Конявская Текхнология доверенного сеанса связи ДСС и средство 2015

2)проверяет подлинность полученных из «Центра» образов (находящихся в ШИПКЕ-С),

3)сопоставляет пользователям образы, полученные от АИБ «Центра» (при этом записывает серийный номер).

1. Пользователь:

1)меняет PIN-код своей ШИПКИ-К.

Порядок действий при работе системы:

1. Администратор СХСЗ:

1)запускает СХСЗ с ШИПКИ-С в начале рабочего дня,

2)администрирует базу данных пользователей в ШИПКЕ-С,

3)по мере необходимости просматривает журналы событий. 2. АИБ СХСЗ:

1)при получении обновленных образов от АИБ «Центра» (ко-

гда ШИПКИ-С уже на местах) записывает их на диск ШИПКИ-С,

2)по мере поступления записывает на ШИПКУ-С вновь полученные от АИБ «Центра» образы,

3)по мере необходимости просматривает журналы событий, архивирует их, очищает и т. д.

3. Пользователь:

1)при начале работы на терминальной станции подключает ШИПКУ-К и вводит ее PIN-код,

2)при завершении работы отключает ШИПКУ-К от терминальной станции.

14. Как Вы поняли основное назначение ПАК Privacy?

Интерфейсная надстройка над ПСКЗИ ШИПКА, позволяющая интуитивно понятным образом управлять ключами в формате «Web-of-Trust» и защищать файлы, виртуальные диски и переписку по электронной почте и ICQ.

15. В чем состоит основная особенность работы с криптографическими ключами с применением ПАК Privacy?

Принадлежность ключа пользователю удостоверяется другим пользователем, который уверен в подлинности ключа (например, на основании проверки «фингерпринта»), путем подписания чужого открытого ключа своей электронной подписью.

121

16. В чем отличия и что общего у ПАК «Центр-Т» и СОДС

«МАРШ!»?

Общее:

И то, и другое – композитные USB-устройства, предназначенные для загрузки ПО с диска, входящего в состав устройства. Оба устройства имеют резидентное СКЗИ в своем составе.

Оба устройства включают в себя функциональность идентификатора пользователя в ПАК «Аккорд».

Сценарий работы пользователя с обоими устройствами очень похож: пользователь подключает устройство, вводит PIN-код и работает с неким удаленным ресурсом.

Различия:

Основное предназначение СОДС «МАРШ!» – работа в webсистемах, функциональность работы с терминальными серверами для него является дополнительной.

ПАК «Центр-Т» предназначен именно для терминальных систем.

СОДС «МАРШ!» обеспечивает защищенную локальную загрузку, а ПАК «Центр-Т» - сетевую.

Состав образа, загружаемого с СОДС «МАРШ!», определяется на этапе заказа устройства (в общем случае), образ поставляется в составе устройства.

Загружаемый образ в ПАК «Центр-Т» формируется на АРМ «Центр», входящем в состав комплекса, персоналом эксплуатирующей организации.

17. В чем заключается концептуальная основа понятия «доверенный сеанс связи»? В чем основные отличия этой концепции от концепции доверенной вычислительной среды?

Доверенный сеанс связи – это непродолжительный период работы компьютера, в рамках которого на нем обеспечивается доверенная среда и устанавливается защищенное соединение с удаленной системой. Основа концепции в том, что одно и то же средство вычислительной техники может использоваться в защищенных и незащищенных сетях, без риска возникновения угрозы утечки информации через общий ресурс и без урезания возможностей «незащищенного» применения СВТ. Доверенная вычислительная среда, в свою очередь, – это понятие, характеризующее условия, а

122

не систему. Доверенную вычислительную среду можно создавать в системе навсегда, а можно – на сеанс.

18. В чем заключается архитектурное отличие устройства «МАРШ!» от «токена с памятью» и какой защитный эффект обеспечивает это отличие?

Архитектура «МАРШ!» такова, что критичные для безопасности данные передаются между компонентами устройства напрямую, не выходя во внешнюю среду, а значит, не компрометируясь.

