Секрет нет студио 8 инструкция

Средство защиты информации

Secret Net Studio – C

Руководство администратораПринципыпостроения

RU.88338853.501400.002 91 1

© Компания «Код Безопасности», 2019. Все права защищены.

Все авторские права на эксплуатационную документацию защищены.

Этот документ входит в комплект поставки изделия. На него распространяются все условиялицензионного соглашения. Без специального письменного разрешения компании «КодБезопасности» этот документ или его часть в печатном или электронном виде не могут бытьподвергнуты копированию и передаче третьим лицам с коммерческой целью.

Информация, содержащаяся в этом документе, может быть изменена разработчиком без спе-циального уведомления, что не является нарушением обязательств по отношению к пользо-вателю со стороны компании «Код Безопасности».

Почтовый адрес: 115127, Россия, Москва, а/я 66ООО «Код Безопасности»

Телефон: 8 495 982-30-20

E-mail: [email protected]

Web: https://www.securitycode.ru

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

2Secret Net Studio – C. Руководство администратораПринципы построения

ОглавлениеСписок сокращений 5

Введение 6

Общие сведения 7Назначение системы 7Основные функции 7Состав устанавливаемых компонентов 8

Назначение компонентов 8Лицензии на использование подсистем 9

Составные части клиента Secret Net Studio 10Группы функциональных компонентов клиента 10Базовая защита 10

Ядро 11Агент 11Средства локального управления 11Подсистема локальной аутентификации 11Подсистема контроля целостности 12Подсистема работы с аппаратной поддержкой 12Подсистема самозащиты 12

Подключаемые функциональные компоненты клиента 12Локальная защита 12Доверенная среда 12Сетевая защита 12

Механизмы защиты, реализуемые клиентом 13Защита входа в систему 13

Идентификация и аутентификация пользователей 13Блокировка компьютера 13Аппаратные средства защиты 14Общие сведения об интеграции Secret Net Studio и комплексов «Соболь» 16

Функциональный контроль подсистем 17Самозащита 18Регистрация событий 18Контроль целостности 18Дискреционное управление доступом к ресурсамфайловой системы 19Затирание удаляемой информации 21Контроль подключения и изменения устройств компьютера 22Разграничение доступа к устройствам 22Замкнутая программная среда 23Полномочное управление доступом 24Контроль печати 26Теневое копирование выводимых данных 26Защита информации на локальных дисках 27Шифрование данных в криптоконтейнерах 28Паспорт ПО 30Доверенная среда 30Межсетевой экран 31Авторизация сетевых соединений 31

Организация централизованного управления системой 32Взаимодействующие компоненты 32

Сервер безопасности 32Программа управления 32Клиент в сетевом режиме функционирования 32

Домены безопасности 33Сетевая структура Secret Net Studio 33

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

3Secret Net Studio – C. Руководство администратораПринципы построения

Управление доменными пользователями 34Централизованное хранение данных 34

Приложение 35Необходимые права для установки и управления 35

Установка и удаление компонентов 35Настройка механизмов и управление параметрами объектов 36Работа с программой управления в централизованном режиме 37

Оценка размера БД для сервера безопасности 38Рекомендации по настройке для соответствия требованиям о защите инфор-мации 40

Автоматизированные системы 40Государственные информационные системы 46Информационные системы персональных данных 51

Применение параметров после настройки 57

Документация 60

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

4Secret Net Studio – C. Руководство администратораПринципы построения

Список сокращенийAD Active Directory

API Application Programming Interface

BIOS Basic Input/Output System

FAT File Allocation Table

GPT GUID Partition Table

HTTPS Hypertext Transfer Protocol Secure

IEEE Institute of Electrical and Electronics Engineers

IMAPI Image Mastering Application Programming Interface

MBR Master Boot Record

MS Microsoft

MSDN Microsoft Developers Network

NTFS New Technology File System

PCMCIA Personal Computer Memory Card International Association

PKI Public Key Infrastructure

ReFS Resilient File System

SSL Secure Socket Layer

TLS Transport Layer Security

UDF Universal Disk Format

UEFI Unified Extensible Firmware Interface

USB Universal Serial Bus

VPN Virtual Private Network

XML Extensible Markup Language

XPS XML Paper Specification

АС Автоматизированная система

БД База данных

ДС Доверенная среда

ЗПС Замкнутая программная среда

ИС Информационная система

КЦ Контроль целостности

ОС Операционная система

ОУ Оперативное управление

ПАК Программно-аппаратный комплекс

ПО Программное обеспечение

РДУ Разграничение доступа к устройствам

СБ Сервер безопасности

СЗИ Средство или система защиты информации

СУБД Система управления базами данных

ФСТЭК Федеральная служба по техническому и экспортному контролю

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

5Secret Net Studio – C. Руководство администратораПринципы построения

ВведениеДанное руководство предназначено для администраторов изделия «Средство за-щиты информации Secret Net Studio – C» RU.88338853.501400.002 (далее —Secret Net Studio, система защиты, изделие). В нем содержатся сведения, необ-ходимые администраторам для ознакомления с принципами работы и воз-можностями применения Secret Net Studio.

Условныеобозначения

В руководстве для выделения некоторых элементов текста используется рядусловных обозначений.Внутренние ссылки обычно содержат указание на номер страницы с нужнымисведениями.Важная и дополнительная информация оформлена в виде примечаний. Степеньважности содержащихся в них сведений отображают пиктограммы на полях.• Так обозначается дополнительная информация, которая может содержать

примеры, ссылки на другие документы или другие части этого руководства.• Такой пиктограммой выделяется важная информация, которую необходимо

принять во внимание.• Эта пиктограмма сопровождает информацию предостерегающего характера.

Исключения. Примечания могут не сопровождаться пиктограммами. А на полях, помимо пикто-грамм примечаний, могут быть приведены и другие графические элементы, например, изображениякнопок, действия с которыми упомянуты в тексте расположенного рядом абзаца.

Другиеисточникиинформации

Сайт в интернете. Вы можете посетить сайт компании «Код Безопасности»(https://www.securitycode.ru/) или связаться с представителями компании поэлектронной почте ([email protected]).Учебные курсы. Освоить аппаратные и программные продукты компании «КодБезопасности» можно в авторизованных учебных центрах. Перечень учебныхцентров и условия обучения представлены на сайте компанииhttps://www.securitycode.ru/company/education/training- courses/ . Связаться cпредставителем компании по вопросам организации обучения можно по элек-тронной почте ([email protected]).

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

6Secret Net Studio – C. Руководство администратораПринципы построения

Глава 1Общие сведенияНазначение системы

Система Secret Net Studio предназначена для обеспечения безопасности инфор-мационных систем на компьютерах, функционирующих под управлением опера-ционных системMS Windows 10/8/7 и Windows Server 2019/2016/2012/2008.При использовании соответствующих подсистем изделие обеспечивает:• защиту от несанкционированного доступа к информационным ресурсам

компьютеров;• контроль устройств, подключаемых к компьютерам;• межсетевое экранирование сетевого трафика;• авторизацию сетевых соединений.Управление функционированием системы Secret Net Studio может осуществ-ляться централизованно или локально.

Основные функцииСистема Secret Net Studio реализует следующие основные функции:• Контроль входа пользователей в систему (идентификация и аутентификация

пользователей).• Дискреционное разграничение доступа к файловым ресурсам, устройствам,

принтерам.• Мандатное (полномочное) разграничение доступа к файловым ресурсам,

устройствам, принтерам, сетевым интерфейсам, включая:• контроль потоков конфиденциальной информации в системе;• контроль вывода информации на съемные носители.

• Контроль состояния устройств компьютера с возможностями:• блокирования компьютера при изменении состояния заданных

устройств;• блокирования подключения запрещенного устройства (устройства из

запрещенной группы).• Теневое копирование информации, выводимой на внешние носители и на пе-

чать.• Автоматическая маркировка документов, выводимых на печать.• Контроль целостности файловых объектов и реестра.• Создание замкнутой программной среды для пользователей (контроль запус-

ка исполняемых модулей, загрузки динамических библиотек, исполненияскриптов по технологии Active Scripts).

• Очистка оперативной и внешней памяти при ее перераспределении.• Изоляция процессов (выполняемых программ) в оперативной памяти.• Защита содержимого локальных жестких дисков при несанкционированной

загрузке операционной системы.• Создание доверенной среды (внешний по отношению к ОС контроль работы

ОС и системы защиты, установленных на компьютере).• Межсетевое экранирование сетевого трафика.• Авторизация сетевых соединений.• Управление ПАК «Соболь» (управление пользователями, контролем целост-

ности, получение событий безопасности).• Функциональный контроль ключевых защитных подсистем.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

7Secret Net Studio – C. Руководство администратораПринципы построения

• Самозащита от несанкционированных воздействий на ключевые защитныеподсистемы.

• Регистрация событий безопасности.• Централизованное и локальное управление параметрами работы механизмов

защиты.• Централизованное и локальное управление параметрами работы пользо-

вателей.• Мониторинг и оперативное управление защищаемыми компьютерами.• Централизованный сбор, хранение и архивирование журналов.

Состав устанавливаемых компонентовСистема Secret Net Studio состоит из следующих программных пакетов, устанав-ливаемых на компьютерах:1. «Secret Net Studio» (далее — клиент).2. «Secret Net Studio — Сервер безопасности» (далее — сервер безопасности или

СБ).3. «Secret Net Studio — Центр управления» (далее — программа управления).

Назначение компонентовКлиентКлиент системы Secret Net Studio предназначен для реализации защиты ком-пьютера, на котором установлен данный компонент. Защита реализуется путемприменения защитных механизмов, расширяющих и дополняющих средствабезопасности ОС Windows. Защитные механизмы — это совокупность настра-иваемых программных средств, входящих в состав клиента и обеспечивающихбезопасное использование ресурсов.Клиент может функционировать в следующих режимах:• автономный режим— предусматривает только локальное управление защит-

ными механизмами;• сетевой режим — предусматривает локальное и централизованное управ-

ление защитными механизмами, а также централизованное получениеинформации и изменение состояния защищаемых компьютеров.

Режим функционирования определяется при установке клиентского ПО и можетбыть изменен в процессе эксплуатации клиента (см. документ [3]).

Сервер безопасностиСервер безопасности реализует возможности централизованного управленияклиентами в сетевом режиме функционирования. Данный компонент обес-печивает:• хранение данных централизованного управления;• координацию работы других компонентов в процессе централизованного

управления системой;• получение от клиентов и обработку информации о состоянии защищаемых

компьютеров;• управление пользователями и авторизацией сетевых соединений;• централизованный сбор, хранение и архивирование журналов.

Программа управленияПрограмма управления используется для централизованного управления серве-рами безопасности и клиентами в сетевом режиме функционирования. Данныйкомпонент обеспечивает:• управление параметрами объектов;

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

8Secret Net Studio – C. Руководство администратораПринципы построения

• отображение информации о состоянии защищаемых компьютеров и произо-шедших событиях тревоги;

• загрузку журналов событий;• оперативное управление компьютерами.

Лицензии на использование подсистемМеханизмы защиты системы Secret Net Studio доступны для использования приналичии соответствующих зарегистрированных лицензий. Лицензируютсяследующие механизмы:• механизмы, входящие в базовую защиту (обязательная лицензия);• дискреционное управление доступом;• контроль устройств;• затирание данных;• замкнутая программная среда;• полномочное управление доступом;• контроль печати;• защита дисков и шифрование данных;• межсетевой экран;• авторизация сетевых соединений;• паспорт ПО;• доверенная среда.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

9Secret Net Studio – C. Руководство администратораПринципы построения

Глава 2Составные части клиента Secret Net StudioГруппы функциональных компонентов клиента

В состав клиента системы Secret Net Studio входят следующие функциональныекомпоненты:• основные программные службы, модули и защитные подсистемы (базовая за-

щита);• дополнительно подключаемые функциональные компоненты, условно разде-

ленные на следующие группы:• локальная защита;• доверенная среда;• сетевая защита.

Обобщенная структурная схема клиента представлена на следующем рисунке.

Базовая защитаВ базовую защиту входят следующие программные службы, модули и защитныеподсистемы:• ядро;• агент;• средства локального управления;• подсистема локальной аутентификации;• подсистема контроля целостности;• подсистема работы с аппаратной поддержкой;• подсистема самозащиты.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

10Secret Net Studio – C. Руководство администратораПринципы построения

ЯдроСлужба ядра автоматически запускается на защищаемом компьютере при еговключении и функционирует на протяжении всего времени работы компьютера.Она осуществляет управление подсистемами и обеспечивает их взаимодействие.Ядро выполняет следующие функции:• обеспечивает обмен данными между подсистемами клиента и обработку пос-

тупающих команд;• обеспечивает доступ других компонентов к информации, хранящейся в

локальной базе данных Secret Net Studio;• обрабатывает поступающую информацию о событиях, связанных с безопас-

ностью системы, и регистрирует их в журнале Secret Net Studio.Подсистема регистрации является одним из элементов ядра клиента. Она пред-назначена для управления регистрацией событий, связанных с работой системызащиты. Такие события регистрируются в журнале Secret Net Studio. Эта инфор-мация поступает от подсистем Secret Net Studio, которые следят за происхо-дящими событиями. Перечень событий Secret Net Studio, подлежащихрегистрации, устанавливается администратором безопасности.В локальной БД Secret Net Studio хранится информация о настройках системы за-щиты, необходимых для работы защищаемого компьютера. Локальная БД раз-мещается в реестре ОСWindows и специальных файлах.

АгентАгентом является программный модуль в составе клиента, обеспечивающий вза-имодействие с сервером безопасности. Агент принимает команды от сервера безо-пасности и отправляет ему данные о состоянии компьютера.Агент используется только в сетевом режиме функционирования клиента.

Средства локального управленияСредства локального управления обеспечивают:• управление объектами защиты (устройствами, файлами, каталогами);• управление параметрами пользователей и защитных механизмов;• формирование заданий на контроль целостности;• просмотр локальных журналов.

Подсистема локальной аутентификацииПодсистема используется в механизме защиты входа в систему. Cовместно с ОСWindows подсистема обеспечивает:• проверку возможности входа пользователя в систему;• оповещение пользователя о реализованных в системе мерах защиты инфор-

мации и о последнем входе в систему;• оповещение остальных модулей о начале или завершении работы пользо-

вателя;• блокировку работы пользователя;• загрузку данных с персональных идентификаторов пользователя;• усиленную аутентификацию пользователя при входе в систему.При обработке входа пользователя в систему осуществляется формированиеконтекста пользователя: определение его привилегий, уровня допуска и др.Дополнительно выполняется функциональный контроль работоспособности сис-темы Secret Net Studio.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

11Secret Net Studio – C. Руководство администратораПринципы построения

Подсистема контроля целостностиПодсистема контроля целостности обеспечивает проверку неизменности ресур-сов компьютера: каталогов, файлов, ключей и значений реестра. В составе меха-низма контроля целостности подсистема реализует защиту от подменыресурсов, сравнивая их с определенными эталонными значениями. Данная под-система выполняет контролирующие функции не при обращении пользователяк ресурсам, а при наступлении определенных событий в системе (загрузка, входпользователя, контроль по расписанию).

Подсистема работы с аппаратной поддержкойПодсистема используется в механизме защиты входа в систему для работы сустройствами аппаратной поддержки. Она обеспечивает взаимодействие сис-темы Secret Net Studio с определенным набором устройств и состоит из следу-ющих модулей:• модуль, обеспечивающий единый интерфейс обращения ко всем поддержи-

ваемым устройствам аппаратной поддержки;• модули работы с устройствами (каждый модуль обеспечивает работу с кон-

кретным устройством);• драйверы устройств аппаратной поддержки (если они необходимы).

Подсистема самозащитыДанная подсистема обеспечивает функционирование механизма самозащиты(см. стр.18).

Подключаемые функциональные компоненты клиента

Локальная защитаК группе локальной защиты относятся подсистемы, реализующие применениеследующих механизмов защиты:• контроль устройств;• контроль печати;• замкнутая программная среда;• полномочное управление доступом;• дискреционное управление доступом к ресурсамфайловой системы;• затирание данных;• защита информации на локальных дисках;• шифрование данных в криптоконтейнерах;• паспорт ПО.

Доверенная средаПодсистема «Доверенная среда» реализует применение одноименного меха-низма защиты.

Сетевая защитаК группе сетевой защиты относятся подсистемы, реализующие применениеследующих механизмов защиты:• межсетевой экран;• авторизация сетевых соединений.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

12Secret Net Studio – C. Руководство администратораПринципы построения

Глава 3Механизмы защиты, реализуемые клиентомЗащита входа в систему

Защита входа в систему обеспечивает предотвращение доступа посторонних лицк компьютеру. К механизму защиты входа относятся следующие средства:• средства для идентификации и аутентификации пользователей;• средства блокировки компьютера;• аппаратные средства защиты от загрузки ОС со съемных носителей.

