитор, клавиатура, мышь, Интернет); l в составе ИС должны быть предусмот- рены отдельные LDAP, МЭ, криптошлюз и другие периферийные СЗИ, по пара- метрам защищенности соответствующие требованиям к мерам защиты ГИС. Расширение зоны ответственности пользователя в этом случае заключается в обеспечении установленной длитель- ности ДСС и хранении СОДС в условиях, исключающих доступ к нему третьих лиц. Вариант 3 В этом варианте используется неза- щищенный компьютер работника, но для подключения к ГИС применяются специальные средства вычислительной техники удаленного доступа (ССВТ УД), блокирующие уязвимости, появив- шиеся при удаленной работе сотруд- ников. Вариант ССВТ УД на плат- форме m-TrusT разработан и постав- ляется под торговым названием "TrusT Удаленка". Решение сертифицировано ФСБ по классу КС3. Схему работы при использовании ССВТ УД "TrusT Удаленка" опишем сле- дующим образом: к компьютеру поль- зователя подключен микрокомпьютер; при необходимости подключения к ГИС с него на компьютер пользователя загру- жается технологическая ОС с терми- нальным клиентом, и микрокомпьютер становится для компьютера пользова- теля терминальным сервером. На компьютере выполняется: l PXE-загрузчик, интегрированный в BIOS; l технологическая ОС, загружаемая с "TrusT Удаленка"; l ПО терминального клиента (в ОС, загруженной с "TrusT Удаленка"). На "TrusT Удаленка" исполняется: СДЗ уровня BIOS Аккорд-МКТ (сертифици- рованное ФСТЭК России) и российская ОС, в том числе: l ПО терминального сервера (навстречу ПЭВМ); l ПО терминального клиента (навстречу ГИС); l драйверы сети; l браузер; l TFTP-сервер (поддержка загрузки по PXE); l Аккорд-X K (для изоляции программ- ной среды по требованиям ФСБ России, сертифицирован ФСТЭК России); l СКЗИ DCrypt (сертифицирован ФСБ России на платформе m-TrusT на класс КС3). Сравним технологии СОДС и ССВТ УД. При сравнении технологий нужно учесть: 1. Загрузка образа на ПЭВМ из m-TrusT и СОДС почти равноценна с точки зрения безопасности, но все же ситуация лучше в случае исполь- зования микрокомпьютера в силу того, что загружаемый образ минимизиро- ван, так как его задача заключается только в поддержке терминального клиента и большая часть компонентов, при использовании СОДС загружае- мых на ПЭВМ, исполняются на микро- компьютере. 2. Требование УПД.17 о доверенной загрузке компьютера, на котором испол- няется ПО доступа к ГИС, исполняется при работе с микрокомпьютером и не обеспечивается при загрузке с флешки, так как при загрузке с флешки не про- водится контроль целостности про- граммного обеспечения и аппаратных компонентов средств вычислительной техники (при загрузке микрокомпьютера этот контроль производится СДЗ). Здесь отметим, что в некоторых рекламных материалах встречается утверждение о том, что микроконтроллер флешки загружается доверенным образом. Но доверенная загрузка флешки не озна- чает доверенной загрузки ПЭВМ, на которой будет исполняться СКЗИ. Это подмена понятий, которая вполне может быть отнесена к недобросовестной рек- ламе. Доверенной должна быть загрузка СВТ, на котором исполняются СКЗИ и ПО ГИС. С учетом отчуждения средств доступа к ГИС, в том числе криптографических, от недоверенного компьютера для доступа с использованием "TrusT Удаленка" полу- чаем следующее сравнение (см. табл. 1). При этом за счет реализации в m-TrusT функции неизвлекаемого ключа возможно использовать ключ до трех лет. Одновременно не тре- буются дополнительный ключевой носитель и меры по контролю этих носителей. Отметим, что требования ЗТС должны выполняться и в этом случае. № Функция Изоляция исполнения Примечания от ресурсов ПЭВМ СОДС m-TrusT 1. ОС - + ОС исполняется на m-TrusT 2. СКЗИ - + СКЗИ размещается и исполняется на m-TrusT 3. Ключи СКЗИ - + Криптографические ключи не попадают в память недоверенной ПЭВМ 4. ПО ТК - + Терминальный клиент исполняется на доверенном m-TrusT 5. Сетевое ПО - + То же 6. Браузер - + То же Таблица 1. Сравнение технологи1 СОДС и ССВТ УД