«Токен с памятью» – это два разных устройства в одном корпусе, взаимодействующих через посредство ПК, к которому устройство подключено, то есть все данные, которые должны быть переданы от одного компонента устройства другому, передаются через потенциально недоверенную среду.

Среда может считаться доверенной, если контрольные процедуры выполнены до ее загрузки. Но если для проведения контрольных процедур требуется передача данных через внешнюю среду, то это означает, что контрольные процедуры в архитектуре такого типа принципиально не могут быть выполнены независимо от внешней недоверенной среды. Критичные данные – данные для управления доступом к каждому «защищенному» хранилищу (хранилищу загружаемого ПО, хранилищу ключей), хоть и хранятся в том же устройстве (читай «корпусе»), поступают снаружи, значит, не могут считаться доверенными.

19. В чем заключается принципиальное решение задачи защищенной работы с USB-накопителями в линейке «Секрет» и за счет каких аппаратных ресурсов служебных носителей «Секрет» оно реализуется?

Почему невозможна реализация данного подхода на произвольно взятой флешке за счет дополнения ее каким-либо программным обеспечением?

Принципиальное решение по обеспечению защищенной работы с USB-накопителями в линейке «Секрет» заключается в том, что активным элементом системы, принимающим решение о том, можно или нельзя монтироваться диску на данном ПК, является сам USB-накопитель.

123

Это реализовано за счет того, что в архитектуру устройства включен активный процессор, анализирующий данные взаимной аутентификации устройства и ПК.

Реализация аналогичного протокола на флешке без такого процессора невозможна, так как нет «интеллектуального» компонента

–резидентного компонента безопасности.

20.От каких параметров системы зависит предпочтительность выбора одного из продуктов линейки «Секрет»?

От предпочтительной для архитектуры данной конкретной АС системы управления «Секретами» - сетевая или автономная, с возможностью или без возможности установки в системе дополнительного ПО, с необходимостью или без необходимости ведения журнала всех, даже неудачных, попыток подключения, с возможностью или без возможности в отдельных случаях позволять пользователям подключаться к чужим ПК.

21. По каким параметрам «Секрет Особого Назначения» определяет «свои» и «чужие» компьютеры?

Каким образом нужно учитывать это при администрировании компьютеров, которые зарегистрированы в «Секретах Особого Назначения»?

Имя компьютера, Домен (рабочая группа),

Серийный номер материнской платы, Серийный номер ОС, Серийный номер «Аккорд-АМДЗ».

Это нужно учитывать при переустановке ОС, смене рабочей группы или имени компьютера, замене платы замка – любое из этих действий требует перерегистрации компьютера в «Секрете», так как он автоматически «выпадет» из списка разрешенных.

22. Попробуйте сформулировать наблюдение: как концепция РКБ реализована в каждом из изученных Вами продуктов.

Задание творческое, единственно правильного ответа не предполагает.

124

СПИСОК ЛИТЕРАТУРЫ

1.Официальный сайт СОДС «МАРШ!». URL: http://www.sodsmarsh.ru.

2.Акаткин Ю. М. Интеграция технологий обеспечения ИБ при оказании государственных услуг в электронном виде // Information Security/Информационная безопасность. 2013. № 2. С. 6–7.

3.Акаткин Ю. М. Информационная безопасность финансового института. Что предлагает рынок для защиты информации // Национальный банковский журнал. 2013. № 4. С. 122.

4.Акаткин Ю. М. Сервисы и решения, обеспечивающие непрерывность бизнес-процессов в ЦОД // Национальный банковский журнал. 2013. № 5. С. 167.

5.Акаткин Ю. М. Информационная безопасность в банках: актуальные вопросы // Национальный банковский журнал. 2013. № 8. С. 104.

6.Акаткин Ю. М. Как защитить электронную подпись // Национальный банковский журнал. 2013. № 8. С. 111.

7.Акаткин Ю. М., Конявский В. А. Безопасный доступ к корпоративным облачным приложениям // Information Security / Информационная безопасность. 2014. № 1. С. 23.

8.Каннер А. М. Средство организации доверенного сеанса как альтернатива доверенной вычислительной среде // Информационные технологии управления в социально-экономических системах. М., 2010. Вып. 4.