Идентификация и аутентификация пользователейИдентификация и аутентификация пользователя выполняются при каждом вхо-де в систему. Штатная для ОС Windows процедура входа предусматривает вводимени и пароля пользователя или использование аппаратных средств, под-держиваемых операционной системой.В системе Secret Net Studio идентификация пользователей может выполняться вследующих режимах:• «По имени» — для входа в систему пользователь может ввести свои учетные

данные (имя и пароль) или использовать аппаратные средства, поддержи-ваемые ОС;

• «Смешанный» — для входа в систему пользователь может ввести свои учет-ные данные (имя и пароль) или использовать персональный идентификатор,поддерживаемый системой Secret Net Studio;

• «Только по идентификатору» — каждый пользователь для входа в системудолжен обязательно использовать персональный идентификатор, поддержи-ваемый системой Secret Net Studio.

В качестве персональных идентификаторов в Secret Net Studio применяютсясредства идентификации и аутентификации на базе идентификаторов eToken,RuToken, JaCarta, ESMART или iButton. Чтобы использовать эти устройства, необ-ходимо зарегистрировать их в системе защиты (присвоить пользователям).Аутентификация пользователей может выполняться в усиленном режиме с до-полнительной проверкой пароля пользователя системой Secret Net Studio. В ре-жиме усиленной аутентификации пароли пользователей проверяются насоответствие требованиям политики паролей как в операционной системе, так ив Secret Net Studio.Дополнительно для защиты компьютеров в Secret Net Studio предусмотреныследующие режимы:• разрешение интерактивного входа только для доменных пользователей — в

этом режиме блокируется вход в систему локальных пользователей (под ло-кальными учетными записями);

• запрет вторичного входа в систему — в этом режиме блокируется запуск ко-манд и сетевых подключений с вводом учетных данных другого пользователя(не выполнившего интерактивный вход в систему).

Блокировка компьютераСредства блокировки компьютера предназначены для предотвращения несанк-ционированного использования компьютера. В этом режиме блокируются устрой-ства ввода (клавиатура и мышь) и экран монитора.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

13Secret Net Studio – C. Руководство администратораПринципы построения

Блокировка при неудачных попытках входа в системуДля пользователей могут быть установлены ограничения на количество неу-дачных попыток входа в систему. В дополнение к стандартным возможностям ОСWindows (блокировка учетной записи пользователя после определенного числапопыток ввода неправильного пароля) система Secret Net Studio может контро-лировать неудачные попытки входа в систему при включенном режиме уси-ленной аутентификации по паролю. Если пользователь определенноеколичество раз вводит пароль, который не был сохранен в БД Secret Net Studio,— система блокирует компьютер. Разблокирование компьютера осуществляетсяадминистратором. Счетчик неудачных попыток обнуляется при удачном входепользователя или после разблокирования компьютера.

Временная блокировка компьютераРежим временной блокировки включается в следующих случаях:• если пользователь выполнил действие для включения блокировки;• если истек заданный интервал неактивности (простоя) компьютера.Для включения блокировки пользователь может применить стандартный способблокировки рабочей станции или изъять свой идентификатор из считывателя.Чтобы выполнялась блокировка при изъятии идентификатора, администраторунеобходимо настроить реакцию на это действие в политиках с помощью прог-раммы управления. Блокировка при изъятии идентификатора выполняется приусловии, что пользователь выполнил вход в систему с использованием этогоидентификатора.Блокировка по истечении заданного интервала неактивности осуществляетсяавтоматически и распространяется на всех пользователей компьютера.Для снятия временной блокировки необходимо указать пароль текущего пользо-вателя или предъявить его идентификатор.

Блокировка компьютера при работе защитных подсистемБлокировка компьютера предусмотрена и в алгоритмах работы защитных под-систем. Такой тип блокировки используется в следующих ситуациях:• при нарушении функциональной целостности системы Secret Net Studio;• при изменениях аппаратной конфигурации компьютера;• при нарушении целостности контролируемых объектов.Разблокирование компьютера в этих случаях осуществляется администратором.

Блокировка компьютера администратором оперативногоуправленияВ сетевом режиме функционирования блокировка и разблокирование защи-щаемого компьютера могут осуществляться удаленно по команде пользователяпрограммы управления.

Аппаратные средства защитыВ Secret Net Studio поддерживается работа с аппаратными средствами, пере-численными в следующей таблице.

Аппаратные средства Основные решаемые задачи

Средства идентификациии аутентификации на базеидентификаторов eToken,RuToken, JaCarta и ESMART

• Идентификация и аутентификация во время входапользователя после загрузки ОС.

• Идентификация и аутентификация во время входапользователя с удаленного компьютера.

• Снятие временной блокировки компьютера.• Хранение в идентификаторе пароля икриптографического ключа

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

14Secret Net Studio – C. Руководство администратораПринципы построения

Аппаратные средства Основные решаемые задачи

Устройство Secret Net Card • Идентификация и аутентификация во время входапользователя после загрузки ОС.

• Идентификация и аутентификация во время входапользователя с удаленного компьютера.

• Запрет загрузки ОС со съемных носителей.• Снятие временной блокировки компьютера.• Хранение в идентификаторе пароля икриптографического ключа

Программно-аппаратный комплекс(ПАК) «Соболь»

• Идентификация и аутентификация пользователей дозагрузки ОС.

• Идентификация и аутентификация во время входапользователя после загрузки ОС.

• Идентификация и аутентификация во время входапользователя с удаленного компьютера.

• Запрет загрузки ОС со съемных носителей.• Контроль целостности программной среды компьютерадо загрузки ОС.

• Снятие временной блокировки компьютера.• Хранение в идентификаторе пароля икриптографического ключа

Для идентификации и аутентификации пользователей могут применятьсяследующие средства:• идентификаторы iButton (поддерживаемые типы DS1992 — DS1996). Счи-

тывающее устройство iButton подключается к разъему платы ПАК «Соболь»или Secret Net Card;

• USB-ключи и смарт-карты (с любыми совместимыми USB-считывателями):

Продукт USB-ключи Смарт-карты

eToken PRO eToken PRO eToken Pro SC

eToken PRO (Java) eToken PRO (Java) eToken Pro (Java) SC

JaCarta PKI JaCarta PKIJaCarta PKI Flash

JaCarta PKI SC

JaCarta ГОСТ JaCarta ГОСТJaCarta PKI/ГОСТJaCarta ГОСТ Flash

JaCarta ГОСТ SC

JaCarta-2 ГОСТ JaCarta-2 ГОСТJaCarta-2 PKI/ГОСТ

JaCarta-2 PKI/ГОСТ SC

JaCarta SF/ГОСТ JaCarta SF/ГОСТ —

JaCarta PRO JaCarta PROJaCarta-2 PRO/ГОСТ

JaCarta PRO SCJaCarta-2 PRO/ГОСТ SC

JaCarta WebPass JaCarta WebPass —

JaCarta-2 SE JaCarta-2 SE —

JaCarta U2F JaCarta U2F —

JaCarta LT JaCarta LT —

RuToken S RuToken S (версия 2.0)RuToken S (версия 3.0)

—

RuToken ЭЦП RuToken ЭЦПRuToken ЭЦП 2.0RuToken ЭЦП TouchRuToken ЭЦП PKIRuToken ЭЦП Flash 2.0RuToken ЭЦП Bluetooth

RuToken ЭЦП SCRuToken ЭЦП 2.0 SC

RuToken Lite RuToken Lite RuToken Lite SC

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

15Secret Net Studio – C. Руководство администратораПринципы построения

Продукт USB-ключи Смарт-карты

ESMART Token ESMART Token ESMART Token SC

ESMART Token ГОСТ ESMART Token ГОСТESMART Token D

ESMART Token ГОСТ SCESMART Token D SC

Общие сведения об интеграции Secret Net Studio и комплексов»Соболь»Secret Net Studio может функционировать совместно с ПАК «Соболь». При этомПАК «Соболь» обеспечивает дополнительную защиту от несанкционированногодоступа к информационным ресурсам компьютера, на котором установлена сис-тема Secret Net Studio.

Примечание.В Secret Net Studio версии 8.4 и ниже реализована интеграция сПАК «Соболь» версий 3.х.В Secret Net Studio версии 8.5 и выше реализована интеграция с ПАК «Соболь» версии 4. ПАК «Со-боль» версии 4 является новым поколением продуктовой линейки ПАК «Соболь», архитектура и ин-терфейс которого значительно отличаются от ПАК «Соболь» версий 3.х. Особенности совместнойработы Secret Net Studio с ПАК «Соболь» версии 4 будут указаны отдельно либо в примечании к име-ющимся в руководствах сведениям.

В ПАК «Соболь» для интеграции с Secret Net Studio реализован режим совмест-ного использования. Также ПАК «Соболь» может функционировать самостоя-тельно в автономном режиме.В автономном режиме работы ПАК «Соболь» реализует свои основные функциидо старта операционной системы независимо от Secret Net Studio. Управлениепользователями, журналом регистрации событий, настройка общих параметровосуществляются средствами администрирования комплекса без ограничений.В режиме совместного использования (интеграции) значительная часть функ-ций управления комплексом осуществляется средствами администрированияSecret Net Studio. Перечень функций представлен в следующей таблице.

Функция Описание

Управление входом пользователяSecret Net Studio в комплекс «Соболь» спомощью идентификатора,инициализированного и присвоенногопользователю в системе Secret Net Studio

Пользователю предоставляются права наавтоматический вход в комплекс и далее всистему при однократном предъявленииидентификатора. Также для входа можетиспользоваться пароль, записанный впамять персонального идентификатора

Управление работой подсистемыконтроля целостности ПАК «Соболь»

Для ПАК «Соболь» задания на контрольцелостности файлов жесткого диска иобъектов реестра формируются средствамиадминистрирования Secret Net Studio

Автоматическая передача записейжурнала регистрации событий ПАК»Соболь» в журнал Secret Net Studio

Передача записей и их преобразованиеосуществляются автоматически при загрузкеподсистемы аппаратной поддержки SecretNet Studio

Подробные сведения о реализации этих функций содержатся в документе [3].

Внимание!• В режиме интеграции системы Secret Net Studio и комплекса «Соболь» идентификатор iButton

DS1992 не используется. Рекомендуется использовать идентификаторы DS1995, DS1996 илиUSB-ключи и смарт-карты, поддерживаемые ПАК «Соболь».

• Для использования Secret Net Studio совместно с комплексом «Соболь» необходимо установитьвспомогательное ПО комплекса (см. документацию на изделие).

Для обеспечения защиты данных в процессе централизованного управленияПАК «Соболь» в Secret Net Studio реализован ряд криптографических преобразо-

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

16Secret Net Studio – C. Руководство администратораПринципы построения

ваний на основе ГОСТ 28147–89, ГОСТ Р 34.10–2001. Перечень используемыхключей шифрования представлен в следующей таблице.

Наименованиеключа Назначение Место хранения

Симметричныйключ ЦУ

Шифрование аутентификаторов1в хранилище объектовцентрализованного управления SecretNet Studio.Расчет имитовставки для спискадоступных пользователю компьютеров

Персональныйидентификаторадминистратора

Закрытый ключЦУ

Расчет сессионного ключа компьютерапри выполнении операцийадминистрирования

Персональныйидентификаторадминистратора

Открытый ключЦУ

Расчет сессионного ключа компьютерапри выполнении операцийсинхронизации

Локальная база данныхуправляемогокомпьютера

Закрытый ключкомпьютера

Расчет сессионного ключа компьютерапри выполнении операцийсинхронизации

Локальная база данныхуправляемогокомпьютера

Открытый ключкомпьютера

Расчет сессионного ключа компьютерапри выполнении операцийадминистрирования

Служба каталогов

Сессионныйключкомпьютера

Шифрование информации,предназначенной для защищаемогокомпьютера

Не хранится(вычисляется впроцессе работы)

Ключпреобразованияпаролейкомплексов»Соболь»

В ПАК «Соболь» версий 3.х —шифрование информации в закрытойпамяти платы комплекса «Соболь».В ПАК «Соболь» версий 3.х и 4 —шифрование информации, хранящейся влокальной базе данных защищаемогокомпьютера

В ПАК «Соболь» версий3.х — закрытая памятьплаты комплекса»Соболь».В ПАК «Соболь» версии4 — локальная базаданных управляемогокомпьютера

Уникальныйномер платы2

Расшифрование информации из открытойпамяти платы комплекса «Соболь».Подпись внешних запросов

Локальная база данныхуправляемогокомпьютера

Функциональный контроль подсистемФункциональный контроль предназначен для обеспечения гарантии того, что кмоменту входа пользователя в ОС (т. е. к моменту начала работы пользователя)все ключевые защитные подсистемы загружены и функционируют.В случае успешного завершения функционального контроля этот факт регистри-руется в журнале Secret Net Studio.При неуспешном завершении функционального контроля в журнале Secret NetStudio регистрируется событие с указанием причин (это возможно при условииработоспособности ядра Secret Net Studio). Вход в систему разрешается толькопользователям, входящим в локальную группу администраторов компьютера.Одной из важных задач функционального контроля является обеспечение за-щиты ресурсов компьютера при запуске ОС в безопасном режиме (Safe mode). Бе-зопасный режим запуска не является штатным режимом функционирования длясистемы Secret Net Studio, однако при необходимости администратор может егоиспользовать для устранения неполадок. Поскольку в безопасном режиме не

1Аутентификатор — структураданных, хранящаяся в службе каталогов, которая совместнос паролем пользо-вателя используется в процедуреегоаутентификации.

2 Толькодля интеграции с ПАК «Соболь» версии 4.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

17Secret Net Studio – C. Руководство администратораПринципы построения

действуют некоторые функции системы защиты, функциональный контроль вэтих условиях завершается с ошибкой. В результате блокируется вход любыхпользователей, кроме администраторов. Поэтому при надлежащем соблюденииправил политики безопасности, когда никто из обычных пользователей не об-ладает полномочиями администратора, доступ к ресурсам компьютера в обходмеханизмов защиты невозможен.

СамозащитаМеханизм самозащиты предотвращает несанкционированные остановку крити-ческих служб и процессов и выгрузку драйверов Secret Net Studio, обеспечиваетзащиту программных модулей и ключей системного реестра, необходимых дляработы Secret Net Studio, от несанкционированной модификации или удаления.Также дополнительно может осуществляться контроль доступа пользователей справами локального администратора компьютера к программе «Локальныйцентр управления».События, связанные с функционированием механизма самозащиты, регистри-руются в журнале Secret Net Studio.Управление механизмом самозащиты может выполняться централизованно впрограмме управления или непосредственно на защищаемом компьютере в прог-рамме управления, работающей в локальном режиме. Управлять механизмом мо-гут только пользователи, обладающие необходимыми привилегиями.Для экстренных случаев предусмотрена возможность переключения механизмасамозащиты в сервисный режим, которое выполняется с помощью утилиты ко-мандной строки в защищенном или обычном режиме работы ОСWindows.

Регистрация событийВ процессе работы системы Secret Net Studio события, происходящие на ком-пьютере и связанные с безопасностью системы, регистрируются в журналеSecret Net Studio. Все записи журнала хранятся в файле на системном диске. Фор-мат данных идентичен формату журнала безопасности ОС Windows.Предоставляются возможности для настройки перечня регистрируемых событийи параметров хранения журнала. Это позволяет обеспечить оптимальный объемсохраняемых сведений с учетом размера журнала и нагрузки на систему.

