тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Импортозамещение - Информационная безопасность > Сравнение средств защиты от несанкционированного доступа

By 27.03.2025 Импортозамещение Информационная безопасность 0 Comments

Сравнение средств защиты от несанкционированного доступа

В рамках выполнения 152-ФЗ, все компании обязаны защищать информацию в соответствии с уровнем защищённости (УЗ) информационных систем персональных данных (ИСПДн) или классом защищённости (КЗ) для государственных информационных систем (ГИС).

Меры делятся на:

  • организационные — документация, контроль доступа, работа с командой, взаимодействие с регулятором;
  • технические — средства защиты информации, криптография.

Одним из обязательных требований по защите для всех ИСПДн и ГИС есть, например, требование по идентификации и аутентификации субъектов доступа и объектов доступа. Его можно закрыть с помощью средств защиты от несанкционированного доступа (СЗИ от НСД).

СЗИ от НСД выполняют ещё несколько ключевых задач:

  • Контроль доступа – разрешают вход только тем, кому можно.
  • Журналирование действий – записывают, кто, когда и что делал в системе.
  • Шифрование – если даже данные украли, их нельзя прочитать без ключа.
  • Обнаружение атак – предупреждают о попытках взлома.

Сегодня сравним российские СЗИ от НСД, на конкретных сценариях разберём, как и по каким критериям выбрать то, которое подойдёт под ваши требования.

Насколько критична информация? 2 подхода к выбору СЗИ от НСД

Первый и главный критерий при выборе подхода к защите от несанкционированного доступа — требования регуляторов к составу и содержанию организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, а для ГИС — к защите информации, не составляющей государственную тайну, содержащейся в ГИС.

В зависимости от этого, выбор комплекса мер СЗ от НСД можно разделить на два подхода.

Первый подход: критичные системы

Использование аппаратно-программных комплексов (ПАК) или специализированного ПО, интегрированного с базовой системой ввода-вывода (BIOS). Эти решения обеспечивают меры доверенной загрузки (МДЗ).

Они предназначены для ИС с высоким УЗ, например:
— ИСПДн 1-го и 2-го уровня;
— ГИС классов К1 и К2.

Доверенная загрузка гарантирует, что запуск системы осуществляется с проверенных компонентов, исключая возможность запуска вредоносного ПО на этапе старта.

Второй подход

Подразумевает установку ПО непосредственно в ОС без реализации МДЗ. Такой вариант чаще всего используется для систем с менее строгими требованиями к безопасности, где необходимость МДЗ отсутствует.

Например, это может касаться систем обработки конфиденциальной информации не составляющей государственную тайну ГИС К3. Или для ИСПДн с УЗ-3 или УЗ-4

Проще говоря, для некритичных систем необходимы СЗ от НСД на уровне операционной системы. А для критичных — СЗ от НСД + МДЗ.

Разбор функционала российских средств защиты от НСД 

Разберём наиболее актуальные на данный момент — как в плане поддерживаемых платформ, так и в плане выполнения требований регуляторов — средства защиты от НСД.

SNS 8.10 /SNS LSP/Linux

— Применяются в системах с требованиями к защищенности СВТ по классу 5 и уровнем доверия 4 (уровнем контроля отсутствия НДВ) для защиты конфиденциальной информации.

— Подходит для систем ГИС К1, К2, К3 и для ИСПДн — УЗ-1, УЗ-2, УЗ-3, УЗ-4.

— Оба варианта включают сервер, центр управления и клиентские компоненты для ОС.

— Есть разница между SNS LSP и SNS Linux. Первый поддерживает обширное количество систем семейства Linux, а второй — только часть отечественных ОС.

Dallas Lock

Выпускается в двух редакциях для операционных систем семейства Widows:

— Dallas Lock-K

Для систем класса защищенности СВТ 5 и уровнем доверия 4, обеспечивающих защиту конфиденциальной информации, не составляющей гостайну.

— Dallas Lock-C

Для систем класса защищенности СВТ 3, уровнем доверия 2, обеспечивающих защиту государственной тайны.

Также есть версия для систем семейства Linux — Dallas Lock-Linux

Используется в системах класса защищенности СВТ 5 и уровнем доверия 4 для защиты конфиденциальной информации, не составляющей гостайну.

СПО Аккорд-X-К / СПО Аккорд-WIN-К

ПО для защиты от НСД систем семейств Linux и Windows соответственно.

Обеспечивает базовую защиту от НСД.

Используется в системах класса защищенности СВТ 5 и уровнем доверия 4 для информации, не составляющей гостайну.

VipNet SafePoint

Используется в системах класса защищенности СВТ 5 и уровнем доверия 4 для защиты конфиденциальной информации, не составляющей гостайну.

Возможна интеграция SSO с VipNet SafeBoot.

Меры доверенной загрузки

«Накладываются» на СЗ от НСД.

Можно классифицировать СЗИ с функцией МДЗ на программные и аппаратные.

