Пошук На головну Написати нам листа
Iнститут комп'ютерних технологiй
Новини Про нас Продукти Експертні висновки Контакти
Опис

Комплекс засобів захисту (КЗЗ) інформації від несанкціонованого доступу (НСД) «Гриф-Мережа» призначений для забезпечення захисту інформації з обмеженим доступом (ІзОД), яка обробляється в локальних обчислювальних мережах (ЛОМ). До складу ЛОМ можуть входити файлові сервери, які функціонують під керуванням операційних систем (ОС) MS Windows Server 2003/ MS Windows Server 2008 R2/ MS Windows Server 2012 R2/ MS Windows Server 2016/2019, та робочі станції, які функціонують під керуванням ОС MS Windows XP Professional/ MS Windows 7 (Professional, Enterprise, Ultimate у т.ч. 64-розрядних)/ MS Windows 8.1 (Professional, Enterprise у т.ч. 64-розрядних)/ MS Windows 10 (Professional, Enterprise у т.ч. 64-розрядних), об’єднаних в єдиний домен.

Комплекс дозволяє створити на базі ЛОМ спеціалізовану автоматизовану систему класу 2 для оброблення ІзОД та забезпечити захист оброблюваної ІзОД від загроз порушення цілісності, конфіденційності та доступності при реалізації політики адміністративного керування доступом до інформації.

Комплекс постачається в двох конфігураціях: у базовій та в конфігурації для умов з підвищеними вимогами до забезпечення спостережності. Відміна між зазначеними конфігураціями комплексу полягає в тому, що в конфігурації для умов з підвищеними вимогами до забезпечення спостережності реалізована можливість збору та аналізу в реальному часі інформації про критичні з точки зору захищеності інформації події, зареєстровані на серверах, робочих станціях та активних мережевих пристроях, які функціонують у складі захищеної ЛОМ. В базовій конфігурації в реальному часі виконується тільки збереження інформації про критичні з точки зору захищеності інформації події, зареєстрованих на серверах та робочих станціях, які функціонують у складі захищеної ЛОМ, її аналіз виконується у відкладеному режимі.

Комплекс у базовій конфігурації доцільно використовувати для захисту інформації в ЛОМ, кількість робочих станцій в яких відносно невелике (до 30) та при цьому всі робочі станції розміщені в одному або кількох суміжних приміщеннях.

Комплекс у конфігурації для умов з підвищеними вимогами до забезпечення спостережності доцільно використовувати для захисту інформації в ЛОМ, кількість робочих станцій в яких достатньо велика (більше 30) або в яких робочі станції розміщені у великій кількості територіально віддалених приміщень (наприклад, по кілька робочих станцій в приміщеннях на різних поверхах багатоповерхової будівлі).

Комплекс «Гриф-Мережа» версії 3.04 реалізує такі функції:

  • ідентифікацію та автентифікацію користувачів на підставі імені (псевдоніма), паролю та носія даних автентифікації (знімного файлового носія (пристрій Flash Drive, CD-RW, DVD-RW, дискета тощо)) при завантаженні ОС робочої станції до завантаження будь-яких програмних засобів з дисків, що дозволяє заблокувати використання робочої станції сторонньою особою, а також розпізнати конкретного легального користувача та в подальшому реагувати на запити цього користувача відповідно до його повноважень;
  • блокування пристроїв інтерфейсу користувача (клавіатури, миші, монітора) на час його відсутності;
  • контроль цілісності та самотестування КЗЗ при старті та за запитом адміністратора, що дозволяє забезпечити стале функціонування КЗЗ та не допустити обробку ІзОД у випадку порушення його працездатності;
  • розподіл обов’язків користувачів та виділення кількох ролей адміністраторів, які можуть виконувати різні функції з адміністрування (реєстрацію захищених ресурсів, реєстрацію користувачів, призначення прав доступу, оброблення протоколів аудита, тощо);
  • розмежування доступу користувачів до вибраних каталогів (папок), розміщених на робочих станціях та файлових серверах ЛОМ, та до файлів, які в них знаходяться, що дозволяє організувати одночасну спільну роботу кількох користувачів ЛОМ, які мають різні службові обов’язки та права по доступу до ІзОД;
  • керування потоками інформації та блокування потоків інформації, що можуть призвести до зниження рівня її конфіденційності;
  • контроль за виводом інформації на друк з можливістю маркування друкованих листів документів (в форматі "Office Open XML") відповідно до вимог діючих нормативних документів з охорони державної таємниці;
  • контроль за експортом інформації на знімні носії з можливістю обмеження переліку знімних носіїв, які використовуються;
  • контроль за імпортом інформації зі знімних носіїв;
  • гарантоване видалення інформації шляхом затирання вмісту файлів, які містять ІзОД, при їх видаленні;
  • розмежування доступу прикладних програм до вибраних каталогів та файлів, які в них знаходяться, що дозволяє забезпечити захист ІзОД від випадкового видалення, модифікації, а також забезпечити дотримання технології її оброблення;
  • контроль цілісності прикладного та системного програмного забезпечення (ПЗ) та ПЗ КЗЗ, а також блокування завантаження програм, цілісність яких порушена, що дозволяє забезпечити захист від вірусів та дотримання технології оброблення ІзОД;
  • контроль за використанням користувачами дискового простору файлових серверів (квоти), що виключає можливість блокування одним з користувачів можливості роботи інших;
  • відновлення функціонування КЗЗ після збоїв, що гарантує доступність інформації з забезпеченням дотримання правил доступу до неї;
  • безперервну реєстрацію, аналіз та обробку подій (входу користувачів в ОС, спроб несанкціонованого доступу, фактів запуску програм, роботи з ІзОД, виводу на друк і т.п.) в спеціальних протоколах аудита, що дозволяє адміністраторам контролювати доступ до ІзОД, слідкувати за тим, як використовується КЗЗ, а також правильно його конфігурувати;
  • негайне оповіщення адміністратора безпеки про всі виявлені порушення встановлених правил розмежування доступу (у конфігурації для умов з підвищеними вимогами до забезпечення спостережності);
  • ведення архіву зареєстрованих даних аудита;
  • взаємодію з прикладними програмними системами через визначений виробником КЗЗ інтерфейс.