Контроль целостностиМеханизм контроля целостности осуществляет слежение за неизменностьюконтролируемых объектов. Контроль проводится в автоматическом режиме в соот-ветствии с заданным расписанием.Объектами контроля могут быть файлы, каталоги, элементы системного реестраи секторы дисков (последние только при использовании ПАК «Соболь»). Каждыйтип объектов имеет свой набор контролируемых параметров. Например, файлымогут контролироваться на их существование, целостность содержимого, неиз-менность прав доступа, атрибутов.В системе предусмотрена возможность настройки периодичности контроля поопределенным дням и времени в течение дня. Запуск процесса контроля можетвыполняться при загрузке ОС, при входе пользователя в систему или после вхо-да.При проверке целостности могут применяться различные варианты реакции сис-темы на выполнение заданий контроля. Можно настраивать регистрацию опреде-ленных типов событий (успех или ошибка проверки отдельного объекта либовсего задания контроля) и действия в случае нарушения целостности (игнори-ровать ошибку, заблокировать компьютер, принять новое значение как эталон).Вся информация об объектах, методах, расписаниях контроля сосредоточена вспециальной структуре, которая называется модель данных. Модель данныххранится в локальной базе данных системы Secret Net Studio и представляет со-бой иерархический список объектов с описанием связей между ними.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

18Secret Net Studio – C. Руководство администратораПринципы построения

Используются следующие категории объектов в порядке от низшего уровняиерархии к высшему:• ресурсы;• группы ресурсов;• задачи;• задания;• субъекты управления (компьютеры, пользователи, группы компьютеров и

пользователей).Модель данных является общей для механизмов контроля целостности и за-мкнутой программной среды.Управление локальными моделями данных на защищаемых компьютерах можноосуществлять централизованно (для клиентов в сетевом режиме функ-ционирования). Для централизованного управления в глобальном каталоге со-здаются две модели данных — для компьютеров под управлением 32-разрядныхверсий ОС Windows и для компьютеров с 64- разрядными версиями опера-ционных систем. Такое разделение позволяет учитывать специфику ис-пользуемого ПО на защищаемых компьютерах с различными платформами.Каждая из централизованных моделей данных является общей для всех защи-щаемых компьютеров под управлением версий ОС Windows соответствующей раз-рядности (32- или 64- разрядные версии). При изменении параметровцентрализованной модели выполняется локальная синхронизация этих изме-нений на защищаемом компьютере. Новые параметры из централизованногохранилища передаются на компьютер, помещаются в локальную модель данныхи затем используются защитными механизмами.Синхронизация может выполняться в следующие моменты:• при загрузке компьютера;• при входе пользователя в систему;• после входа (в фоновом режиме во время работы пользователя);• периодически через определенные интервалы времени;• принудительно по команде администратора;• непосредственно после внесения изменений в ЦБД КЦ-ЗПС.Редактирование централизованных моделей данных осуществляется со сле-дующими особенностями: для изменения доступна та модель данных, котораясоответствует разрядности ОС Windows на рабочем месте администратора. Мо-дель данных другой разрядности доступна только для чтения (при этом можноэкспортировать данные из этой модели в другую). Таким образом, если в системеимеются защищаемые компьютеры с версиями ОС различной разрядности, дляцентрализованного управления моделями данных администратору следуеторганизовать два рабочих места — на компьютере с 32-разрядной версиейОС Windows и на компьютере с 64-разрядной версией ОС.

Дискреционное управление доступом к ресурсам файловойсистемы

В состав системы Secret Net Studio входит механизм дискреционного управлениядоступом к ресурсамфайловой системы. Этот механизм обеспечивает:• разграничение доступа пользователей к каталогам и файлам на локальных

дисках на основе матрицы доступа субъектов (пользователей, групп) к объек-там доступа;

• контроль доступа к объектам при локальных или сетевых обращениях, вклю-чая обращения от имени системной учетной записи;

• невозможность доступа к объектам в обход установленных прав доступа(если используются стандартные средства ОС или прикладные программыбез собственных драйверов для работы сфайловой системой);

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

19Secret Net Studio – C. Руководство администратораПринципы построения

• независимость действия от встроенного механизма избирательного разгра-ничения доступа ОСWindows. То есть установленные права доступа к файло-вым объектам в системе Secret Net Studio не влияют на аналогичные правадоступа в ОСWindows и наоборот.

Аналогично реализации в ОС Windows матрица доступа в системе Secret NetStudio представляет собой списки файловых объектов, в которых определеныучетные записи с правами доступа. Права устанавливают разрешения или запре-ты на выполнение операций. Перечень предусмотренных прав доступа пред-ставлен в следующей таблице.

Право доступа Действие для каталога Действие для файла

Чтение (R) Разрешает или запрещаетпросмотр имен файлов иподкаталогов

Разрешает или запрещает чтениеданных

Разрешает или запрещает просмотр атрибутов файлового объекта

Запись (W) Разрешает или запрещаетсоздание подкаталогов ифайлов

Разрешает или запрещаетвнесение изменений

Разрешает или запрещает смену атрибутов файлового объекта

Выполнение (X) Разрешает или запрещаетперемещение по структуреподкаталогов

Разрешает или запрещаетвыполнение

Удаление (D) Разрешает или запрещает удаление файлового объекта

Изменение правдоступа (P)

Разрешает или запрещает изменение прав доступа к файловомуобъекту. Пользователь, имеющий разрешение на изменение правдоступа к ресурсу, условно считается администратором ресурса

Права доступа для файлового объекта могут быть заданы явно или наследо-ваться от вышестоящего элемента иерархии. Явно заданные права имеют болеевысокий приоритет по сравнению с наследуемыми правами. Права доступа счи-таются заданными явно, если для объекта отключен режим наследования прав.Для управления списками доступа к любым файловым объектам предусмотренаспециальная привилегия «Дискреционное управление доступом: Управлениеправами доступа». Пользователи, обладающие этой привилегией, могут изме-нять права доступа для всех каталогов и файлов на локальных дисках (неза-висимо от установленных прав доступа к объектам).По умолчанию привилегией на управление правами доступа обладают поль-зователи, входящие в локальную группу администраторов. При этом для всехпользователей действуют разрешающие права доступа к любым ресурсам на чте-ние, запись, выполнение и удаление (RWXD). Эти права наследуются от кор-невых каталогов логических разделов. Во избежание непреднамереннойблокировки работы ОС, которая может произойти из-за некорректно установ-ленных прав доступа к ресурсам,— отсутствует возможность изменения прав дос-тупа для корневого каталога системного диска (%SystemDrive%) и всегосистемного каталога (%SystemRoot%).

Копирование и перемещение файловых объектовПри копировании файлового объекта для его копии принудительно включаетсярежим наследования прав доступа, даже если оригинальный объект обладает яв-но заданными правами.Перемещение файлового объекта в пределах своего логического раздела осущес-твляется с сохранением явно заданных прав доступа для этого объекта. Если дляобъекта включен режим наследования — после перемещения вступают в дей-ствие права того каталога, в который перемещен объект. При перемещенииобъекта в другой логический раздел принудительно включается режим насле-дования прав.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

20Secret Net Studio – C. Руководство администратораПринципы построения

Аудит операций с файловыми объектамиПри работе механизма дискреционного управления доступом в журнале SecretNet Studio могут регистрироваться события успешного доступа к объектам, запре-та доступа или изменения прав. По умолчанию регистрация событий успешногодоступа не осуществляется, а события запрета доступа и изменения праврегистрируются для всех файловых объектов. Включение и отключениерегистрации указанных событий осуществляется администратором безопасностипри настройке параметров групповых политик.Для файловых объектов можно детализировать аудит по выполняемым опера-циям, которые требуют определенных прав доступа. Например, включить аудитуспешного доступа при выполнении операций записи в файл или его удаления.Включение и отключение аудита операций может выполнять администратор ре-сурса при настройке дополнительных параметров прав доступа к файловомуобъекту.

Затирание удаляемой информацииЗатирание удаляемой информации делает невозможным восстановление и пов-торное использование данных после их удаления. Гарантированное уничто-жение достигается путем записи случайных последовательностей чисел на местоудаленной информации в освобождаемой области памяти.В Secret Net Studio – C реализованы следующие варианты затирания инфор-мации:• автоматическое затирание при удалении данных с устройств определенных

типов (локальные и сменные диски, оперативная память) при включениифункции затирания в программе управления;

Примечание. В Secret Net Studio – C реализована возможность исключения выбранных объек-тов (файлов и папок) из обработки при автоматическом затирании данных на локальных дискахи сменных носителях посредством создания списка исключений.

• затирание при удалении файловых объектов, выбранных пользователем, покоманде из контекстного меню;

• затирание по команде из контекстного меню пиктограммы Secret Net Studio впанели задач Windows всех данных (включая таблицу разделов, логическиетома, файловые объекты и остаточную информацию) на локальных дисках(кроме системного диска) и сменных носителях, подключенных к защища-емому компьютеру.

Для большей надежности может быть выполнено несколько циклов (проходов)затирания.При настройке механизма можно установить различное количество циклов зати-рания для локальных и сменных дисков, оперативной памяти; для файловыхобъектов, удаляемых с помощью специальной команды; для носителей инфор-мации при уничтожении всех данных на них.

Внимание!Затирание файла подкачки виртуальной памяти выполняется стандартными средствами ОСWindows при выключении компьютера. Если в Secret Net Studio включен режим затирания опе-ративной памяти, рекомендуется дополнительно в политиках Windows включить действие стан-дартного параметра «Завершение работы: очистка файла подкачки виртуальной памяти»(размещается в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности).Не осуществляется затирание файлов при их перемещении в папку «Корзина», так как во время на-хождения в этой папке файлы не удаляются с диска. Затирание таких файлов происходит послеочистки содержимого «Корзины».

Для снижения нагрузки на компьютер при удалении большого объема данных слокальных дисков и сменных носителей в Secret Net Studio реализован механизмотложенного затирания. Остаточные данные, подлежащие затиранию, добавля-

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

21Secret Net Studio – C. Руководство администратораПринципы построения

ются в очередь на обработку. Затирание выполняется в порядке очереди, с вре-менной задержкой, и завершается до выключения компьютера.

Контроль подключения и изменения устройств компьютераМеханизм контроля подключения и изменения устройств компьютера обес-печивает:• своевременное обнаружение изменений аппаратной конфигурации ком-

пьютера и реагирование на эти изменения;• поддержание в актуальном состоянии списка устройств компьютера, который

используется механизмом разграничения доступа к устройствам.Изменения аппаратной конфигурации отслеживаются системой защиты дляустройств с включенным режимом контроля «Устройство постоянно подключено ккомпьютеру».Начальная аппаратная конфигурация компьютера определяется на этапе уста-новки системы. При этом значения параметров контроля задаются по умол-чанию. Настройку политики контроля можно выполнить индивидуально длякаждого устройства или применять к устройствам наследуемые параметры от мо-делей, классов и групп, к которым относятся устройства.Используются следующие методы контроля конфигурации:• Статический контроль конфигурации. Каждый раз при загрузке компьютера

подсистема получает информацию об актуальной аппаратной конфигурациии сравнивает ее с эталонной.

• Динамический контроль конфигурации. Во время работы компьютера (а так-же при выходе из спящего режима) драйвер-фильтр устройств отслеживаетфакты подключения, отключения или изменения параметров устройств. Еслипроизошло изменение конфигурации, драйвер-фильтр выдает оповещениеоб этом и система выполняет определенные действия.

При обнаружении изменений аппаратной конфигурации система ожидает утвер-ждения этих изменений администратором безопасности. Процедура утвер-ждения аппаратной конфигурации необходима для санкционированияобнаруженных изменений и принятия текущей аппаратной конфигурации в ка-честве эталонной.

Разграничение доступа к устройствамРазграничение доступа пользователей к устройствам выполняется на основаниисписков устройств, которые формируются механизмом контроля подключения иизменения устройств (см. стр.22).Система Secret Net Studio предоставляет следующие возможности для разгра-ничения доступа пользователей к устройствам:• установка стандартных разрешений и запретов на выполнение операций с

устройствами;• назначение устройствам категорий конфиденциальности или допустимых

уровней конфиденциальности сессий пользователей — чтобы разграничитьдоступ с помощью механизма полномочного управления доступом.

Возможности по разграничению доступа зависят от типов устройств. Разграни-чение не осуществляется полностью или частично для устройств, имеющих осо-бую специфику использования или необходимых для работы компьютера.Например, не ограничивается доступ к процессору и оперативной памяти, огра-ничены возможности разграничения доступа для портов ввода/вывода.Для устройств с отключенным режимом контроля или запрещенных для подклю-чения не действует разграничение доступа по установленным разрешениям изапретам на выполнение операций. Права доступа пользователей к таким устрой-ствам не контролируются.При установке клиентского ПО системы Secret Net Studio выставляются правадоступа для всех обнаруженных устройств, поддерживающих такое

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

22Secret Net Studio – C. Руководство администратораПринципы построения

разграничение доступа. По умолчанию предоставляется полный доступ тремстандартным группам пользователей: «Система», «Администраторы» и «Все». Тоесть всем пользователям разрешен доступ без ограничений ко всем устройствам,обнаруженным на компьютере. Далее администратор безопасности раз-граничивает доступ пользователей к устройствам в соответствии с требованиямиполитики безопасности. Для этого можно выполнить настройку прав доступанепосредственно для устройств или для классов и групп, к которым они отно-сятся.Настройка прав доступа для классов и групп позволяет подготовить систему за-щиты к возможным подключениям новых устройств. При подключении новоеустройство включается в соответствующую группу, класс и модель (если есть).Доступ пользователей к этому устройству будет разграничен автоматически — всоответствии с правилами, которые установлены для группы, класса или модели.Разграничение доступа пользователей к устройствам с назначенными катего-риями конфиденциальности или уровнями конфиденциальности сессий осущес-твляется механизмом полномочного управления доступом.

Замкнутая программная средаМеханизм замкнутой программной среды позволяет определить для любогопользователя компьютера индивидуальный перечень программного обес-печения, разрешенного для использования. Система защиты контролирует иобеспечивает запрет использования следующих ресурсов:• файлы запуска программ и библиотек, не входящие в перечень разрешенных

для запуска и не удовлетворяющие определенным условиям;• сценарии, не входящие в перечень разрешенных для запуска и не заре-

гистрированные в базе данных.

Примечание.Сценарий (называемый также скрипт) представляет собой последовательность исполняемыхкоманд и/или действий в текстовом виде. Система Secret Net Studio контролирует выполнениесценариев, созданных по технологии Active Scripts.

Попытки запуска неразрешенных ресурсов регистрируются в журнале как собы-тия тревоги.На этапе настройки механизма составляется список ресурсов, разрешенных длязапуска и выполнения. Список может быть сформирован автоматически на осно-вании сведений об установленных на компьютере программах или по записямжурналов (журнал безопасности или журнал Secret Net Studio), содержащихсведения о запусках программ, библиотек и сценариев.Для файлов, входящих в список, можно включить проверку целостности с исполь-зованием механизма контроля целостности (см. стр.18). По этой причине меха-низм замкнутой программной среды и механизм контроля целостностииспользуют единую модель данных.Механизм замкнутой программной среды не осуществляет блокировку запус-каемых программ, библиотек и сценариев в следующих случаях:• при наличии у пользователя привилегии «Замкнутая программная среда: Не

действует» (по умолчанию привилегия предоставлена администраторамкомпьютера) — контроль запускаемых пользователем ресурсов не осущес-твляется;

• при включенном мягком режиме работы подсистемы замкнутой программнойсреды — в этом режиме контролируются попытки запуска программ, биб-лиотек и сценариев, но разрешается использование любого ПО. Этот режимобычно используется на этапе настройки механизма.

Изоляция процессовВ системе Secret Net Studio может применяться режим изоляции процессов дляпредотвращения стороннего доступа к данным определенных исполняемых моду-

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

23Secret Net Studio – C. Руководство администратораПринципы построения

лей. При действующем режиме контролируются следующие операции с дан-ными, которыми обмениваются различные процессы:• чтение данных из буфера обмена;• чтение данных в окне другого процесса;• запись данных в окно другого процесса;• перетаскивание данных между процессами методом drag-and-drop.Процесс считается изолированным, если в модели данных включена изоляциядля ресурса, являющегося исполняемым файлом этого процесса. Для изолиро-ванного процесса обмен данными с другими процессами невозможен. Разреша-ется использование буфера обмена только при записи и чтении данных одного итого же процесса. Неизолированные процессы обмениваются данными без огра-ничений.Изоляция процессов реализуется при включенном механизме замкнутой про-граммной среды (должен функционировать драйвер механизма). Режим работымеханизма ЗПС может быть любым. При этом для исключения возможностейзапуска копий исполняемых файлов в неизолированной среде рекомендуетсянастроить механизм ЗПС и включить жесткий режим работы механизма.

Полномочное управление доступомМеханизм полномочного управления доступом обеспечивает:• разграничение доступа пользователей к информации, которой назначена

категория конфиденциальности (конфиденциальная информация);• контроль подключения и использования устройств с назначенными катего-

риями конфиденциальности;• контроль потоков конфиденциальной информации в системе;• контроль использования сетевых интерфейсов, для которых указаны допус-

тимые уровни конфиденциальности сессий пользователей;• контроль печати конфиденциальных документов.По умолчанию в системе предусмотрены категории конфиденциальности:»Неконфиденциально» (для общедоступной информации), «Конфиденциально»и «Строго конфиденциально». При необходимости можно увеличить количествоиспользуемых категорий и задать для них названия в соответствии со стан-дартами, принятыми в вашей организации. Максимально возможное количествокатегорий — 16.Категорию конфиденциальности можно назначить для следующих ресурсов:• локальные физические диски (кроме диска с системным логическим раз-

делом) и любые устройства, включаемые в группы устройств USB, PCMCIA,IEEE1394 или Secure Digital;

• каталоги и файлы на локальных физических дисках.