Программные средства доверенной загрузки можно разделить на две категории:

1. Средства, встроенные в BIOS

Интегрируются непосредственно в BIOS и начинают работу еще до загрузки ОС. Проверяют целостность компонентов системы и предотвращают запуск нештатной ОС.

2. Средства, заменяющие загрузочную запись

Работают на уровне загрузочной записи на жестком диске и перехватывают процесс загрузки перед передачей управления ОС. 

Рассмотрим два примера программных средств доверенной загрузки — вышеупомянутый VipNet SafeBoot и СДЗ УБ Dallas Lock.

ViPNet SafeBoot

   — Сертифицированное средство, предназначенное для защиты на уровне BIOS.

   — Подходит для широкого спектра устройств, включая ПК, мобильные устройства и серверы.

   — Обязательна проверка на возможность встраивания в BIOS.

СДЗ УБ Dallas Lock

—  СДЗ уровня базовой системы ввода-вывода (BIOS). Представляет собой программнотехническое средство, которое встраивается в базовую систему ввода-вывода и осуществляет блокирование попыток несанкционированной загрузки нештатной ОС.

— Обязательна проверка на возможность встраивания в BIOS.

Аппаратные СЗИ с МДЗ

Аппаратные средства устанавливаются внутри корпуса компьютера и подключаются к материнской плате через разъемы — PCI или Mini PCI Express. 

СПО АККОРД-X/WIN

   — Полноценные комплексы для защиты информации, включающие как программные, так и аппаратные компоненты.

   — Поддерживают МДЗ и подходят для работы с различными платформами (например, Windows и Linux).

ПАК Соболь

   — Программно-аппаратное решение, работающее в среде UEFI.

   — Контролирует загрузку только доверенных ОС и осуществляет проверку целостности файлов и секторов жесткого диска.   

СДЗ Dallas Lock

  — Доступен в нескольких форм-факторах: PCI Express, Mini PCI Express и M2.

  — Предоставляет аппаратную защиту от несанкционированной загрузки и контроля целостности программно-аппаратной среды.  

 — Комплексное решение, предлагающее аппаратную защиту от несанкционированной загрузки и контроль целостности системы.

Помимо защиты информации, регулятор также выдвигает требования к ее уничтожению. Например при истечении срока хранения ПДн, окончании цели обработки ПДн, запросе субъекта о прекращении обработки его ПДн, если нет законных оснований на обработку.

Приведенные в статье СЗИ от НСД SNS 8.10 / SNS LSP/Linux, Dallas Lock, СПО Аккорд-X-К / СПО Аккорд-WIN-К имеют в своем составе модуль позволяющий выполнить  требования РКН в части уничтожения ПДн.Необходимо только выставить циклы затирания и приложить выгруженный журнал затираний к Акту об уничтожении

Как выбрать подходящее средство защиты

При выборе средства защиты важно учитывать следующие, общие для всех СЗИ от НСД факторы:

1. Уровень защищенности системы.
Если система обрабатывает данные, относящиеся к ИСПДн 1-го и 2-го уровней или ГИС классов К1 и К2, требуется применение СЗИ от НСД с МДЗ + СЗИ от НСД на уровне ОС. В противном случае можно ограничиться СЗИ от НСД на уровне ОС.

О том, как определить уровень защищённости ИСПДн — рассказывали здесь.

О том, как определить класс защиты ГИС — здесь.

Как понять, какие организационные и технические меры необходимы на каждом из уровней — в этом материале.

2. Требования к классу защищенности СВТ и уровню доверия.
Для систем класса 5 и уровнем доверия 4 подойдет любое из представленных решений. А вот для систем класса 3 и уровнем доверия 2 потребуется версия Dallas Lock-C.

3. Поддержка платформы.
Убедитесь, что выбранное средство защиты совместимо с используемой ОС (семейства Windows или Linux) и аппаратной платформой функционирования ИС. На сайте каждого из представленных вендоров СЗИ приведены подробные таблицы совместимости и минимальных системных требований, либо присутствует функционал проверки совместимости (например, для встраивания в базовую систему ввода вывода).

4. Функционал и дополнительные возможности.
Оцените функциональность каждого продукта, такие как наличие центра управления, поддержка централизованного администрирования и интеграции с другими системами безопасности, например, СЗИ от НСД с МДЗ.

Например, мы определили что наша система ИСПДн по требованиям 21 Приказа ФСТЭК соответствует УЗ-3 с требованием к 6 уровню доверия, на ОС Debian 10, и в будущем планируется развертывание домена Безопасности.

Наш выбор будет Dallas Lock Linux. Так как SNS Linux не поддерживает ОС Debian 10, а у СПО Аккорд-X-К не реализуют Домен безопасности.

Если вам необходима помощь с подбором и внедрением технических мер защиты информации — просто заполните форму. Мы свяжемся с вами.

А если вы хотите полностью делегировать ответственность и головную боль за организационные и технические меры защиты ПДн — заполните эту форму.