Поиск На главную Письмо нам
Институт компьютерных технологий
Новости О фирме Продукты Сертификаты Консультации Контакты
Описание

Комплекс средств защиты (КСЗ) информации от несанкционированного доступа (НСД) «Гриф-Мережа» предназначен для обеспечения защиты информации с ограниченным доступом (ИсОД), обрабатываемой в локальных вычислительных сетях (ЛВС). В состав ЛВС могут входить файловые серверы, функционирующие под управлением ОС MS Windows 2003 Server/ MS Windows 2008 Server/ MS Windows 2008 Server R2/ MS Windows 2012 Server/ MS Windows 2012 Server R2, и рабочие станции, функционирующие под управлением ОС MS Windows XP Professional/ MS Windows Vista/ MS Windows 7 (в т.ч. 64-разрядных)/ Windows 8/ 8.1 (в т.ч. 64-разрядных), объединенные в единый домен.

Комплекс позволяет создать на базе ЛВС специализированную АС класса 2 для обработки ИсОД и обеспечить защиту обрабатываемой ИсОД от угроз нарушения целостности, конфиденциальности и доступности при реализации политики административного управления доступом к информации.

Комплекс поставляется в двух конфигурациях: в базовой и в конфигурации для условий с повышенными требованиями к обеспечению наблюдаемости. Отличие между указанными конфигурациями комплекса состоит в том, что в конфигурации для условий с повышенными требованиями к обеспечению наблюдаемости реализована возможность сбора и анализа в реальном времени информации о критичных с точки зрения защищенности информации событиях, зарегистрированных на серверах, рабочих станциях и активных сетевых устройствах, функционирующих в составе защищенной ЛВС. В базовой конфигурации в реальном времени выполняется только сохранение информации о критичных с точки зрения защищенности информации событиях, зарегистрированных на серверах и рабочих станциях, функционирующих в составе защищенной ЛВС, ее анализ выполняется в отложенном режиме.

Комплекс в базовой конфигурации целесообразно применять для защиты информации в ЛВС, количество рабочих станций в которых относительно невелико (до 30) и при этом все рабочие станции располагаются в одном или нескольких смежных помещениях.

Комплекс в конфигурации для условий с повышенными требованиями к обеспечению наблюдаемости целесообразно применять для защиты информации в ЛВС, количество рабочих станций в которых достаточно велико (более 30) или в которых рабочие станции располагаются в большом количестве территориально удаленных помещений (например, по нескольку рабочих станций в помещениях на разных этажах многоэтажного здания).

Комплекс «Гриф-Мережа» реализует следующие функции:
  • идентификацию и аутентификацию пользователей на основании имени, пароля и персонального носителя данных аутентификации (Touch Memory, Flash Drive или дискеты) при загрузке ОС рабочей станции до загрузки каких-либо программных средств с дисков, что позволяет заблокировать использование рабочей станции посторонним лицом, а также опознать конкретного легального пользователя и в дальнейшем реагировать на запросы этого пользователя в соответствии с его полномочиями;
  • блокировку устройств интерфейса пользователя (клавиатуры, мыши, монитора) на время его отсутствия;
  • контроль целостности и самотестирование КСЗ при старте и по запросу администратора, что позволяет обеспечить устойчивое функционирование КСЗ и не допустить обработку ИсОД в случае нарушения его работоспособности;
  • разграничение обязанностей пользователей и выделение нескольких ролей администраторов, которые могут выполнять различные функции по администрированию (регистрацию защищаемых ресурсов, регистрацию пользователей, назначение прав доступа, обработку протоколов аудита и т.п.).
  • разграничение доступа пользователей к выбранным каталогам (папкам), размещенным на рабочих станциях и файловых серверах ЛВС, и находящимся в них файлам, что позволяет организовать одновременную совместную работу нескольких пользователей ЛВС, имеющих разные служебные обязанности и права по доступу к ИсОД;
  • управление потоками информации и блокировку потоков информации, приводящих к снижению ее уровня конфиденциальности;
  • контроль за выводом информации на печать с возможностью маркирования печатных листов выводимых документов (в формате "Office Open XML") согласно требований действующих нормативных документов в области охраны государственной тайны;
  • контроль за экспортом информации на сменные носители с возможностью ограничения перечня используемых сменных носителей;
  • контроль за импортом информации со сменных носителей;
  • гарантированное удаление информации путем затирания содержимого файлов, содержащих ИсОД, при их удалении;
  • разграничение доступа прикладных программ к выбранным каталогам и находящимся в них файлам, что позволяет обеспечить защиту ИсОД от случайного удаления, модификации и соблюсти технологию ее обработки;
  • контроль целостности прикладного и системного ПО и ПО КСЗ, а также блокировку загрузки программ, целостность которых нарушена, что позволяет обеспечить защиту от вирусов и соблюдение технологии обработки ИсОД;
  • контроль за использованием пользователями дискового пространства файловых серверов (квоты), что исключает возможность блокирования одним из пользователей возможности работы других;
  • восстановление функционирования КСЗ после сбоев, что гарантирует доступность информации с обеспечением соблюдения правил доступа к ней;
  • непрерывную регистрацию, анализ и обработку событий (входа пользователей в ОС, попыток несанкционированного доступа, фактов запуска программ, работы с ИсОД, вывода на печать и т.п.) в специальных протоколах аудита, что позволяет администраторам контролировать доступ к ИсОД, следить за тем, как используется КСЗ, а также правильно его конфигурировать;
  • немедленное оповещение администратора безопасности обо всех выявленных нарушениях установленных правил разграничения доступа (в конфигурации для условий с повышенными требованиями к обеспечению наблюдаемости);
  • ведение архива зарегистрированных данных аудита.