Пояснение.Каталогам и файлам, находящимся на устройствах из групп USB, PCMCIA, IEEE1394, SecureDigital (сменные носители), категория конфиденциальности непосредственно не назначается.Для них действует категория конфиденциальности, назначенная устройству.

Доступ пользователя к конфиденциальной информации осуществляется в соот-ветствии с его уровнем допуска. Если уровень допуска пользователя ниже, чемкатегория конфиденциальности ресурса,— система блокирует доступ к этому ре-сурсу. После получения доступа к конфиденциальной информации уровеньконфиденциальности программы (процесса) повышается до категорииконфиденциальности ресурса. Это необходимо для того, чтобы исключитьвозможность сохранения конфиденциальных данных в файлах с меньшей кате-горией конфиденциальности.Полномочное разграничение доступа на уровне устройств осуществляется следу-ющим образом. Если устройство подключается во время сеанса работы пользо-вателя с уровнем допуска ниже, чем категория устройства, система блокирует

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

24Secret Net Studio – C. Руководство администратораПринципы построения

подключение устройства. При подключении такого устройства до начала сеансаработы пользователя — запрещается вход пользователя в систему. В режимеконтроля потоков уровень конфиденциальности сессии пользователя долженсоответствовать категориям всех подключенных устройств.Функционирование устройства разрешено независимо от уровня допуска пользо-вателя, если для этого устройства включен режим «без учета категорииконфиденциальности». Данный режим включен по умолчанию.Доступ к содержимому конфиденциального файла предоставляется пользо-вателю, если категория файла не превышает уровень допуска пользователя. Приэтом также учитывается категория конфиденциальности устройства.Категория конфиденциальности локального физического диска имеет более вы-сокий приоритет, чем категории файлов (каталогов), расположенных на этомустройстве. Если категория файла (каталога) ниже категории конфиден-циальности устройства, система считает категорию файла (каталога) равнойкатегории устройства. Если же категория файла (каталога) превышает кате-горию конфиденциальности устройства, такое состояние считается не-корректным, и доступ к файлу (каталогу) запрещается.На всех подключенных к компьютеру устройствах из групп устройств USB,PCMCIA, IEEE1394, Secure Digital (сменные носители) самим файлам и каталогамкатегория конфиденциальности не назначается. Для всех этих файлов и ка-талогов всегда действует категория, назначенная устройству.

Режим контроля потоковПри использовании механизма в режиме контроля потоков конфиденциальнойинформации всем процессам обработки данных в системе присваивается единыйуровень конфиденциальности. Нужный уровень конфиденциальности из числадоступных пользователю выбирается перед началом сессии работы на ком-пьютере. Этот уровень нельзя изменить до окончания сессии.В режиме контроля потоков сохранение информации разрешено только с кате-горией, равной уровню конфиденциальности сессии. Полностью запрещаетсядоступ к данным, категория которых превышает уровень конфиденциальностисессии (даже если уровень допуска пользователя позволяет доступ к таким дан-ным). Таким образом, режим контроля потоков обеспечивает строгое соблюдениепринципов полномочного разграничения доступа и предотвращает несанкци-онированное копирование или перемещение конфиденциальной информации.В режиме контроля потоков запрещается использование устройств, которымназначена категория конфиденциальности, отличающаяся от выбранного уров-ня сессии. Если на момент входа пользователя к компьютеру подключены устрой-ства с различными категориями конфиденциальности, вход запрещается попричине конфликта подключенных устройств. Использование устройств, кото-рым назначена категория конфиденциальности выше, чем уровень допускапользователя, ограничивается так же, как и при отключенном режиме контроляпотоков.Режим контроля потоков позволяет установить ограничения на использованиесетевых интерфейсов. Для каждого сетевого интерфейса можно выбрать уровниконфиденциальности сессий, в которых этот интерфейс будет доступен пользо-вателю. Если открыта сессия с другим уровнем конфиденциальности, функ-ционирование этого интерфейса блокируется системой защиты. Это позволяеторганизовать работу пользователя в различных сетях в зависимости от выбран-ного уровня конфиденциальности сессии.Для сетевых интерфейсов предусмотрен режим доступности «Адаптер доступенвсегда» (включен по умолчанию). В этом режиме функционирование сетевого ин-терфейса разрешено независимо от уровня конфиденциальности сессии.

Вывод конфиденциальной информацииМеханизм полномочного управления доступом осуществляет контроль выводаконфиденциальной информации на внешние носители. Внешними носителями всистеме Secret Net Studio считаются сменные диски, для которых включен режим

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

25Secret Net Studio – C. Руководство администратораПринципы построения

доступа «без учета категории конфиденциальности». При копировании или пере-мещении конфиденциального ресурса на такой носитель не сохраняется егокатегория конфиденциальности. Поэтому чтобы осуществлять вывод конфиден-циальной информации на внешние носители в режиме контроля потоков, поль-зователь должен обладать соответствующей привилегией.Для предотвращения несанкционированного вывода конфиденциальных доку-ментов на локальные и сетевые принтеры используется механизм контроля пе-чати. Механизм обеспечивает вывод конфиденциальных документов на печатьтолько при наличии соответствующей привилегии. Также в распечатываемыедокументы может автоматически добавляться специальный маркер (гриф), вкотором указывается категория конфиденциальности документа. События пе-чати регистрируются в журнале Secret Net Studio.

Контроль печатиМеханизм контроля печати обеспечивает:• разграничение доступа пользователей к принтерам; • регистрацию событий вывода документов на печать в журнале Secret Net

Studio;• вывод на печать документов с определенной категорией конфиден-

циальности;• автоматическое добавление грифа в распечатываемые документы (марки-

ровка документов);• теневое копирование распечатываемых документов.Для реализации функций маркировки и/или теневого копирования распечаты-ваемых документов в систему добавляются драйверы «виртуальных принтеров».Виртуальные принтеры соответствуют реальным принтерам, установленным накомпьютере. Список виртуальных принтеров автоматически формируется привключении контроля печати и режима теневого копирования. Печать в этом слу-чае разрешается только на виртуальные принтеры.При печати на виртуальный принтер выполняются дополнительные преоб-разования для получения образа распечатываемого документа в форматеXML Paper Specification (XPS). Далее XPS-документ копируется в хранилище те-невого копирования (если для принтера включена функция теневого копиро-вания), модифицируется нужным образом и после этого передается для печати всоответствующее печатающее устройство.

Теневое копирование выводимых данныхМеханизм теневого копирования обеспечивает создание в системе дубликатовданных, выводимых на съемные носители информации. Дубликаты (копии)сохраняются в специальном хранилище, доступ к которому имеют только уполно-моченные пользователи. Действие механизма распространяется на те устрой-ства, для которых включен режим сохранения копий при записи информации.При включенном режиме сохранения копий вывод данных на внешнее устрой-ство возможен только при условии создания копии этих данных в хранилище те-невого копирования. Если по каким- либо причинам создать дубликатневозможно, операция вывода данных блокируется.Теневое копирование поддерживается для устройств следующих видов:• подключаемые сменные диски;• дисководы гибких дисков;• дисководы оптических дисков с функцией записи;• принтеры.При выводе данных на подключаемый сменный диск (например, USB-флеш-на-копитель) в хранилище теневого копирования создаются копии файлов, запи-санных на носитель в ходе операции вывода. Если файл открыт для

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

26Secret Net Studio – C. Руководство администратораПринципы построения

редактирования непосредственно со сменного носителя, при сохранении новойверсии файла в хранилище будет создан его отдельный дубликат.Для устройства записи оптических дисков механизм теневого копирования со-здает в хранилище образ диска, если для записи используется интерфейс ImageMastering API (IMAPI), или копии файлов, если запись осуществляется в форматефайловой системы Universal Disk Format (UDF).

Внимание!Некоторые программные пакеты, имеющие функцию записи оптических дисков, используют собст-венные драйверы управления устройствами. Такие драйверы могут осуществлять доступ к устрой-ству в обходмеханизма теневого копирования. Для обеспечения гарантированного контроля записьдисков необходимо осуществлять только с использованиемштатных средств ОС Windows.

Теневое копирование распечатываемых документов осуществляется с исполь-зованием механизма контроля печати (см. стр.26). В качестве копии выводимойна печать информации сохраняется образ печатаемого документа в формате XPS(сокр. от XML Paper Specification) — открытый графический формат фиксиро-ванной разметки на базе языка XML, разработанный компанией Microsoft.Контроль вывода данных с помощью механизма теневого копирования являетсяодной из задач аудита. События вывода данных регистрируются в журналеSecret Net Studio. Доступ к дубликатам в хранилище теневого копированияосуществляется с помощью программы управления Secret Net Studio в локальномрежиме работы. Программа предоставляет средства для поиска по содержимомухранилища.Администратор настраивает функционирование механизма теневого копиро-вания в программе управления. При настройке определяются параметры храни-лища теневого копирования, а также включается или отключается действиемеханизма для устройств или принтеров.

Защита информации на локальных дискахМеханизм защиты информации на локальных дисках компьютера (механизм за-щиты дисков) предназначен для блокирования доступа к жестким дискам принесанкционированной загрузке компьютера. Загрузка считается санкциони-рованной, если она выполнена средствами операционной системы с установ-ленным клиентским ПО Secret Net Studio. Все другие способы загрузки ОСсчитаются несанкционированными (например, загрузка с внешнего носителяили загрузка другой ОС, установленной на компьютере).Механизм обеспечивает защиту информации при попытках доступа, осуществ-ляемых с помощью штатных средств операционной системы.Действие механизма защиты дисков основано на модификации загрузочных сек-торов (boot-секторов) логических разделов на жестких дисках компьютера. Со-держимое загрузочных секторов модифицируется путем кодирования сиспользованием специального ключа, который автоматически генерируется привключении механизма. При этом часть служебных данных для механизма за-щиты дисков сохраняется в системном реестре.Модификация позволяет скрыть информацию о логических разделах принесанкционированной загрузке компьютера — разделы с модифицированнымизагрузочными секторами будут восприниматься системой как неформати-рованные или поврежденные. При санкционированной загрузке компьютераосуществляется автоматическое раскодирование содержимого boot-секторов за-щищенных логических разделов при обращении к ним.Выбор логических разделов, для которых устанавливается режим защиты (тоесть модифицируются boot-секторы), осуществляет администратор.Механизм защиты дисков может использоваться при условии, если физическийдиск, с которого выполняется загрузка ОС, относится к одному из следующих ти-пов:• диск с таблицей разделов на идентификаторах GUID (GUID Partition Table —

GPT) на компьютере с интерфейсом UEFI (Unified Extensible Firmware

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

27Secret Net Studio – C. Руководство администратораПринципы построения

Interface). При включении механизма на диск записывается специальный за-грузчик Secret Net Studio в скрытом системном UEFI-разделе, после чего за-грузчик регистрируется в UEFI;

• диск с основной загрузочной записью (Master Boot Record — MBR). При вклю-чении механизма на этом диске модифицируется MBR и часть остального про-странства нулевой дорожки диска.

Внимание!При использовании диска с основной загрузочной записью в настройках BIOS компьютера долж-на быть отключена функция проверки загрузочных вирусов. Для отключения функции уста-новите значение «Disabled» для параметра «Boot Virus Detection» (наличие данной функции иназвание параметра зависит от используемой версии BIOS).

При работе механизма обеспечивается защита до 128 логических разделов приобщем количестве физических дисков до 32. Логические разделы, для которыхустанавливается режим защиты, должны иметь файловую систему FAT, NTFS илиReFS. Разделы могут быть на физических дисках с основной загрузочной за-писью (MBR) или с таблицей разделов на идентификаторах GUID (GPT). Диски сдругими типами разбиения на логические разделы не поддерживаются (напри-мер, динамические диски).При использовании механизма защиты дисков на компьютере должна быть уста-новлена только одна операционная система. Если установлено несколько ОС, по-сле включения механизма в одной из них не гарантируется устойчивая работаостальных ОС.

Шифрование данных в криптоконтейнерахСистема Secret Net Studio предоставляет возможность шифрования содержимогообъектов файловой системы (файлов и папок). Для операций зашифрования ирасшифрования используются специальные хранилища — криптографическиеконтейнеры или криптоконтейнеры.Физически криптоконтейнер представляет собой файл, который можно подклю-чить к системе в качестве дополнительного диска. Криптоконтейнер являетсяобразом диска, но все действия с ним выполняются через драйвер механизмашифрования. Драйвер обеспечивает работу с пользовательскими данными вконтейнере в режиме «прозрачного шифрования». То есть пользователь, послеподключения криптоконтейнера в качестве диска, выполняет операции с фай-лами на этом диске так же, как и на любом другом носителе. Дополнительныхдействий для зашифрования или расшифрования файлов не требуется. Все крип-тографические операции с файлами выполняются автоматически.Криптоконтейнеры можно подключать к системе с локальных дисков, сменныхносителей или с сетевых ресурсов. Доступный объем для записи данных ука-зывается при создании криптоконтейнера. Предельное ограничение объемаопределяется исходя из свободного пространства на ресурсе и типа файловойсистемы. Минимальный размер контейнера— 1 МБ.Для разграничения доступа пользователей к криптоконтейнерам в системеSecret Net Studio предусмотрены следующие права:• чтение данных — предоставляет только возможности чтения файлов в крип-

токонтейнере;• полный доступ к данным— предоставляет возможности чтения и записи фай-

лов в криптоконтейнере;• управление криптоконтейнером — предоставляет возможности управления

списком пользователей, имеющих доступ к криптоконтейнеру, а также чте-ния и записи файлов.

Создание криптоконтейнеров доступно пользователям с соответствующей при-вилегией. По умолчанию эта привилегия предоставлена всем учетным записям,которые входят в локальные группы администраторов или пользователей.Пользователь, создавший криптоконтейнер, получает право на управление им ив дальнейшем может делегировать (предоставить) это право доступа другому

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

28Secret Net Studio – C. Руководство администратораПринципы построения

пользователю. При необходимости создатель криптоконтейнера может быть уда-лен из списка пользователей с правами доступа с тем условием, что в списке бу-дет присутствовать хотя бы один пользователь с правами на управлениекриптоконтейнером.Для работы с шифрованными ресурсами пользователи должны иметь ключишифрования. Процедуры генерации и выдачи ключей выполняются администра-тором безопасности. Для пользователей создаются ключевые пары, каждая из ко-торых состоит из открытого и закрытого ключей. Открытые ключи хранятся вобщем хранилище (для ключей локальных пользователей используется ло-кальная БД Secret Net Studio, для доменных — хранилище глобального ка-талога). Закрытые ключи хранятся в ключевых носителях, присвоенныхпользователям. Носителями для хранения закрытых ключей (ключевой инфор-мации) могут являться идентификаторы или сменные носители, такие как флеш-карты, флеш-накопители и т. п.

Общие сведения о ключевой схемеРеализация ключевой схемы шифрования криптоконтейнеров базируется на ал-горитмах ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и ГОСТ 28147–89. Во времякриптографических операций генерируются и вычисляются определенные на-боры ключей и дополнительных значений, используемых для доступа к крип-токонтейнеру.Криптоконтейнер содержит следующие группы данных:• управляющая информация криптоконтейнера — представляет собой струк-

туру зашифрованных ключей и значений для доступа к криптоконтейнеру;• зашифрованные данные пользователей — криптографически преобразо-

ванные файлы, помещенные в криптоконтейнер пользователями.Управляющая информация криптоконтейнера формируется при его создании.Изначально в этой структуре совместно с другими сведениями сохраняется откры-тый ключ пользователя, создавшего криптоконтейнер. Далее в процессе форми-рования списка пользователей, имеющих доступ к контейнеру, открытые ключиэтих пользователей также помещаются в структуру. С использованием открытыхключей шифруются соответствующие части структуры.Файлы, помещаемые пользователями в криптоконтейнер, шифруются с исполь-зованием ключей шифрования, рассчитанных на основе базового ключа шифро-вания — общего для всех пользователей криптоконтейнера. Базовый ключшифрования генерируется при создании криптоконтейнера. Вычисление ключаосуществляется при доступе к криптоконтейнеру с помощью закрытого ключапользователя.Для дополнительной защиты базового ключа шифрования может исполь-зоваться специальный «корпоративный ключ». Данный ключ генерируется присоздании криптоконтейнера, если включен параметр «использовать корпора-тивный ключ». Ключ сохраняется в системном реестре компьютера и приме-няется для зашифрования и расшифрования базового ключа.При использовании корпоративного ключа доступ к криптоконтейнеру возможенпри условии, если ключ хранится в системном реестре (в зашифрованном виде).Поэтому для доступа к криптоконтейнеру на другом компьютере корпоративныйключ необходимо импортировать в реестр этого компьютера.

