Пошук На головну Написати нам листа
Iнститут комп'ютерних технологiй
Новини Про нас Продукти Експертні висновки Контакти
Опис

Комплекс засобів захисту (КЗЗ) інформації від несанкціонованого доступу (НСД) «Гриф-Мережа» призначений для забезпечення захисту інформації з обмеженим доступом (ІзОД), яка обробляється в локальних обчислювальних мережах (ЛОМ). До складу ЛОМ можуть входити файлові сервери, які функціонують під управлінням операційних систем (ОС) MS Windows 2003 Server/ MS Windows 2008 Server R2/ MS Windows 2012 Server R2, та робочі станції, які функціонують під управлінням ОС MS Windows XP Professional/ MS Windows 7 (в т.ч. 64-розрядних)/ MS Windows 8.1 (в т.ч. 64-розрядних), об’єднаних в єдиний домен.

Комплекс дозволяє створити на базі ЛОМ спеціалізовану автоматизовану систему (АС) класу 2 для обробки ІзОД та забезпечити захист оброблюваної ІзОД від загроз порушення цілісності, конфіденційності та доступності при реалізації політики адміністративного керування доступом до інформації.

Комплекс постачається в двох конфігураціях: в базовій та в конфігурації для умов з підвищеними вимогами до забезпечення спостережності. Відміна між вказаними конфігураціями комплексу полягає в тому, що в конфігурації для умов з підвищеними вимогами до забезпечення спостережності реалізована можливість збору та аналізу в реальному часі інформації про критичні з точки зору захищеності інформації події, зареєстровані на серверах, робочих станціях та активних мережених пристроях, які функціонують у складі захищеної ЛОМ. У базовій конфігурації в реальному часі виконується тільки збереження інформації про критичні з точки зору захищеності інформації події, зареєстрованих на серверах та робочих станціях, які функціонують у складі захищеної ЛОМ, її аналіз виконується у відкладеному режимі.

Комплекс у базовій конфігурації доцільно використовувати для захисту інформації в ЛОМ, кількість робочих станцій в яких відносно невелика (до 30) та при цьому всі робочі станції розміщені в одному або кількох суміжних приміщеннях.

Комплекс у конфігурації для умов з підвищеними вимогами до забезпечення спостережності доцільно використовувати для захисту інформації в ЛОМ, кількість робочих станцій в яких достатньо велика (більше 30) або в яких робочі станції розміщені у великій кількості територіально віддалених приміщень (наприклад, по кілька робочих станцій в приміщеннях на різних поверхах багатоповерхової будівлі).

Комплекс «Гриф-Мережа» версії 3.03 реалізує наступні функції:

  • ідентификацію та автентифікацію користувачів на підставі імені, пароля та персонального носія даних автентифікації (CD/DVD-RW, Flash Drive або дискети) при завантаженні ОС робочої станції до завантаження будь-яких програмних засобів з дисків, що дозволяє заблокувати використання робочої станції сторонньою особою, а також розпізнати конкретного легального користувача та в подальшому реагувати на запити цього користувача відповідно до його повноважень;
  • блокування пристроїв інтерфейсу користувача (клавіатури, миші, монітора) на час його відсутності;
  • контроль цілісності та самотестування КЗЗ при старті та по запиту адміністратора, що дозволяє забезпечити стале функціонування КЗЗ та не допустити обробку ІзОД у випадку порушення його працездатності;
  • розмежування обов’язків користувачів та виділення кількох ролей адміністраторів, які можуть виконувати різні функції по адмініструванню (реєстрацію захищених ресурсів, реєстрацію користувачів, призначення прав доступу, обробку протоколів аудиту і т.п.);
  • розмежування доступу користувачів до вибраних каталогів (папок), розміщених на робочих станціях та файлових серверах ЛОМ, та до файлів, які в них знаходяться, що дозволяє організувати одночасну спільну роботу кількох користувачів ЛОМ, які мають різні службові обов’язки та права по доступу до ІзОД;
  • управління потоками інформації та блокування потоків інформації, які призводять до зниження рівня її конфіденційності;
  • контроль за виводом інформації на друк з можливістю маркування друкованих аркушів документів (в форматі "Office Open XML") відповідно до вимог діючих нормативних документів з охорони державної таємниці;
  • контроль за експортом інформації на знімні носії з можливістю обмеження переліку змінних носіїв, які використовуються;
  • контроль за імпортом інформації зі знімних носіїв;
  • гарантоване видалення інформації шляхом затирання вмісту файлів, які містять ІзОД, при їх видаленні;
  • розмежування доступу прикладних програм до вибраних каталогів та файлів, які в них знаходяться, що дозволяє забезпечити захист ІзОД від випадкового видалення, модифікації та дотриматись технології її обробки;
  • контроль цілісності прикладного та системного програмного забезпечення (ПЗ) та ПЗ КЗЗ, а також блокування завантаження програм, цілісність яких порушена, що дозволяє забезпечити захист від вірусів та дотримання технології обробки ІзОД;
  • контроль за використанням користувачами дискового простору файлових серверів (квоти), що виключає можливість блокування одним з користувачів можливості роботи інших;
  • відновлення функціонування КЗЗ після збоїв, що гарантує доступність інформації з забезпеченням дотримання правил доступу до неї;
  • безперервну реєстрацію, аналіз та обробку подій (входу користувачів в ОС, спроб несанкціонованого доступу, фактів запуску програм, роботи з ІзОД, виводу на друк і т.п.) в спеціальних протоколах аудиту, що дозволяє адміністраторам контролювати доступ до ІзОД, слідкувати за тим, як використовується КЗЗ, а також правильно його конфігурувати;
  • негайне оповіщення адміністратора безпеки про всі виявлені порушення встановлених правил розмежування доступу (в конфігурації для умов з підвищеними вимогами до забезпечення спостережності);
  • ведення архіву зареєстрованих даних аудиту.