С. 140–143.

9.Компьютер типа «тонкий клиент» с аппаратной защитой данных. Патент на полезную модель № 118773. 27.07.2012, бюл. № 21.

10.Конявская С. В. Безопасность Web-ресурсов. Иллюзии с последующим разоблачением // Information Security/Информационная безопас-

ность. 2001. № 2. С. 53.

11.Конявская С.В. Ответьте центру! // Information Security / Инфор-

мационная безопасность. 2010. № 6. С. 47.

12.Конявская С. В. Надо ли бороться с «человеческим фактором»? // Национальный банковский журнал. 2011. № 5. С. 120–121.

13.Конявская С. В. «Личный кабинет», как сделать его действительно «кабинетом» и действительно «личным» // Комплексная защита информации. Безопасность информационных технологий. Материалы XVII Международной конференции 15–18 мая 2012 г., Суздаль (Россия). М., 2012. С. 137–139.

14.Конявская С. В. Безопасность Web-ресурса, или Дыры в виртуальных заборах // Информационные технологии, связь и защита информа-

ции МВД России-2012. М., 2012. С. 214.

125

15.Конявская С. В. Шашечки или ехать? Всегда ли безопасность обеспечивается именно защищенностью? // Information Security / Информационная безопасность. 2012. № 4. С. 42–43.

16.Конявская С. В. ДБО как сотрудничество банка и клиента // Национальный банковский журнал. 2013. № 2. С. 85.

17.Конявская С. В. Защита информации в системах терминального доступа // Information Security/Информационная безопасность. 2014. № 3.

С. 53–54.

18.Конявская С. В., Кравец В. В. Защищенное ДБО: несколько слов о самых популярных возражениях // Information Security/Информационная безопасность. 2014. № 2. С. 22–23.

19.Конявский В. А. Управление защитой информации на базе СЗИ НСД «Аккорд». М.: «Радио и связь», 1999. – 325 c.

20.Конявский В. А. Доверенный сеанс связи. Развитие парадигмы доверенных вычислительных систем – на старт, внимание, МАРШ! // Комплексная защита информации. Материалы XV Международной научнопрактической конференции (Иркутск (Россия), 1–4 июня 2010 г.). М., 2010.

21.Конявский В. А. «Всегда прав» или «Cам виноват»? // Защита ин-

формации. INSIDE. 2011. № 5. С. 70–77.

22.Конявский В. А. Организация безопасного ДБО на основе СОДС «МАРШ!» // Национальный банковский журнал. 2011. № 9.

23.Конявский В. А. Банки, люди и их деньги // Комплексная защита информации. Безопасность информационных технологий. Материалы XVII Международной конференции 15–18 мая 2012 г., Суздаль (Россия).

М., 2012. С. 140–141.

24.Конявский В. А. Безопасное «облако» // Федеральный справочник. Связь и массовые коммуникации в России: [информационноаналитическое издание]. Т. 12 / НП «Центр стратегического партнерства». М.: НП «Центр стратегического партнерства», 2012. С. 325–330.

25.Конявский В. А. Хотят ли банки ДБО? // Национальный банков-

ский журнал. 2012. № 2. C. 86–87.

26.Конявский В. А. ДБО – как сделать это безопасным // Information Security/Информационная безопасность. 2012. № 2. С. 32–33.

27.Конявский В. А. ДБО – как сделать это безопасным. Часть II // Information Security/Информационная безопасность. 2012. № 3. С. 8–9.

28.Конявский В. А. Электронная торговля. Вопросы идентификации

иаутентификации // Information Security/Информационная безопасность. 2013. № 3. С. 47.

29.Конявский В. А. Облако ЦОДов, или Сон разума // Защита инфор-

мации. INSIDE. 2013. № 5. С. 36–37.

30.Конявский В. А. Про ЦОДы // Национальный банковский журнал. 2013. № 7. С. 82–83.

126

31.Конявский В. А. Про ДБО // Национальный банковский журнал.

№12 (103). С. 86–87.