Смена ключейВ процессе эксплуатации системы следует регулярно выполнять смену ключейпользователей и базовых ключей шифрования криптоконтейнеров.Смена ключей пользователя выполняется самим пользователем или администра-тором безопасности. Периодичность смены ключей пользователей контро-лируется системой и может настраиваться путем ограничения максимального иминимального сроков действия ключей. При смене ключей пользователя в си-стеме сохраняются две ключевые пары — текущая и предыдущая. Предыдущаяключевая пара необходима для перешифрования на новом ключе

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

29Secret Net Studio – C. Руководство администратораПринципы построения

соответствующей части управляющей информации в криптоконтейнерах пользо-вателя. Процесс перешифрования управляющей информации запускается авто-матически после смены ключей.

Внимание!Автоматическое перешифрование управляющей информации возможно при условии доступностикриптоконтейнера. Например, если криптоконтейнер недоступен по сети или находится на сменномносителе, который не подключен в данный момент, — перешифрование не происходит. В этом слу-чае после смены ключей для перешифрования управляющей информации пользователю необ-ходимо выполнить какую- либо операцию с таким криптоконтейнером (например, подключитькриптоконтейнер) до следующей смены ключей. Иначе во время следующей смены будет замененапредыдущая ключевая пара, и пользовательне сможет получитьдоступ к криптоконтейнеру из-за не-совпадения ключей. Для возобновления доступа потребуется удалить пользователя из списка име-ющих доступ к криптоконтейнеру и затем снова добавитьв этот список.

Смена базового ключа шифрования криптоконтейнера выполняется поль-зователем с правами на управление криптоконтейнером. Для смены базовогоключа пользователь инициирует процедуру перешифрования криптоконтей-нера, в результате чего все зашифрованные данные криптоконтейнера будутперешифрованы на новом базовом ключе. При использовании корпоративногоключа его смена происходит автоматически при смене базового ключа.

Паспорт ПОМеханизм «Паспорт ПО» предназначен для контроля состава и целостности ПО,установленного на защищаемых компьютерах. Контроль ПО осуществляетсяпосредством сканирования исполняемых файлов и расчета их контрольныхсумм. Совокупность контролируемых файлов на дисках компьютера пред-ставляет программную среду для сбора данных и анализа изменений.Распознавание исполняемых файлов осуществляется по расширениям имен. Пе-речень расширений и каталоги поиска файлов можно настраивать. Ска-нирование выполняется периодически по расписанию или в произвольныемоменты времени по команде пользователя.После сканирования полученные данные о состоянии программной среды (СПС)защищаемого компьютера загружаются на сервер безопасности и получают ста-тус проекта паспорта для компьютера. Эти данные сравниваются с результатамипредыдущего сканирования, которые хранятся в виде утвержденного паспорта.Изменения анализируются, и при необходимости проект паспорта утверждаетсяв качестве текущего паспорта защищаемого компьютера.

Доверенная средаДоверенная среда Secret Net Studio является механизмом защиты, обеспечи-вающим внешний по отношению к ОС контроль работы ОС и системы защиты,установленных на компьютере. Контроль достигается выполнением следующихфункций безопасности:• контроль целостности модулей Secret Net Studio (драйверов, служб, прило-

жений);• контроль запуска и функционирования модулей Secret Net Studio (драйве-

ров, служб, приложений);• блокировка от записи страниц памяти, в которых размещаются модули Secret

Net Studio;• обнаружение компьютерных атак, их предотвращение или аварийное завер-

шение работы ОС компьютера при невозможности предотвращения атаки;• регистрация событий в журнале ДС.При функционирующей ДС загрузка ОС компьютера осуществляется с исполь-зованием загрузочного носителя, подготовленного заранее средствами SecretNet Studio.

Примечание.ДСдоступна в Secret Net Studio версии 8.5 и выше.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

30Secret Net Studio – C. Руководство администратораПринципы построения

Межсетевой экранSecret Net Studio обеспечивает контроль сетевого трафика на сетевом, транс-портном и прикладном уровнях на основе формируемых правилфильтрации.Подсистема межсетевого экранирования Secret Net Studio реализует следующиеосновные функции:• фильтрация на сетевом уровне с независимым принятием решений по каж-

дому пакету;• фильтрация пакетов служебных протоколов (ICMP, IGMP и т.д.), необхо-

димых для диагностики и управления работой сетевых устройств;• фильтрация с учетом входного и выходного сетевого интерфейса для про-

верки подлинности сетевых адресов;• фильтрация на транспортном уровне запросов на установление виртуальных

соединений (TCP-сессий);• фильтрация на прикладном уровне запросов к прикладным сервисам

(фильтрация по символьной последовательности в пакетах);• фильтрация с учетом полей сетевых пакетов;• фильтрация с учетом даты/времени суток.Фильтрация сетевого трафика осуществляется на интерфейсах Ethernet (IEEE802.3) и Wi-Fi (IEEE 802.11b/g/n). События, связанные с работой межсетевогоэкрана, регистрируются в журнале Secret Net Studio.

Авторизация сетевых соединенийПри действующем механизме авторизации сетевых соединений осуществляетсядобавление специальной служебной информации к сетевым пакетам, с помощьюкоторой обеспечивается аутентичность и целостность передаваемых данных изащита от атак типа Man in the Middle.Подсистема авторизации сетевых соединений обеспечивает:• получение с сервера авторизации, входящего в состав компонента «Secret

Net Studio — Сервер безопасности», правил авторизации соединений (списокпараметров соединений, в которые добавляется служебная информация);

• получение с сервера авторизации сессионных данных для добавления слу-жебной информации;

• добавление в сетевой трафик специальной служебной информации для паке-тов, удовлетворяющих правилам авторизации;

• разбор специальной служебной информации во входящих пакетах и пере-дачу информации о контексте удаленного пользователя в подсистему меж-сетевого экранирования для фильтрации по правилам.

Авторизация сетевых соединений осуществляется на интерфейсах Ethernet(IEEE 802.3) и Wi-Fi (IEEE 802.11b/g/n).

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

31Secret Net Studio – C. Руководство администратораПринципы построения

Глава 4Организация централизованногоуправления системойВзаимодействующие компоненты

Сервер безопасностиОсновные функции сервера безопасности:• получение информации от агентов на защищаемых компьютерах о текущем

состоянии рабочих станций и сессиях работы пользователей;• оперативное получение и передача сведений о событиях тревоги, зарегистри-

рованных на защищаемых компьютерах;• отправка команд управления на защищаемые компьютеры;• получение информации о состоянии защитных подсистем на компьютерах и

отправка команд на изменение состояния защитных подсистем;• получение и передача на защищаемые компьютеры параметров групповых

политик, заданных в программе управления системы Secret Net Studio;• контроль действительности лицензий на использование компонентов сис-

темы Secret Net Studio;• получение локальных журналов с защищаемых компьютеров и передача

содержимого журналов в базу данных сервера безопасности;• обработка запросов к базе данных;• архивирование и восстановление содержимого журналов в базе данных;• протоколирование обращений к серверу.Сервер безопасности реализует функции контроля и управления защищаемымикомпьютерами при условии их подчинения. Серверу могут быть подчинены ком-пьютеры с установленным клиентом Secret Net Studio, а также компьютеры подуправлением ОС семейства Linux с установленным ПО Secret Net LSP (для такихкомпьютеров некоторые функции сервера недоступны).Для функционирования сервера безопасности требуется наличие системы управ-ления базами данных (СУБД), реализуемой сервером СУБД MS SQL. Сервер безо-пасности и сервер СУБД могут быть установлены на разных компьютерах(рекомендуется) или на одном компьютере.

Сервер авторизацииВ состав ПО сервера безопасности входит отдельное приложение — сервер авто-ризации. Данное приложение обеспечивает работу механизмов межсетевогоэкрана и авторизации сетевых соединений. Сервер авторизации уста-навливается и удаляется вместе с ПО сервера безопасности.

Программа управленияПрограмма управления устанавливается на рабочих местах администраторов ииспользуется для централизованного управления защищаемыми компьютерами.Программа осуществляет взаимодействие с сервером безопасности, через кото-рый выполняются необходимые действия.

Клиент в сетевом режиме функционированияДля реализации централизованного управления на всех защищаемых компью-терах должен быть установлен клиент Secret Net Studio в сетевом режиме функ-ционирования. Эти компьютеры необходимо подчинить серверам безопасности.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

32Secret Net Studio – C. Руководство администратораПринципы построения

Домены безопасностиВ системе Secret Net Studio реализация централизованного управления компью-терами и синхронизации параметров защиты базируется на концепции доменовбезопасности. Домены безопасности формируются из объектов, включенных вопределенные контейнеры Active Directory — организационные подразделения(Organizational Unit) или весь домен AD. По аналогии с доменами Active Directoryнесколько доменов безопасности (со своими серверами безопасности) могут об-разовывать лес доменов.Формирование первого домена безопасности в домене AD происходит при уста-новке первого сервера безопасности.Сервер безопасности использует базу данных служб облегченного доступа к ка-талогам Active Directory (Active Directory Lightweight Directory Services, AD LDS).Контроль получения и применения параметров на защищаемых компьютерахосуществляется самим сервером безопасности.Домен безопасности создается как часть структуры леса доменов безопасности.Для леса назначается группа пользователей, которым будут предоставлены пра-ва на создание новых доменов безопасности. Эта группа будет являться группойадминистраторов леса доменов безопасности. При создании домена безо-пасности назначается группа пользователей, которым будут предоставлены пра-ва администрирования домена безопасности, — группа администраторов доменабезопасности.

Внимание!Чтобы обеспечить бесперебойное функционирование защищаемых компьютеров, следует преду-смотреть наличие в домене безопасности постоянно работающего резервного сервера безо-пасности.

Сетевая структура Secret Net StudioСетевая структура системы Secret Net Studio строится по принципу подчинениязащищаемых компьютеров сети серверу безопасности. Для подчинения серверубезопасности компьютер должен быть в составе домена безопасности.В рамках леса доменов можно организовать функционирование несколькихсерверов безопасности с подчинением по иерархическому принципу. При этомиерархия подчинения серверов не обязательно должна соответствовать струк-туре доменов в лесу. На рисунке представлен пример использования несколькихсерверов СБ1 — СБ4.

Каждый сервер контролирует работу своей группы защищаемых компьютеров иимеет свою базу данных. При этом некоторые операции доступны и в отношенииобъектов, относящихся к подчиненным серверам. Как видно из рисунка, серверыбезопасности СБ2 и СБ3 являются подчиненными по отношению к СБ1, а СБ4 —подчиненным по отношению к СБ2.Сетевую структуру системы Secret Net Studio можно формировать с учетомразличных особенностей построения сети и распределения полномочий между

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

33Secret Net Studio – C. Руководство администратораПринципы построения

администраторами. Одним из основных факторов, влияющих на формированиесетевой структуры системы Secret Net Studio, является вопрос наделения пол-номочиями администраторов безопасности. При необходимости разделить пол-номочия администраторов следует сформировать домены безопасности на базеорганизационных подразделений. Такой вариант позволяет в нужном объемеразделить полномочия администраторов безопасности и администраторов до-мена Active Directory, поскольку в рамках организационного подразделения адми-нистратору безопасности могут быть предоставлены все необходимые права наадминистрирование.Обмен данными между клиентами и сервером осуществляется в режиме сессий.При передаче данных используется протокол HTTPS. На сервере должен бытьустановлен сертификат для обеспечения защиты соединений с сервером.

Управление компьютерами с СЗИ Secret Net LSPВ Secret Net Studio имеется возможность централизованного управления, монито-ринга и получения локальных журналов для компьютеров, функционирующихпод управлением ОС семейства Linux. Для этого на компьютерах должно бытьустановлено средство защиты информации Secret Net LSP (версии 1.7 и выше) ивыполнена настройка удаленного управления. Описание последовательностидействий для настройки удаленного управления см. в документации на этот про-дукт. Сведения о возможностях управления компьютерами с установленнымSecret Net LSP приведены в документе [4].

Управление доменными пользователямиНастройка параметров доменных пользователей для работы в системе Secret NetStudio осуществляется в программе управления пользователями. Программа вхо-дит в состав средств управления Secret Net Studio и дополнительно предос-тавляет возможности создания и удаления учетных записей, а также позволяетнастраивать основные параметры пользователей и групп.Штатные средства ОС (оснастки для управления пользователями) рекомендуетсяиспользовать только для настройки параметров, отсутствующих в программеуправления пользователями. При создании или удалении учетных записей сиспользованием штатных средств некоторые функции управления и контролямогут быть недоступны до синхронизации изменений в системе Secret NetStudio.

Централизованное хранение данныхКомпоненты системы Secret Net Studio используют следующие структурыцентрализованного хранения данных:• база данных сервера безопасности на сервере СУБД — содержит центра-

лизованные журналы и оперативную информацию для мониторинга сис-темы;

• база данных служб AD LDS — содержит параметры системы Secret Net Studio,относящиеся к учетным записям, списки серверов безопасности, списки элек-тронных идентификаторов и других объектов для централизованного управ-ления системой защиты.

Разделение хранилищ обусловлено спецификой обращения к данным. Обра-щения осуществляют только те компоненты, которым это разрешено. Контроль иразграничение доступа к хранилищам осуществляются самой системой, поэтомуот администратора не требуется дополнительных действий для обеспечения за-щиты обращений.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

34Secret Net Studio – C. Руководство администратораПринципы построения

ПриложениеНеобходимые права для установки и управления

Система Secret Net Studio обеспечивает возможности входа и выполнения опе-раций для любых зарегистрированных пользователей в рамках полномочий, ко-торыми они обладают в ОС и механизмах защиты. Для установки компонентовSecret Net Studio и управления работой системы пользователи дополнительнодолжны обладать определенными административными полномочиями. Составнеобходимых прав и привилегий для администрирования зависит от выпол-няемых операций.Для автономного режима функционирования установка ПО клиента Secret NetStudio и все функции управления доступны пользователям, входящим в локаль-ную группу администраторов компьютера. Некоторые функции (например,управление журналом Secret Net Studio) могут быть переданы другим пользо-вателям путем предоставления соответствующих привилегий.Ниже в данном разделе приводится список основных операций при исполь-зовании системы Secret Net Studio в сетевом режиме функционирования. Длякаждой операции указаны учетные записи, для которых доступно выполнениедействий. Используются следующие условные обозначения учетных записей:• Администраторы леса доменов безопасности — пользователи, вклю-

ченные в группу администраторов леса доменов безопасности Secret NetStudio (группа указывается при установке сервера безопасности, если выб-ран вариант создания домена в новом лесу доменов безопасности — то естьустанавливается первый СБ в лесу доменов безопасности);

• Администраторы домена безопасности — пользователи, включенные вгруппу администраторов домена безопасности Secret Net Studio (группа ука-зывается при установке сервера безопасности, если выбран вариант созда-ния нового домена безопасности — то есть устанавливается первый СБ вдомене безопасности);

• Administrators — пользователи, включенные в стандартную локальнуюгруппу администраторов компьютера (Administrators);

• Привилегия <название_привилегии>— пользователи, которым назна-чена указанная привилегия.

Установка и удаление компонентовОсновные операции при установке или удалении компонентов системы SecretNet Studio представлены в следующих таблицах.

Табл.1 Установка и удаление сервера безопасности

Операция Учетные записи с правами навыполнение

Создание групп пользователей для администраторовлеса домена безопасности и администраторов доменабезопасности

Пользователи с правами для созданиягрупп в домене AD и для включенияпользователей в группы

Установка с созданием домена в новом лесу доменовбезопасности

Administrators (доменный поль-зователь) + Администраторы доменабезопасности

Установка с созданием нового домена безопасности всуществующем лесу

Administrators + Администраторы лесадоменов безопасности +Администраторы домена безопасности

Установка с добавлением сервера в существующийдомен безопасности

Administrators + Администраторы лесадоменов безопасности +Администраторы домена безопасности

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

35Secret Net Studio – C. Руководство администратораПринципы построения

Операция Учетные записи с правами навыполнение

Удаление в штатном режиме: с одновременнымудалением сервера из структуры ОУ

Administrators + Администраторыдомена безопасности

Удаление в нештатном режиме: без корректировкиструктуры ОУ1

Administrators

1Операция, в результате которой на компьютере будет удалено ПО сервера безопасности,но информация о сервере останется в структуре ОУ. Для удаления сервера из структурыможно использовать программу управления (см. стр.37). Данный вариант возможен, еслив системе присутствует хотя бы один сервер безопасности, доступный для подключенияпрограммы. При нештатном удалении последнего сервера леса доменов данные леса доме-нов безопасности уничтожаются при удалении ПО сервера.

