Директор технического центра компании Merlion Вигель Антонов рассказывает про российское решение компании «Аладдин Р.Д.», позволяющее предотвращать несанкционированный доступ к информации даже на утраченных носителях.
Вигель Антонов
Предотвращение несанкционированного доступа к корпоративной информации, особенно чувствительной, например, к персональным данным, — важнейшая задача для любой компании. Количество успешных атак на корпоративные системы растет с каждым годом, как и ущерб от них. На слуху утечки информации в результате взломов корпоративных сетей, поэтому большая часть усилий по противодействию злоумышленникам заключается в укреплении периметра сетей.
Исследование компании «Аладдин Р.Д.», проведенное среди ИБ-специалистов, показало, что почти половина утечек, 48%, происходит в результате потери сотрудниками корпоративного ноутбука. Еще одна «боль» службы безопасности — неправомерный доступ к информации со стороны привилегированных пользователей, например, системных администраторов, которым он нужен для осуществления рабочих обязанностей.
«Последний рубеж» на пути злоумышленника, получившего доступ к носителям информации. — шифрование данных. Линейку соответствующих решений Secret Disk уже много лет развивает российская компания «Аладдин Р.Д.».
Семейство продуктов Secret Disk включает версии для компаний разного размера и поддерживает большинство популярных операционных систем, как все последние версии Windows, так и ряд российских Linux-систем.
Для государственных заказчиков существуют версии Secret Disk, сертифицированные ФСТЭК и ФСБ.
Возможности и особенности Secret Disk
Семейство продуктов Secret Disk имеет ряд особенностей, делающих работу с ними проще и эффективнее.
Применение «прозрачного» шифрования. Шифрование данных «на лету» (без снижения скорости работы, незаметно для пользователя) сохраняет производительность работы сотрудников.
Шифрование данных средствами с большой длиной ключа. Алгоритмы шифрования, с которыми работает Secret Disk, гарантируют стойкость ко взлому, даже в случае применения мощной вычислительной техники: время, необходимое для взлома, измеряется годами.
Комплексная защита информации. Для усиления защиты данных Secret Disk дополняет шифрование строгой двухфакторной аутентификацией и защитой информации на съемных носителях. Двухфакторная идентификация работает на основе устройств с аппаратной реализацией стойких криптографических алгоритмов (USB-токены или смарт-карты JaCarta). Для расшифровки данных злоумышленнику надо иметь на руках не только сам носитель информации, но и устройство аутентификации и знать PIN-код к нему.
Поддержка криптоалгоритмов сторонних производителей. Secret Disk применяет как отечественные криптоалгоритмы ГОСТ Р 34.12-2015, предоставляемые криптопровайдерами КриптоПроCSP или ViPNet CSP, так и криптоалгоритмы AES 256 или TripleDES, предоставляемые криптографическим драйвером режима ядра, входящего в состав Microsoft Windows. Широкий выбор криптоалгоритмов исключает возможность попасть в критическую зависимость от того или иного провайдера криптоуслуг.
Защита от внутренних нарушителей. Администратор безопасности не имеет доступа непосредственно к зашифрованной информации пользователей. Таким образом, администратор с привилегированными правами и намерениями скомпрометировать чувствительные к утечке данные, не сможет осуществить атаку, а добросовестные специалисты будут защищены при расследовании инцидента безопасности.
Реагирование на экстренные случаи. Возможность мгновенного прекращения доступа к данным на серверах по сигналу «тревога» позволяет обезопасить защищаемую информацию в чрезвычайных ситуациях (например, при попытке рейдерского захвата компании). Диски отключаются, информация остается в зашифрованном состоянии, также при определенных настройках удаляется защищенное хранилище ключей. Возвращение доступа осуществляется только после выяснения обстоятельств и по решению руководства компании, ресурсы которой были зашифрованы.
Быстрое реагирование на инциденты безопасности и средства логирования. Централизованное управление и мониторинг событий позволяет отслеживать всё происходящее в системе, быстро реагировать на инциденты информационной безопасности и проводить ретроспективные расследования.
Высокая производительность и масштабируемость. Версии Secret Disk Enterprise и Secret Disk Server NG оптимизированы для работы с многоядерными и многопроцессорными системами, в том числе в отказоустойчивых кластерных конфигурациях, что делает возможным их использование в крупных высоконагруженных и территориально-распределенных организациях.
Надежность. Реализованная в Secret Disk защита данных от сбоев во время процесса шифрования (ошибки операционной системы, нештатная перезагрузка компьютера, отключение электропитания), а также поддержка отказоустойчивых кластерных конфигураций позволяют быть уверенными в сохранности информации.
Низкая совокупная стоимость владения. Относительно невысокая стоимость самих продуктов семейства Secret Disk, их быстрое внедрение и недорогое сопровождение значительно снижают совокупную стоимость владения любой редакцией Secret Disk.
Использование в госструктурах и объектах КИИ. Сертификация ФСТЭК России, ФСБ России и внесение продуктов семейства Secret Disk в Реестр российского программного обеспечения позволяет использовать их для обработки персональных данных, в ИТ-системах госструктур и на объектах критической информационной инфраструктуры.
Редакции Secret Disk
Существуют три редакции продукта для Windows, а также версия для Linux.
Secret Disk 5 предназначен для шифрования информации на ПК в компаниях и организациях любого размера. Продукт поддерживает широкий спектр версий Windows, начиная от Windows Vista.Он позволяет защищать не только разделы жесткого диска, включая системный и логические, но и съемные носители (USB-диски, карты памяти и т.д.).