32.Конявский В. А. Серебряная пуля для хакера // Защита информа-

ции. INSIDE. 2013. № 4. С. 54–56.

33.Конявский В. А. Серебряная пуля для хакера (окончание) // Защи-

та информации. INSIDE. 2013. № 5. С. 69–73.

34.Конявский В. А. Защищенный микрокомпьютер МК-TRUST – новое решение для ДБО // Национальный банковский журнал. 2014. № 3.

С. 105.

35.Конявский В. А. Минимизация рисков участников дистанционного банковского обслуживания (стендовый доклад на XIX Международной конференции «Комплексная защита информации». 20–22 мая 2014 г.,

Псков (Россия)). URL: http://www.okbsapr.ru/konyavskiy_2014_4.html (дата обращения: 12.10.2014).

36.Конявский В. А., Акаткин Ю. М. Мы не доверяем облаку или облако нам? // Information Security/Информационная безопасность. 2014. № 1. С. 28–29.

37.Конявский В. А., Гадасин В. А. Основы понимания феномена электронного обмена информацией. Мн., 2004. – 327 c.

38.Конявский В. А., Поспелов А. Л. Национальный оператор идентификации, или Как повысить доверие клиентов к ДБО и понизить риски банков // Национальный банковский журнал. 2013. № 2. С. 86–87.

39.Кравец В. В. Доверенная вычислительная среда на планшетах Dell. «МАРШ!» (стендовый доклад на XIX Международной конференции «Комплексная защита информации». 20–22 мая 2014 г., Псков (Россия)). URL: http://www.okbsapr.ru/kravets_2014_1.html (дата обращения: 12.10.2014).

40.Кравец В. В. Особенности работы в среде с памятью readonly (доклад на XIX Международной конференции «Комплексная защита инфор-

мации». 20–22 мая 2014 г., Псков (Россия)). URL: http://www.okbsapr.ru/ kravets_2014_3.html (дата обращения: 12.10.2014).

41.Мобильное устройство защиты информации с повышенным уровнем защищенности. Патент на полезную модель № 83862. 20.06.2009, бюл. № 17.

42.Мобильный компьютер с аппаратной защитой доверенной операционной системы. Патент на полезную модель № 138562. 20.03.2014, бюл. № 8.

43.Модем для безопасных коммуникаций в компьютерных сетях. Патент на полезную модель № 127596. 10.05.2013, бюл. № 13.

44.Некрасов В. А. Business Intelligence и информационная безопасность // Национальный банковский журнал. 2012. № 3. С. 104–105.

127

45.Периферийное USB-устройство долговременного пользования для мобильной компьютерной техники. Патент на полезную модель №

133353. 10.10.2013, бюл. № 28.

46.Рябов А. С. ЦОДы: значит, это кому-нибудь нужно? // Information Security/Информационная безопасность. 2013. № 6. С. 13.

47.Специальный съемный носитель информации. Патент на полез-

ную модель № 94751. 27.05.2010, бюл. № 15.

48.Способ защиты от несанкционированного доступа к информации,

хранимой в компьютерных системах. Патент на полезную модель

№2470349. 20.12.2012, бюл. № 35.

49.Счастный Д. Ю. Защита решений для федеральных органов власти // Комплексная защита информации. Безопасность информационных технологий. Материалы XVII Международной конференции 15–18 мая

2012 г., Суздаль (Россия). 2012. С. 229–230.

50.Счастный Д. Ю. Привязка облака к земле (стендовый доклад на XIX Международной конференции «Комплексная защита информации». 20–22 мая 2014 г., Псков (Россия)). URL: http://www.okbsapr.ru/schastny_ 2014_1.html (дата обращения: 12.10.2014).

51.Съемный носитель информации. Патент на полезную модель №

102139. 10.02.2011, бюл. № 4.

52.Съемный носитель информации с безопасным управлением доступом. Патент на полезную модель № 123571. 27.12.2012, бюл. №36.

53.Съемный носитель информации на основе энергонезависимой памяти с расширенным набором функций информационной безопасности. Патент на полезную модель № 130441. 20.07.2013, бюл. № 20.

128