Табл.2 Установка и удаление клиента

Операция Учетные записи с правами навыполнение

Установка с подключением к серверу безопасности Administrators + Администраторыдомена безопасности

Установка без подключения к серверу безопасности1 Administrators

Удаление с одновременным удалением клиента изструктуры ОУ

Administrators + Администраторыдомена безопасности

Удаление без корректировки структуры ОУ2 Administrators

1Операция, в результате которой на компьютере будет установлено ПО клиента, но клиентне будет связан с сервером безопасности в структуре ОУ. Для добавления сопо-ставленного клиенту агента в структуру и подчинения его серверу безопасности можноиспользовать программу управления (см. стр.37).

2Операция, в результате которой на компьютере будет удалено ПО клиента, но инфор-мация о клиенте останется в структуре ОУ. Для удаления сопоставленного клиенту агентаиз структуры ОУ можно использовать программу управления (см. стр.37).

Табл.3 Установка и удаление программы управления

Операция Учетные записи с правами навыполнение

Установка Administrators

Удаление Administrators

Настройка механизмов и управление параметрами объектовОсновные операции при настройке механизмов защиты системы Secret NetStudio и изменении параметров объектов (пользователей, компьютеров)представлены в следующей таблице.

Табл.4 Настройка механизмов и управление параметрами объектов

Операция Учетные записи с правами навыполнение

Создание и удаление групп пользователей Пользователи с правами для созданияи удаления учетных записей в доменеAD + Administrators

Создание и удаление пользователей Пользователи с правами для созданияи удаления учетных записей в доменеAD + Администраторы доменабезопасности + Administrators

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

36Secret Net Studio – C. Руководство администратораПринципы построения

Операция Учетные записи с правами навыполнение

Управление параметрами пользователей, присвоение инастройка идентификаторов

Администраторы домена безопасности+ Administrators

Формирование списка компьютеров для входа вПАК «Соболь»

Администраторы домена безопасности

Управление ключами ЦУ ПАК «Соболь» Администраторы домена безопасности+ Administrators

Локальное управление параметрами компьютера:редактирование учетной информации, подключениеПАК «Соболь»

Администраторы домена безопасности+ Administrators

Управление параметрами КЦ-ЗПС Администраторы домена безопасности+ Administrators

Работа с программой управления в централизованном режимеОсновные операции в программе управления системы Secret Net Studio представ-лены в следующей таблице.

Табл.5 Использование программы управления

Операция Учетные записи с правами навыполнение

Подключение к серверу безопасности и просмотринформации

Привилегия «Просмотр информации» длясервера подключения

Конфигурирование агентов (добавление в структуруОУ, удаление, подчинение и настройка параметров врежиме конфигурирования)

Администраторы домена безопасности

Конфигурирование серверов безопасности(добавление в структуру ОУ, удаление, подчинение инастройка параметров в режиме конфигурирования)

Администраторы домена безопасности

Корректировка структуры ОУ после нештатногоудаления сервера безопасности: удаление серверапри подключении к СБ в другом домене в том желесу1

Администраторы домена безопасности (вдомене сервера подключения) +Администраторы домена безопасности (вдомене удаленного сервера)

Настройка параметров групповых политик доменов иорганизационных подразделений

Администраторы домена безопасности +Привилегия «Редактирование политик»для сервера подключения.Для управления группой параметров»Администрирование системы защиты»дополнительно требуется привилегия»Администрирование системы защиты» насервере подключения

Удаленная настройка локальных параметров SecretNet Studio: параметры локальной политикибезопасности, аппаратная конфигурация, состояниезащитных механизмов

Привилегии «Редактирование политик» +»Выполнение оперативных команд» длясервера подключения.Для управления группой параметров»Администрирование системы защиты»дополнительно требуется привилегия»Администрирование системы защиты» насервере подключения

Выполнение команд оперативного управлениякомпьютерами: блокировка, перезагрузка,обновление политик

Привилегия «Выполнение оперативныхкоманд» для сервера подключения

Запуск процесса внеочередного сбора журналов сзащищаемых компьютеров

Привилегия «Сбор журналов по команде»для сервера подключения

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

37Secret Net Studio – C. Руководство администратораПринципы построения

Операция Учетные записи с правами навыполнение

Запуск процесса внеочередного архивированияжурналов в БД сервера безопасности

Привилегия»Архивирование/восстановлениежурналов» для сервера подключения

Квитирование событий тревоги (подтверждениеприема информации)

Привилегия «Квитирование сообщений отревогах» для сервера подключения

1Операция выполняется, если ПО сервера безопасности было удалено в нештатномрежиме без корректировки структуры ОУ (см. стр.35) и при этом для подключения прог-раммы доступен СБ в другом домене того же леса. Если можно выполнить подключение ксерверу в том же домене, для удаления объекта из структуры достаточно полномочий, тре-буемых при конфигурировании серверов безопасности (см. выше).

Оценка размера БД для сервера безопасностиДля установки и функционирования сервера безопасности в системе долженбыть установлен сервер СУБД. Чтобы обеспечить производительность и необ-ходимое время хранения накопленных данных, предварительно следует оце-нить размер будущей базы данных и нужный объем дискового пространства накомпьютере сервера СУБД. Исходя из результатов оценки принимается решениео выборе редакции СУБД (свободно распространяемые редакции имеют огра-ничение на размер базы данных) и аппаратной конфигурации компьютера.Основные критерии для оценки:• Поток событий — количество регистрируемых событий в течение опреде-

ленного периода времени. Базовое значение — поток событий в секунду(Events Per Second, EPS). Суммируются события, регистрируемые в штатныхжурналах ОС и в журнале Secret Net Studio. Нужно учитывать, что на потоксобытий существенно влияют роль компьютера в системе (сервер, рабочаястанция), а также заданные параметры функционирования и регистрации вподсистемах.

• Размер записей о событиях — объем сохраняемой информации о событиях взаписях журналов. Зависит от заполнения полей в записях различными дан-ными: описания событий, сведения об источниках и объектах, другие дан-ные. Размер записи о событии может варьироваться в широких пределах,поэтому целесообразно оценивать среднее значение.

• Срок хранения журналов — определяет время хранения журналов в базе дан-ных и в архивах. Журналы должны быть доступны для оперативного по-лучения сведений об инцидентах и нарушениях политики безопасности, дляпроведения аудита и определения потенциальных угроз. Срок хранения жур-налов должен быть достаточным, чтобы осуществлять ретроспективный ана-лиз состояния системы.

Примечание.Для обеспечения работоспособности сервера СУБД и минимизации издержек на поддержкуинфраструктуры необходимо регулярно выполнять архивацию журналов. По умолчанию ар-хивы сохраняются в подкаталоге \Archive каталога установки сервера безопасности. При необхо-димости архив можно загрузить в базу данных для анализа содержимого хранящихся в немжурналов.

Ниже рассматривается пример расчета для типовой АС класса защищенности 1Г,состоящей из одного сервера безопасности и 100 клиентских компьютеров. Длясервера безопасности используется компьютер под управлением ОС WindowsServer 2012, для клиентов — ОСWindows 8.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

38Secret Net Studio – C. Руководство администратораПринципы построения

Табл.6 Поток событий и средний размер записей на серверебезопасности

Журналы Среднее количествособытий в секунду (EPS)

Средний размер записи(байт)

Штатные журналы ОС 3 1000

Журнал Secret Net Studio 0,05 800

Табл.7 Поток событий и средний размер записей на клиенте

Журналы Среднее количествособытий в секунду (EPS)

Средний размер записи(байт)

Штатные журналы ОС 1 1000

Журнал Secret Net Studio 0,05 800

Табл.8 Объем журналов

Журналы Количествособытий в день

Заполнение БДза день(МБ)1

Объемжурналов в БДза 7 дней(МБ)2

Объемжурналов вархиве за 1 год(МБ)3

Сервер безопасности, 1 компьютер

Штатные журналыОС

259 200 259,2 1 814,4 2 365

Журнал Secret NetStudio

4 320 3,5 24,2 31,5

Клиент Secret Net Studio, 100 компьютеров

Штатные журналыОС

8 640 000 8 640 60 480 78 840

Журнал Secret NetStudio

432 000 345,6 2 419,2 3 153

Всего для сервера безопасности и клиентов

9 248,3 64 737,8 84 390

1Указан размер таблиц, содержащих журналы событий. Общий размер базы данных зави-сит также от размеров журнала транзакций и проводимых операций по оптимизации, сжа-тию базы.

2При использовании СУБД MS SQL Express 2012 (в данной редакции действует огра-ничение на размер базы в 10 ГБ) следует уменьшить число источников данных. Для этогоможно сократить количество подчиненных компьютеров до 10 либо в параметрах пере-дачи локальных журналов отключить сбор штатных журналов ОС.

3С учетом сжатия архива с коэффициентом 40:1.

Внимание!Чтобы не увеличивался общий объем базы и сохранялась производительность, регулярно вы-полняйте операции по архивированию логов СУБД и оптимизации структуры базы для удаления пу-стых страниц и дефрагментации записей в базе. В случае переполнения базы (при использованиисвободно распространяемыхСУБД, имеющих ограничения по размеру базы)необходимо выполнитьдействия по очистке базы данных, описанные в документе с комментариями к выпущенной версии(Release Notes).

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

39Secret Net Studio – C. Руководство администратораПринципы построения

Рекомендации по настройке для соответствия требованиямо защите информации

В разделе приведены значения параметров безопасности Secret Net Studio – C,которые рекомендуется установить в целях соответствия информационной сис-темы требованиям о защите информации, предъявляемым к информационнымсистемам различных типов и классов/уровней защищенности.Настроить параметры безопасности должным образом можно вручную или сиспользованием стандартных шаблонов параметров безопасности для инфор-мационных систем различных типов и классов/уровней защищенности (см. доку-мент [4], раздел «Настройка параметров безопасности»).

Примечание.Стандартные шаблоны параметров безопасности не поддерживаются клиентами Secret Net LSP.

Автоматизированные системыПри определенных вариантах настройки система Secret Net Studio обеспечиваетсоответствие требованиям для следующих классов защищенности автоматизи-рованных систем (АС) согласно классификации документа «Руководящий доку-мент. Автоматизированные системы. Защита от несанкционированного доступак информации. Классификация автоматизированных систем и требования по за-щите информации»:• АС первой группы:

• 1Б;• 1В;• 1Г;• 1Д.

• АС второй группы:• 2А;• 2Б.

• АС третьей группы:• 3А;• 3Б.

Использование средств защиты загрузкиВ АС должны применяться средства, исключающие доступ пользователя к ресур-сам компьютера в обход механизмов системы защиты. Для систем любого классадо 1Б включительно в качестве таких средств могут использоваться:• изделие «Программно-аппаратный комплекс «Соболь»;• изделие Secret Net Card.При использовании Secret Net Studio на виртуальных машинах в виртуальной ин-фраструктуре на базе продуктов VMware Infrastructure или VMware vSphere в ка-честве средства доверенной загрузки виртуальных машин может применятьсяизделие «Средство защиты информации vGate R2» или «Средство защиты инфор-мации vGate-S R2», совместимое с версией используемого продукта.Вместо вышеперечисленных средств или совместно с любым из них может бытьразработан и внедрен комплекс организационно- технических мероприятий,обеспечивающих невозможность доступа пользователей к информации на дис-ках компьютера в обход механизмов системы Secret Net Studio.

Параметры политик Secret Net StudioДля соответствия классам защищенности АС должны быть настроены параметрыполитик, перечисленные в следующей таблице. Настройка выполняется в прог-рамме управления на вкладке «Настройки», раздел «Политики».

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

40Secret Net Studio – C. Руководство администратораПринципы построения

Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.9 Параметры политик

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Группа «Вход в систему»

Максимальный периоднеактивности доблокировки экрана

все: Не более 10(реком.)

все: Не более 10(реком.)

все: Не более 10(реком.)

Запрет вторичного входав систему

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Режим идентификациипользователя

все: Смешанный(реком.)

все: Смешанный(реком.)

все: Смешанный(реком.)

Режим аутентификациипользователя

все: Усиленнаяпо паролю(обяз.)

все: Усиленнаяпо паролю(обяз.)

все: Усиленнаяпо паролю(обяз.)

Режим аутентификациипользователя:Регистрировать неверныеаутентификационныеданные

1Б,1В,1Г: Да (обяз.)1Д: –

все: Да (обяз.) 3А: Да (обяз.)3Б: –

Парольная политика все: Заданы значения(обяз.)

все: Заданы значения(обяз.)

все: Заданы значения(обяз.)

Минимальная длина пароля 1Б: Не менее 8символов (обяз.)1В,1Г,1Д: Не менее 6символов (обяз.)

все: Не менее 6символов (обяз.)

все: Не менее 6символов (обяз.)

Срок действия пароля 1Б: Не более 90 дней(обяз.)1В,1Г,1Д: Не более180 дней (обяз.)

все: Не более 180дней (обяз.)

все: Не более 180дней (обяз.)

Группа «Журнал»

Максимальный размержурнала защиты

1Б,1В: Не менее 4096(реком.)1Г,1Д: Не менее 2048(реком.)

2А: Не менее 4096(реком.)2Б: Не менее 2048(реком.)

все: Не менее 2048(реком.)

Политика перезаписисобытий

все: Затирать помере необходимости(реком.)

все: Затирать помере необходимости(реком.)

все: Затирать помере необходимости(реком.)

Учетные записи спривилегией просмотражурнала

все: Локальная группаадминистраторов(реком.)

все: Локальная группаадминистраторов(реком.)

все: Локальная группаадминистраторов(реком.)

Учетные записи спривилегией управленияжурналом

все: Локальная группаадминистраторов(реком.)

все: Локальная группаадминистраторов(реком.)

все: Локальная группаадминистраторов(реком.)

Группа «Ключи пользователя»

Максимальный срокдействия ключа

все: Не более 360(реком.)

все: Не более 360(реком.)

все: Не более 360(реком.)

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

41Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Предупреждение обистечении срока действияключа

все: Не менее 14(реком.)

все: Не менее 14(реком.)

все: Не менее 14(реком.)

Группа «Оповещение о тревогах»

Локальное оповещение отревогах

1Б: Включено (обяз.)1В,1Г,1Д: Включено(реком.)

все: Включено(реком.)

все: Включено(реком.)

Группа «Дискреционное управление доступом»

Учетные записи спривилегией управленияправами доступа

1Б,1В,1Г: Локальнаягруппаадминистраторов(обяз.)1Д: Локальная группаадминистраторов(реком.)

все: – все: –

Группа «Затирание данных»

Количество цикловзатирания на локальныхдисках

1Б,1В: Не менее 2(обяз.)1Г: Не менее 1 (обяз.)1Д: –

2А: Не менее 2 (обяз.)2Б: –

3А: Не менее 2 (обяз.)3Б: –

Количество цикловзатирания на сменныхносителях

1Б,1В: Не менее 2(обяз.)1Г: Не менее 1 (обяз.)1Д: –

2А: Не менее 2 (обяз.)2Б: –

3А: Не менее 2 (обяз.)3Б: –

Количество цикловзатирания оперативнойпамяти

1Б,1В: Не менее 2(обяз.)1Г: Не менее 1 (обяз.)1Д: –

2А: Не менее 2 (обяз.)2Б: –

3А: Не менее 2 (обяз.)3Б: –

Группа «Полномочное управление доступом»

Названия уровнейконфиденциальности

1Б,1В: Настроено(обяз.)1Г,1Д: –

2А: Настроено (обяз.)2Б: –

все: –

Режим работы 1Б,1В: Контрольпотоков включен(обяз.)1Г,1Д: –

2А: Контроль потоковвключен (обяз.)2Б: –

все: –

Режим работы: Cтрогийконтроль терминальныхподключений

1Б,1В: Да (реком.)1Г,1Д: –

2А: Да (реком.)2Б: –

все: –

Группа «Замкнутая программная среда»

Учетные записи, на которыене действуют правилазамкнутой программнойсреды

1Б,1В: Локальнаягруппаадминистраторов(реком.)1Г,1Д: –

2А: Локальная группаадминистраторов(реком.)2Б: –

все: –

Группа «Контроль приложений»

Перенаправление буфераобмена в RDP-подключениях

1Б,1В: Запрет длявсех типовподключений (реком.)1Г,1Д: –

2А: Запрет для всехтипов подключений(реком.)2Б: –

3А: Запрет для всехтипов подключений(реком.)3Б: –

Группа «Межсетевой экран»

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

42Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Протоколы все: Включен доступтолько для протоколаIPv4 (обяз.)