При шифровании системного диска пользователь должен пройти процедуру аутентификации до загрузки операционной системы.
Пофайловое шифрование защищает данные даже от привилегированных пользователей, таких как системные администраторы. Кроме того, такой подход позволяет осуществлять резервное копирование зашифрованной информации в зашифрованном виде даже во время работы. На одном компьютере допускается комбинирование разных алгоритмов защиты данных.
Версия Secret Disk 5, сертифицированная ФСТЭК России на соответствие ТУ и отсутствие НДВ по 4 уровню контроля, предназначена для защиты от несанкционированного доступа к информации (сертификат соответствия № 3742). Это позволяет использовать продукт для защиты информации в информационных системах персональных данных (ИСПДн) до 1 уровня защищенности включительно, в государственных информационных системах (ГИС) до 1 класса защищенности включительно, а также при создании автоматизированных систем (АС) до класса защищенности 1Г включительно.
Продукт зарегистрирован в реестре российских программ для ЭВМ и БД (реестровая запись № 514 от 29.04.2016).
Главная особенность Secret Disk для Linux — поддержка основных российских операционных систем, используемых на отечественном корпоративном рынке: Astra Linux компании «Группа Астра», РЕД ОС компании «РЕД Софт», «Альт СП» компании «Базальт СПО». Он позволяет компаниям и организациям не остаться без средств защиты данных в условиях ухода с нашего рынка иностранных производителей ПО шифрования и постепенного отказа многих крупнейших российских компаний и организаций от Windows.
Secret Disk для Linux является полностью отечественным решением, в нем не используются сторонние библиотеки. Защитные механизмы продукта (шифрование, аутентификация, ключевая схема) наследованы из модуля Secret Disk Crypto Engine (для Windows), являющегося СКЗИ, сертифицированным ФСБ России по классу КС1, КС2. Сам Secret Disk для Linux проходит сертификацию в ФСБ по классу КС1, КС2.
Также решение сертифицировано ФСТЭК: ИСПДн до 1 уровня, КИИ 1 категории, ГИС до 1 класса, АСУ ТП до 1 класса, АС классов 1Д, 1Г, 2Б, 3Б (сертификат соответствия № 4765).
Secret Disk для Linux зарегистрирован в реестре российских программ для ЭВМ и БД (реестровая запись № 514 от 29.04.2016).
Secret Disk Enterprise — корпоративная система защиты коммерческой информации с централизованным управлением. Клиент-серверная архитектура продукта позволяет системным администраторам следить за обеспечением безопасности на большом количестве рабочих станций и масштабировать защиту при расширении ИТ-инфраструктуры.
Для доступа к защищаемым данным до загрузки операционной системы в Secret Disk Enterprise используются USB-токены и смарт-карты, при этом аутентификаторы доступа хранятся на защищенном сервере и передаются пользователю по мере необходимости, что позволяет предотвратить их случайную потерю. Это также дает возможность контролировать доступ сотрудников к защищаемым данным и в любой момент запретить его.
Инструменты мониторинга, реализованные в Secret Disk Enterprise, позволяют диагностировать состояние защищенных дисков на рабочих местах из одного интерфейса. Использование административного Web-портала снижает нагрузку на службу поддержки.
Внедрение корпоративной системы не занимает много времени и может осуществляться собственными силами отдела информационной безопасности. Интерфейс системы прост, не требует знаний в области криптографии и специальной подготовки. Гибкие настройки по разграничению доступа к защищенным данным для разных категорий пользователей, включая технические службы, максимально снижают вероятность случайной потери информации и несанкционированного доступа к данным.
В Secret Disk Enterprise реализована поддержка использования защищенных контейнеров, что обеспечивает возможность безопасной передачи документов, их редактирования или подписания, а также их безопасность на компьютерах без установленного агента Secret Disk Enterprise.
Продукт зарегистрирован в реестре российских программ для ЭВМ и БД (реестровая запись № 513 от 29.04.2016).
Secret Disk Server NG — система защиты коммерческой информации от несанкционированного доступа, копирования, кражи или принудительного изъятия на серверах, способная не только скрывать сам факт наличия на дисках какой-либо информации, но и экстренно блокировать доступ к дискам серверов по сигналу «тревога».
Secret Disk Server NG допускает многопользовательскую работу с защищенными данными как в формате файлового сервера, так и сервера приложений. В первом случае пользователи получают прозрачный доступ к зашифрованной информации на файловом сервере или в хранилище данных, а во втором — доступ к данным приложений может быть открыт только через сами приложения.
Поддерживает подавляющее большинство современных файловых систем и отказоустойчивых конфигураций. Система аутентифицирует администратора Secret Disk Server NG при помощи USB-токена или смарт-карты, содержащих специальную лицензию администратора, и PIN-кода для управления любым количеством серверов из единого центра управления Secret Disk Server NG.
Экстренное блокирование доступа к данным по сигналу «тревога» может быть активировано широким набором устройств (в комплект поставки входит устройство подачи сигнала тревоги с USB-интерфейсом), служб и сценариев, которые включают в себя компьютерные программы, физические кнопки, работающие на размыкание или замыкание, радиопередающие устройства с широким диапазоном действия, а также приемники сотовой связи, настроенные на определенные команды. Гибкость решения позволяет добиться индивидуального подхода к защите информации исходя из потребностей заказчика.
Решение Secret Disk Server NG зарегистрировано в реестре российских программ для ЭВМ и БД (реестровая запись № 519 от 29.04.2016).
Продукты компании «Аладдин Р.Д.» доступны в Merlion.
Материал предоставлен директором технического центра Вигелем Антоновым.
Новости