До складу комплекса «Гриф-Мережа» входять:

  • засоби розмежування доступу та реєстрації даних аудита, які встановлюються на робочих станціях та файлових серверах ЛОМ;
  • автоматизоване робоче місце (АРМ) адміністратора засобів захисту. Основні функції: реєстрація користувачів, вироблення даних ідентифікації та автентифікації із збереженням їх на носії даних автентифікації; реєстрація ресурсів, які підлягають захисту; керування розмежуванням доступу користувачів до вибраних каталогів; контроль цілісності та самотестування КЗЗ за запитом адміністратора; керування розмежуванням доступу прикладних програм до вибраних каталогів; керування квотами користувачів; встановлення контролю програмного забезпечення (заборона запуску незареєстрованих програм);
  • АРМ аналізу локальних даних аудита. Основні функції: перегляд, аналіз та обробка протоколів аудита; робота з архівом даних аудита;
  • АРМ адміністратора безпеки (використовується в конфігурації для умов з підвищеними вимогами до забезпечення спостережності). Основні функції: налаштування та керування параметрами аудиту захищених ресурсів; керування параметрами сповіщення та приймання сповіщень про критичні для безпеки події в реальному режимі часу; перегляд, аналіз та обробка протоколів аудита; робота з архівом даних аудита.

В термінах НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» комплекс «Гриф-Мережа» реалізує такі функціональні профілі захищеності.

Функціональний профіль захищеності, який реалізує комплекс «Гриф-Мережа» в базовій конфігурації:

{КА-2, КО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НИ-3, НК-1, НО-2, НЦ-2, НТ-2}

Функціональний профіль захищеності, який реалізує комплекс «Гриф-Мережа» в конфігурації для умов з підвищеними вимогами до забезпечення спостережності:

{КА-2, КО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-5, НИ-3, НК-1, НО-2, НЦ-2, НТ-2}

Розробка комплексу виконана у відповідності з вимогами до рівня гарантій Г-4 коректності реалізації функціональних послуг безпеки. Відповідно до експертного висновку, зареєстрованого в Адміністрації Держспецзв’язку 24.10.2019 за № 1034, реалізовані функціональні профілі захищеності, політика функціональних послуг безпеки та рівень гарантій відповідають вимогам НД ТЗІ 2.5-008-2002 «Вимоги щодо захисту службової інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2» та НД ТЗІ 2.4-015-2018, при цьому комплекс «Гриф-Мережа» без обмежень може використовуватись для захисту: інформації, що становить державну таємницю; службової інформації; таємної інформації, що не становить державну таємницю; конфіденційної інформації, яка знаходиться у володінні розпорядників інформації, визначених частиною першою статті 13 Закону України «Про доступ до публічної інформації»; іншої інформації з обмеженим доступом, необхідність захисту якої встановлена законом; конфіденційної інформації фізичних та юридичних осіб.

Подивитись експертний висновок можна тут

Більш детальна інформація наведена в документі «Комплекс засобів захисту інформації в локальних обчислювальних мережах від несанкціонованого доступу «Гриф-Мережа» версії 3. Опис комплексу»

Розділи
Copyright © 2000-2021, ТОВ «Інститут комп'ютерних технологій»®