все: Включен доступтолько для протоколаIPv4 (обяз.)

все: Включен доступтолько для протоколаIPv4 (обяз.)

Включить ICMP-защиту 1Б,1В: Да (реком.)1Г,1Д: –

2А: Да (реком.)2Б: –

3А: Да (реком.)3Б: –

ICMP-сообщения: Эхо-ответ 1Б,1В: Получение(реком.)1Г,1Д: –

2А: Получение(реком.)2Б: –

3А: Получение(реком.)3Б: –

ICMP-сообщения: Адресатнедоступен

1Б,1В: Получение,Отправка (реком.)1Г,1Д: –

2А: Получение,Отправка (реком.)2Б: –

3А: Получение,Отправка (реком.)3Б: –

ICMP-сообщения: Эхо-запрос

1Б,1В: Отправка(реком.)1Г,1Д: –

2А: Отправка (реком.)2Б: –

3А: Отправка (реком.)3Б: –

ICMP-сообщения:Ходатайствомаршрутизатора

1Б,1В: Получение,Отправка (реком.)1Г,1Д: –

2А: Получение,Отправка (реком.)2Б: –

3А: Получение,Отправка (реком.)3Б: –

ICMP-сообщения:Превышение временногоинтервала

1Б,1В: Получение(реком.)1Г,1Д: –

2А: Получение(реком.)2Б: –

3А: Получение(реком.)3Б: –

ICMP-сообщения:Заблокировать остальныетипы

1Б,1В: Да (реком.)1Г,1Д: –

2А: Да (реком.)2Б: –

3А: Да (реком.)3Б: –

Режим обучения все: Выключен(реком.)

все: Выключен(реком.)

все: Выключен(реком.)

Группа «Авторизация сетевых соединений»

Защита соединений длягруппы everyone

1Б,1В,1Г: Да (реком.)1Д: –

2А: Да (реком.)2Б: –

все: –

Обработка сетевых пакетов:Параметры обработкисетевых пакетов

1Б,1В,1Г: Подпись,Пакет целиком (обяз.)1Д: –

2А: Подпись, Пакетцеликом (обяз.)2Б: –

все: –

Обработка сетевых пакетов:Защита от replay-атак

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Группа «Контроль устройств»

Перенаправление устройствв RDP-подключениях

1Б,1В: Запрет длявсех типов устройств иподключений (реком.)1Г: Запрет для всехтипов устройств дляподключенияудаленных устройств ккомпьютеру (реком.)1Д: –

2А: Запрет для всехтипов устройств иподключений (реком.)2Б: –

3А: Запрет для всехтипов устройств иподключений (реком.)3Б: –

Список устройств:Параметры контроля

1Б,1В,1Г: Параметрызаданы, при этом длягрупп «УстройстваUSB», «УстройстваPCMCIA» и «УстройстваIEEE1394» включенрежим «Подключениеустройствазапрещено» (обяз.)1Д: –

2А: Параметрызаданы, при этом длягрупп «УстройстваUSB», «УстройстваPCMCIA» и «УстройстваIEEE1394» включенрежим «Подключениеустройствазапрещено» (обяз.)2Б: –

все: –

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

43Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Список устройств:Разрешения

1Б,1В,1Г: Заданы(обяз.)1Д: –

2А: Заданы (обяз.)2Б: –

все: –

Группа «Контроль печати»

Маркировка документов 1Б,1В: Да (обяз.)1Г,1Д: –

2А: Да (обяз.)2Б: –

3А: Да (обяз.)3Б: –

Перенаправлениепринтеров в RDP-подключениях

1Б,1В: Запрет длявсех типовподключений (реком.)1Г: Запрет дляподключенияудаленных принтеровк компьютеру (реком.)1Д: –

2А: Запрет для всехтипов подключений(реком.)2Б: –

3А: Запрет для всехтипов подключений(реком.)3Б: –

Список принтеров:Разрешения

1Б,1В,1Г: Заданы(обяз.)1Д: –

2А: Заданы (обяз.)2Б: –

все: –

Параметры пользователейДля соответствия классам защищенности АС должны быть настроены параметрыпользователей, перечисленные в следующей таблице. Настройка параметровосуществляется в программе управления пользователями в диалоговом окне нас-тройки свойств пользователя.Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.10 Параметры пользователей

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Группа параметров «Доступ» в диалоге «Параметры безопасности»

Уровень допуска 1Б,1В: Назначенуполномоченнымпользователям (обяз.)1Г,1Д: –

2А: Назначенуполномоченнымпользователям (обяз.)2Б: –

все: –

Привилегия: Печатьконфиденциальныхдокументов

1Б,1В: Назначенауполномоченнымпользователям (обяз.)1Г,1Д: –

2А: Назначенауполномоченнымпользователям (обяз.)2Б: –

все: –

Привилегия: Управлениекатегориямиконфиденциальности

1Б,1В: Назначенауполномоченнымпользователям (обяз.)1Г,1Д: –

2А: Назначенауполномоченнымпользователям (обяз.)2Б: –

все: –

Привилегия: Выводконфиденциальнойинформации

1Б,1В: Назначенауполномоченнымпользователям (обяз.)1Г,1Д: –

2А: Назначенауполномоченнымпользователям (обяз.)2Б: –

все: –

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

44Secret Net Studio – C. Руководство администратораПринципы построения

Параметры механизмов КЦ и ЗПСДля соответствия классам защищенности АС должны быть настроены параметрымеханизмов КЦ и ЗПС, перечисленные в следующей таблице. Настройка пара-метров осуществляется в программе «Контроль программ и данных».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.11 Параметры механизмов КЦ и ЗПС

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Диалог «Режимы» в диалоговом окне настройки свойств компьютера

Режим ЗПС включен все: Да (реком.) все: Да (реком.) все: Да (реком.)

Мягкий режим 1Б,1В: Нет (реком.)1Г,1Д: –

2А: Нет (реком.)2Б: –

все: –

Проверять целостностьмодулей перед запуском

1Б,1В: Да (обяз.)1Г,1Д: –

2А: Да (обяз.)2Б: –

все: –

Проверять заголовкимодулей перед запуском

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Контролироватьисполняемые скрипты

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Диалоговое окно настройки параметров задания контроля СЗИ

Метод контроля ресурсов все: Содержимое(обяз.)

все: – все: –

Алгоритм 1Б: Имитовставка(реком.)1В,1Г,1Д: CRC32(реком.)

все: – все: –

Регистрация событий: Успехзавершения

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Регистрация событий:Ошибка завершения

все: Да (обяз.) все: Да (обяз.) все: Да (обяз.)

Регистрация событий: Успехпроверки

все: Нет (реком.) все: Нет (реком.) все: Нет (реком.)

Регистрация событий:Ошибка проверки

все: Да (обяз.) все: Да (обяз.) все: Да (обяз.)

Реакция на отказ: Действия все: Заблокироватькомпьютер (реком.)

все: Заблокироватькомпьютер (реком.)

все: Заблокироватькомпьютер (реком.)

Расписание 1Б: При загрузке ОС ипо расписанию(обяз.)1В,1Г,1Д: Призагрузке ОС или чаще(обяз.)

все: При загрузке ОСили чаще (обяз.)

все: При загрузке ОСили чаще (обяз.)

Диалоговое окно настройки параметров заданий контроля ОС (файлы и реестр)

Метод контроля ресурсов все: Содержимое(реком.)

все: – все: –

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

45Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Алгоритм 1Б: Имитовставка(реком.)1В,1Г,1Д: CRC32 дляреестра и встроеннаяЭЦП для файлов(реком.)

все: – все: –

Регистрация событий: Успехзавершения

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Регистрация событий:Ошибка завершения

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Регистрация событий: Успехпроверки

все: Нет (реком.) все: Нет (реком.) все: Нет (реком.)

Регистрация событий:Ошибка проверки

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Реакция на отказ: Действия все: Заблокироватькомпьютер (реком.)

все: Заблокироватькомпьютер (реком.)

все: Заблокироватькомпьютер (реком.)

Расписание 1Б: При загрузке ОС ипо расписанию(реком.)1В,1Г,1Д: Призагрузке ОС или чаще(реком.)

все: При загрузке ОСили чаще (реком.)

все: При загрузке ОСили чаще (реком.)

Государственные информационные системыПри определенных вариантах настройки система Secret Net Studio обеспечиваетсоответствие требованиям для государственных информационных систем (ГИС),изложенным в следующих нормативно-методических документах:• Меры защиты информации в государственных информационных системах

(документ утвержден ФСТЭК России 11 февраля 2014 г.).• Требования о защите информации, не составляющей государственную

тайну, содержащейся в государственных информационных системах (утвер-ждены приказом ФСТЭК России от 11 февраля 2013 г.№ 17).

Для классов защищенности ГИС К1, К2, К3 и К4 определены базовые наборы мерзащиты информации. Организационные и технические меры защиты инфор-мации должны обеспечивать реализацию следующих основных требований:• идентификация и аутентификация субъектов доступа и объектов доступа;• управление доступом субъектов доступа к объектам доступа;• ограничение программной среды;• защита машинных носителей информации;• регистрация событий безопасности;• целостность информационной системы и информации;• доступность информации;• защита технических средств;• защита информационной системы,ее средств, систем связи и передачи данных.

Использование средств доверенной загрузкиВ ГИС классов К1 и К2 должны применяться средства доверенной загрузки опера-ционной системы. В качестве средства доверенной загрузки может исполь-зоваться изделие «Программно-аппаратный комплекс «Соболь».

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

46Secret Net Studio – C. Руководство администратораПринципы построения

Обеспечение непрерывности функционированияДля обеспечения непрерывности функционирования Secret Net Studio в ГИСвсех классов защищенности рекомендуется в каждом домене безопасностииспользовать не менее двух серверов безопасности.

Параметры политик Secret Net StudioДля соответствия классам защищенности ГИС должны быть настроены пара-метры политик, перечисленные в следующей таблице. Настройка выполняется впрограмме управления на вкладке «Настройки», раздел «Политики».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.12 Параметры политик

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

Группа «Вход в систему»

Максимальный периоднеактивности доблокировки экрана

Не более 5(обяз.)

Не более 15(реком.)

Не более 15(реком.)

–

Запрет вторичного входав систему

Да (реком.) Да (реком.) Да (реком.) Да (реком.)

Количество неудачныхпопыток аутентификации

От 3 до 4(обяз.)

От 3 до 8(обяз.)

От 3 до 10(обяз.)

От 3 до 10(обяз.)

Режим идентификациипользователя

Только поидентификатору(обяз.)

Только поидентификатору(реком.)

Смешанный(реком.)

Смешанный(реком.)

Режим аутентификациипользователя

Усиленнаяпо паролю(обяз.)

Усиленнаяпо паролю(обяз.)

Усиленнаяпо паролю(обяз.)

Усиленнаяпо паролю(обяз.)

Парольная политика Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)

Минимальная длинапароля

Не менее 8символов (обяз.)

Не менее 6символов (обяз.)

Не менее 6символов (обяз.)

Не менее 6символов (обяз.)

Срок действия пароля Не более 60дней (обяз.)

Не более 90дней (обяз.)

Не более 120дней (обяз.)

Не более 180дней (обяз.)

Сложность пароля Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)

Группа «Журнал»

Максимальный размержурнала защиты

Не менее 4096(реком.)

Не менее 4096(реком.)

Не менее 4096(реком.)

Не менее 4096(реком.)

Политика перезаписисобытий

Затирать померенеобходимости(реком.)

Затирать померенеобходимости(реком.)

Затирать померенеобходимости(реком.)

Затирать померенеобходимости(реком.)

Учетные записи спривилегией просмотражурнала

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

47Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

Учетные записи спривилегией управленияжурналом

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Группа «Ключи пользователя»

Максимальный срокдействия ключа

Не более 360(реком.)

Не более 360(реком.)

Не более 360(реком.)

Не более 360(реком.)

Предупреждение обистечении срока действияключа

Не менее 14(реком.)

Не менее 14(реком.)

Не менее 14(реком.)

Не менее 14(реком.)

Группа «Оповещение о тревогах»

Локальное оповещение отревогах

Включено(реком.)

Включено(реком.)

Включено(реком.)

Включено(реком.)

Группа «Дискреционное управление доступом»

Учетные записи спривилегией управленияправами доступа

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Группа «Затирание данных»

Количество цикловзатирания на локальныхдисках

Не менее 2(обяз.)

Не менее 1(обяз.)

Не менее 1(обяз.)

–

Количество цикловзатирания на сменныхносителях

Не менее 2(обяз.)

Не менее 1(обяз.)

Не менее 1(обяз.)

–

Количество цикловзатирания оперативнойпамяти

Не менее 2(обяз.)

– – –

Группа «Полномочное управление доступом»

Названия уровнейконфиденциальности

Настроено(обяз.)*

– – –

Режим работы Контрольпотоков включен(обяз.)*

– – –

Режим работы: Cтрогийконтроль терминальныхподключений

Да (обяз.)* – – –

Группа «Замкнутая программная среда»

Учетные записи, накоторые не действуютправила замкнутойпрограммной среды

Локальнаягруппаадминистраторов(реком.)

– – –

Группа «Межсетевой экран»

Протоколы Включен доступтолько дляпротокола IPv4(обяз.)

Включен доступтолько дляпротокола IPv4(обяз.)

Включен доступтолько дляпротокола IPv4(обяз.)

Включен доступтолько дляпротокола IPv4(обяз.)

Включить ICMP-защиту Да (реком.) Да (реком.) – –

ICMP-сообщения: Эхо-ответ Получение(реком.)

Получение(реком.)

– –

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

48Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

ICMP-сообщения: Адресатнедоступен

Получение,Отправка(реком.)

Получение,Отправка(реком.)

– –

ICMP-сообщения: Эхо-запрос

Отправка(реком.)

Отправка(реком.)

– –

ICMP-сообщения:Ходатайствомаршрутизатора

Получение,Отправка(реком.)

Получение,Отправка(реком.)

– –

ICMP-сообщения:Превышение временногоинтервала

Получение(реком.)

Получение(реком.)

– –

ICMP-сообщения:Заблокировать остальныетипы

Да (реком.) Да (реком.) – –

Режим обучения Выключен(реком.)

Выключен(реком.)

Выключен(реком.)

Выключен(реком.)

Группа «Авторизация сетевых соединений»

Защита соединений длягруппы everyone

Да (реком.) Да (реком.) – –

Обработка сетевыхпакетов: Параметрыобработки сетевых пакетов

Подпись, Пакетцеликом (обяз.)

Подпись, Пакетцеликом (обяз.)

– –

Обработка сетевыхпакетов: Защита от replay-атак

Да (реком.) Да (реком.) Да (реком.) Да (реком.)

Группа «Контроль устройств»

Перенаправлениеустройств в RDP-подключениях

Запрет для всехтипов устройстви подключений(реком.)

Запрет для всехтипов устройстви подключений(реком.)

Запрет для всехтипов устройстви подключений(реком.)

Запрет для всехтипов устройстви подключений(реком.)

Список устройств:Параметры контроля

Параметрызаданы, при этомдля групп»УстройстваUSB»,»УстройстваPCMCIA» и»УстройстваIEEE1394″включен режим»Подключениеустройствазапрещено»(обяз.)

Параметрызаданы, при этомдля групп»УстройстваUSB»,»УстройстваPCMCIA» и»УстройстваIEEE1394″включен режим»Подключениеустройствазапрещено»(обяз.)

Параметрызаданы, при этомдля групп»УстройстваUSB»,»УстройстваPCMCIA» и»УстройстваIEEE1394″включен режим»Подключениеустройствазапрещено»(обяз.)

Параметрызаданы, при этомдля групп»УстройстваUSB», «Устрой-ства PCMCIA» и»УстройстваIEEE1394″ вклю-чен режим «Под-ключениеустройства запре-щено» (обяз.)

Список устройств:Разрешения

Заданы (обяз.) Заданы (обяз.) Заданы (обяз.) Заданы (обяз.)

Группа «Контроль печати»

Список принтеров:Разрешения

Заданы (обяз.) Заданы (обяз.) Заданы (обяз.) Заданы (обяз.)

*Действие является обязательным, если для реализации меры ОЦЛ.6 (ограничение правпользователей по вводу информации в систему) будет применяться механизм полно-мочного управления доступом системы Secret Net Studio. Если для реализации указанноймеры защиты применяются другие решения, действие не обязательно для выполнения.