В состав комплекса «Гриф-Мережа» входят:

  • средства разграничения доступа и регистрации данных аудита, устанавливаемые на рабочих станциях и файловых серверах ЛВС;
  • автоматизированное рабочее место (АРМ) администратора средств защиты. Основные функции: регистрация пользователей, выработка данных идентификации и аутентификации с сохранением их на носимых идентификаторах; регистрация защищаемых ресурсов; управление разграничением доступа пользователей к выбранным каталогам; контроль целостности и самотестирование КСЗ по запросу администратора; управление разграничением доступа прикладных программ к выбранным каталогам; управление квотами пользователей; установка контроля программного обеспечения (запрет запуска незарегистрированных программ);
  • АРМ анализа локальных данных аудита. Основные функции: просмотр, анализ и обработка протоколов аудита; работа с архивом данных аудита.
  • АРМ администратора безопасности (используется в конфигурации для условий с повышенными требованиями к обеспечению наблюдаемости). Основные функции: настройка и управление параметрами аудита защищенных ресурсов; управление параметрами оповещения и прием оповещений о критичных для безопасности событиях в реальном режиме времени; просмотр, анализ и обработка протоколов аудита; работа с архивом данных аудита.

В терминах НД ТЗИ 2.5-004-99 «Критерии оценки защищенности информации в компьютерных системах от несанкционированного доступа» комплекс «Гриф-Мережа» реализует следующие функциональные профили защищенности.
Функциональный профиль защищенности, реализуемый комплексом «Гриф-Мережа» в базовой конфигурации:

КА-2, КО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НИ-3, НК-1, НО-2, НЦ-2, НТ-2

Функциональный профиль защищенности, реализуемый комплексом «Гриф-Мережа» в конфигурации для условий с повышенными требованиями к обеспечению наблюдаемости:

КА-2, КО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-5, НИ-3, НК-1, НО-2, НЦ-2, НТ-2

Разработка выполнена в соответствии с требованиями к уровню гарантий Г-4.
Согласно экспертному заключению, зарегистрированному в Администрации Государственной службы специальной связи и защиты информации 02.03.2016 г. за № 643, реализованные функциональные профили защищенности, политика функциональных услуг безопасности и уровень гарантий соответствуют требованиям НД ТЗИ 2.5-008-2002 «Требования по защите служебной информации от несанкционированного доступа во время обработки в автоматизированных системах класса 2», при этом комплекс «Гриф-Мережа» без ограничений может использоваться для защиты: служебной информации; секретной информации, не составляющей государственную тайну; конфиденциальной информации, находящейся во владении распорядителей информации, определенных частью первой статьи 13 Закона Украины «О доступе к публичной информации»; иной информации с ограниченным доступом, необходимость защиты которой установлена законом; конфиденциальной информации физических и юридических лиц. Использование комплекса «Гриф-Мережа» для защиты информации, составляющей государственную тайну, возможно при условии комплекса требованиям к политике и порядку реализации функциональных услуг безопасности, выдвинутым в Техническом задании на создание соответствующей комплексной системы защиты информации.

Посмотреть экспертное заключение можно здесь

Более детальная информация приведена в документе «Комплекс средств защиты информации в локальных вычислительных сетях от несанкционированного доступа «Гриф-Мережа» версии 3. Описание комплекса» .
Разделы
Copyright © 2000-2012, ООО «Институт компьютерных технологий»®