До складу комплекса «Гриф-Мережа» входять:

  • засоби розмежування доступу та реєстрації даних аудиту, які встановлюються на робочих станціях та файлових серверах ЛОМ;
  • автоматизоване робоче місце (АРМ) адміністратора засобів захисту. Основні функції: реєстрація користувачів, вироблення даних ідентифікації та автентифікації із збереженням їх на носії даних автентифікації; реєстрація ресурсів, які підлягають захисту; управління розмежуванням доступу користувачів до вибраних каталогів; контроль цілісності та самотестування КЗЗ за запитом адміністратора; управління розмежуванням доступу прикладних програм до обраних каталогів; управління квотами користувачів; встановлення контролю програмного забезпечення (заборона запуску незареєстрованих програм);
  • АРМ аналізу локальних даних аудита. Основні функції: перегляд, аналіз та обробка протоколів аудита; робота з архівом даних аудита;
  • АРМ адміністратора безпеки (використовується в конфігурації для умов з підвищеними вимогами до забезпечення спостережності). Основні функції: налаштування та управління параметрами аудита захищених ресурсів; управління параметрами сповіщення та приймання повідомлень про критичні для безпеки події в реальному режимі часу; перегляд, аналіз та обробка протоколів аудита; робота з архівом даних аудита.

В термінах НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» комплекс «Гриф-Мережа» реалізує наступні функціональні профілі захищеності.

Функціональний профіль захищеності, який реалізує комплекс «Гриф-Мережа» в базовій конфігурації:

КА-2, КО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НИ-3, НК-1, НО-2, НЦ-2, НТ-2

Функціональний профіль захищеності, який реалізує комплекс «Гриф-Мережа» в конфігурації для умов з підвищеними вимогами до забезпечення спостережності:

КА-2, КО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-5, НИ-3, НК-1, НО-2, НЦ-2, НТ-2

Розробка комплексу виконана у відповідності з вимогами до рівня гарантій Г-4. Відповідно до експертного висновку, зареєстрованого в Адміністрації Держспецзв’язку 02.03.2016 г. за № 643, реалізовані функціональні профілі захищеності, політика функціональних послуг безпеки та рівень гарантій відповідають вимогам НД ТЗІ 2.5-008-2002 «Вимоги щодо захисту службової інформації від несанкціонованого доступу під час обробки в автоматизованих системах класу 2», при цьому комплекс «Гриф-Мережа» без обмежень може використовуватись для захисту: службової інформації; таємної інформації, що не становить державну таємницю; конфіденційної інформації, яка знаходиться у володінні розпорядників інформації, визначених частиною першою статті 13 Закону України «Про доступ до публічної інформації»; іншої інформації з обмеженим доступом, необхідність захисту якої встановлена законом; конфіденційної інформації фізичних та юридичних осіб. Використання комплексу «Гриф-Мережа» для захисту інформації, що становить державну таємницю, можливо за умови відповідності комплексу вимогам до політики та порядку реалізації функціональних послуг безпеки, висунутим в Технічному завданні на створення комплексної системи захисту інформації.

Подивитись експертний висновок можна тут

На даний час (травень 2019) проводиться додаткова державна експертиза комплексу.

Більш детальна інформація наведена в документі «Комплекс средств защиты информации в локальных вычислительных сетях от несанкционированного доступа «Гриф-Мережа» версии 3. Описание комплекса»

Розділи
Copyright © 2000-2019, ТОВ «Інститут комп'ютерних технологій»®