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

49Secret Net Studio – C. Руководство администратораПринципы построения

Параметры пользователейДля соответствия классам защищенности ГИС должны быть настроены пара-метры пользователей, перечисленные в следующей таблице. Настройка пара-метров осуществляется в программе управления пользователями в диалоговомокне настройки свойств пользователя.Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.13 Параметры пользователей

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

Группа параметров «Идентификатор» в диалоге «Параметры безопасности»

Электронныйидентификаторпользователя

Присвоен(обяз.)

Присвоен(реком.)

– –

Интеграция с ПАК «Соболь» Да (реком.) Да (реком.) – –

Группа параметров «Доступ» в диалоге «Параметры безопасности»

Уровень допуска Назначенуполномоченнымпользователям(обяз.)*

– – –

Привилегия: Управлениекатегориямиконфиденциальности

Назначенауполномоченнымпользователям(обяз.)*

– – –

*Действие является обязательным, если для реализации меры ОЦЛ.6 (ограничение правпользователей по вводу информации в систему) будет применяться механизм полно-мочного управления доступом системы Secret Net Studio. Если для реализации указанноймеры защиты применяются другие решения, действие не обязательно для выполнения.

Параметры механизмов КЦ и ЗПСДля соответствия классам защищенности ГИС должны быть настроены пара-метры механизмов КЦ и ЗПС, перечисленные в следующей таблице. Настройкапараметров осуществляется в программе «Контроль программ и данных».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.14 Параметры механизмов КЦ и ЗПС

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

Диалог «Режимы» в диалоговом окне настройки свойств компьютера

Режим ЗПС включен Да (обяз.) – – –

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

50Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

Мягкий режим Нет (обяз.) – – –

Проверять целостностьмодулей перед запуском

Да (обяз.) – – –

Проверять заголовкимодулей перед запуском

Да (реком.) – – –

Контролироватьисполняемые скрипты

Да (реком.) – – –

Диалоговое окно настройки параметров задания контроля СЗИ

Метод контроля ресурсов Содержимое(обяз.)

Содержимое(обяз.)

– –

Алгоритм CRC32 (реком.) CRC32 (реком.) – –

Регистрация событий: Успехзавершения

Да (реком.) Да (реком.) – –

Регистрация событий:Ошибка завершения

Да (обяз.) Да (обяз.) – –

Регистрация событий:Ошибка проверки

Да (обяз.) Да (обяз.) – –

Реакция на отказ: Действия Заблокироватькомпьютер(реком.)

Заблокироватькомпьютер(реком.)

– –

Расписание При загрузке ОСи порасписанию(обяз.)

При загрузке ОСи порасписанию(обяз.)

– –

Диалоговое окно настройки параметров задания контроля ОС (файлы и реестр)

Метод контроля ресурсов Содержимое(реком.)

Содержимое(реком.)

– –

Алгоритм CRC32 (реком.) CRC32 (реком.) – –

Регистрация событий: Успехзавершения

Да (реком.) Да (реком.) – –

Регистрация событий:Ошибка завершения

Да (реком.) Да (реком.) – –

Регистрация событий: Успехпроверки

Нет (реком.) Нет (реком.) – –

Регистрация событий:Ошибка проверки

Да (реком.) Да (реком.) – –

Реакция на отказ: Действия Заблокироватькомпьютер(реком.)

Заблокироватькомпьютер(реком.)

– –

Расписание При загрузке ОСи порасписанию(реком.)

При загрузке ОСи порасписанию(реком.)

– –

Информационные системы персональных данныхПри определенных вариантах настройки система Secret Net Studio обеспечиваетсоответствие требованиям для информационных систем персональных данных(ИСПДн), изложенным в документе «Состав и содержание организационных итехнических мер по обеспечению безопасности персональных данных при их об-

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

51Secret Net Studio – C. Руководство администратораПринципы построения

работке в информационных системах персональных данных» (утвержден прика-зом ФСТЭК России от 18 февраля 2013 г.№ 21).Для уровней защищенности ИСПДн 1, 2, 3 и 4 определены базовые наборы мерзащиты информации. Организационные и технические меры защиты инфор-мации должны обеспечивать реализацию следующих основных требований:• идентификация и аутентификация субъектов доступа и объектов доступа;• управление доступом субъектов доступа к объектам доступа;• ограничение программной среды;• защита машинных носителей информации;• регистрация событий безопасности;• целостность информационной системы и информации;• доступность информации;• защита технических средств;• защита информационной системы,ее средств, систем связи и передачи данных.

Использование средств доверенной загрузкиВ ИСПДн уровней 1 и 2 должны применяться средства доверенной загрузкиоперационной системы. В качестве средства доверенной загрузки может исполь-зоваться изделие «Программно-аппаратный комплекс «Соболь».

Обеспечение непрерывности функционированияДля обеспечения непрерывности функционирования Secret Net Studio в ИСПДнвсех уровней защищенности рекомендуется в каждом домене безопасностииспользовать не менее двух серверов безопасности.

Параметры политик Secret Net StudioДля соответствия уровням защищенности ИСПДн должны быть настроены пара-метры политик, перечисленные в следующей таблице. Настройка параметровосуществляется в программе управления на вкладке «Настройки», раздел «По-литики».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.15 Параметры политик

ПараметрУровни защищенности ИСПДн

1 2 3 4

Группа «Вход в систему»

Максимальный периоднеактивности доблокировки экрана

Не более 5(обяз.)

Не более 15(реком.)

Не более 15(реком.)

–

Запрет вторичного входав систему

Да (реком.) Да (реком.) Да (реком.) Да (реком.)

Количество неудачныхпопыток аутентификации

От 3 до 4(обяз.)

От 3 до 8(обяз.)

От 3 до 10(обяз.)

От 3 до 10(обяз.)

Режим идентификациипользователя

Только поидентификатору(обяз.)

Только поидентификатору(реком.)

Смешанный(реком.)

Смешанный(реком.)

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

52Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрУровни защищенности ИСПДн

1 2 3 4

Режим аутентификациипользователя

Усиленнаяпо паролю(обяз.)

Усиленнаяпо паролю(обяз.)

Усиленнаяпо паролю(обяз.)

Усиленнаяпо паролю(обяз.)

Парольная политика Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)

Минимальная длинапароля

Не менее 8символов (обяз.)

Не менее 6символов (обяз.)

Не менее 6символов (обяз.)

Не менее 6символов (обяз.)

Срок действия пароля Не более 60дней (обяз.)

Не более 90дней (обяз.)

Не более 120дней (обяз.)

Не более 180дней (обяз.)

Сложность пароля Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)

Группа «Журнал»

Максимальный размержурнала защиты

Не менее 4096(реком.)

Не менее 4096(реком.)

Не менее 4096(реком.)

Не менее 4096(реком.)

Политика перезаписисобытий

Затирать померенеобходимости(реком.)

Затирать померенеобходимости(реком.)

Затирать померенеобходимости(реком.)

Затирать померенеобходимости(реком.)

Учетные записи спривилегией просмотражурнала

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Учетные записи спривилегией управленияжурналом

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Группа «Ключи пользователя»

Максимальный срокдействия ключа

Не более 360(реком.)

Не более 360(реком.)

Не более 360(реком.)

Не более 360(реком.)

Предупреждение обистечении срока действияключа

Не менее 14(реком.)

Не менее 14(реком.)

Не менее 14(реком.)

Не менее 14(реком.)

Группа «Оповещение о тревогах»

Локальное оповещение отревогах

Включено(реком.)

Включено(реком.)

Включено(реком.)

Включено(реком.)

Группа «Дискреционное управление доступом»

Учетные записи спривилегией управленияправами доступа

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Локальнаягруппаадминистраторов(реком.)

Группа «Затирание данных»

Количество цикловзатирания на локальныхдисках

Не менее 2(обяз.)

Не менее 1(обяз.)

Не менее 1(обяз.)

–

Количество цикловзатирания на сменныхносителях

Не менее 2(обяз.)

Не менее 1(обяз.)

Не менее 1(обяз.)

–

Группа «Полномочное управление доступом»

Названия уровнейконфиденциальности

Настроено(обяз.)*

– – –

Режим работы Контрольпотоков включен(обяз.)*

– – –

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

53Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрУровни защищенности ИСПДн

1 2 3 4

Режим работы: Cтрогийконтроль терминальныхподключений

Да (обяз.)* – – –

Группа «Межсетевой экран»

Протоколы Включен доступтолько дляпротокола IPv4(обяз.)

Включен доступтолько дляпротокола IPv4(обяз.)

Включен доступтолько дляпротокола IPv4(обяз.)

Включен доступтолько дляпротокола IPv4(обяз.)

Включить ICMP-защиту Да (реком.) Да (реком.) – –

ICMP-сообщения: Эхо-ответ Получение(реком.)

Получение(реком.)

– –

ICMP-сообщения: Адресатнедоступен

Получение,Отправка(реком.)

Получение,Отправка(реком.)

– –

ICMP-сообщения: Эхо-запрос

Отправка(реком.)

Отправка(реком.)

– –

ICMP-сообщения:Ходатайствомаршрутизатора

Получение,Отправка(реком.)

Получение,Отправка(реком.)

– –

ICMP-сообщения:Превышение временногоинтервала

Получение(реком.)

Получение(реком.)

– –

ICMP-сообщения:Заблокировать остальныетипы

Да (реком.) Да (реком.) – –

Режим обучения Выключен(реком.)

Выключен(реком.)

Выключен(реком.)

Выключен(реком.)

Группа «Авторизация сетевых соединений»

Защита соединений длягруппы everyone

Да (реком.) Да (реком.) – –

Обработка сетевыхпакетов: Параметрыобработки сетевых пакетов

Подпись, Пакетцеликом (обяз.)

Подпись, Пакетцеликом (обяз.)

– –

Обработка сетевыхпакетов: Защита от replay-атак

Да (реком.) Да (реком.) Да (реком.) Да (реком.)

Группа «Контроль устройств»

Перенаправлениеустройств в RDP-подключениях

Запрет для всехтипов устройстви подключений(реком.)

Запрет для всехтипов устройстви подключений(реком.)

Запрет для всехтипов устройстви подключений(реком.)

Запрет для всехтипов устройстви подключений(реком.)

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

54Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрУровни защищенности ИСПДн

1 2 3 4

Список устройств:Параметры контроля

Параметрызаданы, при этомдля групп»УстройстваUSB»,»УстройстваPCMCIA» и»УстройстваIEEE1394″включен режим»Подключениеустройствазапрещено»(обяз.)

Параметрызаданы, при этомдля групп»УстройстваUSB»,»УстройстваPCMCIA» и»УстройстваIEEE1394″включен режим»Подключениеустройствазапрещено»(обяз.)

– –

Список устройств:Разрешения

Заданы (обяз.) Заданы (обяз.) – –

Группа «Контроль печати»

Список принтеров:Разрешения

Заданы (обяз.) Заданы (обяз.) – –

*Действие является обязательным, если для реализации меры ОЦЛ.6 (ограничение правпользователей по вводу информации в систему) будет применяться механизм полно-мочного управления доступом системы Secret Net Studio. Если для реализации указанноймеры защиты применяются другие решения, действие не обязательно для выполнения.

Параметры пользователейДля соответствия уровням защищенности ИСПДн должны быть настроены пара-метры пользователей, перечисленные в следующей таблице. Настройка пара-метров осуществляется в программе управления пользователями в диалоговомокне настройки свойств пользователя.Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.16 Параметры пользователей

ПараметрУровни защищенности ИСПДн

1 2 3 4

Группа параметров «Идентификатор» в диалоге «Параметры безопасности»

Электронныйидентификаторпользователя

Присвоен(обяз.)

Присвоен(реком.)

– –

Интеграция с ПАК «Соболь» Да (реком.) Да (реком.) – –

Группа параметров «Доступ» в диалоге «Параметры безопасности»

Уровень допуска Назначенуполномоченнымпользователям(обяз.)*

– – –

Привилегия: Управлениекатегориямиконфиденциальности

Назначенауполномоченнымпользователям(обяз.)*

– – –

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

55Secret Net Studio – C. Руководство администратораПринципы построения

*Действие является обязательным, если для реализации меры ОЦЛ.6 (ограничение правпользователей по вводу информации в систему) будет применяться механизм полно-мочного управления доступом системы Secret Net Studio. Если для реализации указанноймеры защиты применяются другие решения, действие не обязательно для выполнения.

Параметры механизмов КЦ и ЗПСДля соответствия уровням защищенности ИСПДн должны быть настроены пара-метры механизмов КЦ и ЗПС, перечисленные в следующей таблице. Настройкапараметров осуществляется в программе «Контроль программ и данных».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.17 Параметры механизмов КЦ и ЗПС

ПараметрУровни защищенности ИСПДн

1 2 3 4

Диалоговое окно настройки параметров задания контроля СЗИ

Метод контроля ресурсов Содержимое(обяз.)

Содержимое(обяз.)

– –

Алгоритм CRC32 (реком.) CRC32 (реком.) – –

Регистрация событий: Успехзавершения

Да (реком.) Да (реком.) – –

Регистрация событий:Ошибка завершения

Да (обяз.) Да (обяз.) – –

Регистрация событий:Ошибка проверки

Да (обяз.) Да (обяз.) – –

Реакция на отказ: Действия Заблокироватькомпьютер(реком.)

Заблокироватькомпьютер(реком.)

– –

Расписание При загрузке ОСи порасписанию(обяз.)

При загрузке ОСи порасписанию(обяз.)

– –

Диалоговое окно настройки параметров задания контроля ОС (файлы и реестр)

Метод контроля ресурсов Содержимое(реком.)

Содержимое(реком.)

– –

Алгоритм CRC32 (реком.) CRC32 (реком.) – –

Регистрация событий: Успехзавершения

Да (реком.) Да (реком.) – –

Регистрация событий:Ошибка завершения

Да (реком.) Да (реком.) – –

Регистрация событий: Успехпроверки

Нет (реком.) Нет (реком.) – –

Регистрация событий:Ошибка проверки

Да (реком.) Да (реком.) – –

Реакция на отказ: Действия Заблокироватькомпьютер(реком.)

Заблокироватькомпьютер(реком.)

– –

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

56Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрУровни защищенности ИСПДн

1 2 3 4

Расписание При загрузке ОСи порасписанию(реком.)

При загрузке ОСи порасписанию(реком.)

– –

Применение параметров после настройкиПри изменении параметров объектов и защитных механизмов Secret Net Studioне все значения могут вступать в силу сразу после сохранения изменений. Неко-торые параметры применяются на защищаемых компьютерах в определенныемоменты времени.Ниже перечислены параметры, вступающие в силу после перезагрузки ком-пьютера или при следующем входе пользователя в систему. Остальные пара-метры применяются сразу после сохранения измененных значений.

Табл.18 Параметры в программе управления

Параметр Момент применения

Вкладка «Состояние» для компьютера — средства включения и отключения механизмов

Дискреционное управление После перезагрузки

Затирание данных После перезагрузки

Контроль устройств После перезагрузки

Замкнутая программная среда После перезагрузки

Полномочное управление После перезагрузки

Контроль печати После перезагрузки

Защита дисков и шифрование После перезагрузки

Вкладка «Настройки», раздел «Политики» — параметры группы «Вход в систему»

Максимальный период неактивности до блокировкиэкрана

При следующем входе в систему

Запрет вторичного входа в систему После перезагрузки

Реакция на изъятие идентификатора При следующем входе в систему

Количество неудачных попыток аутентификации При следующем входе в систему

Разрешить интерактивный вход только доменнымпользователям

При следующем входе в систему

Режим идентификации пользователя При следующем входе в систему

Режим аутентификации пользователя При следующем входе в систему

Парольная политика При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Журнал»

Максимальный размер журнала системы защиты При увеличении — сразу. Приуменьшении — после очистки журнала

Учетные записи с привилегией просмотра журналасистемы защиты

При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Ключи пользователя»

Все настраиваемые параметры группы При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Контроль RDPподключений»

Перенаправление устройств в RDP-подключениях При следующем терминальном входе

Перенаправление буфера обмена в RDP-подключениях При следующем терминальном входе

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

57Secret Net Studio – C. Руководство администратораПринципы построения

Параметр Момент применения

Перенаправление принтеров в RDP-подключениях При следующем терминальном входе

Вкладка «Настройки», раздел «Политики» — параметры группы «Администрированиесистемы защиты»

Самозащита продукта После перезагрузки

Вкладка «Настройки», раздел «Политики» — параметры группы «Дискреционное управлениедоступом»

Учетные записи с привилегией управления правамидоступа

При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Полномочное управлениедоступом»

Режим работы: Контроль потоков отключен После перезагрузки

Режим работы: Контроль потоков включен После перезагрузки

Режим работы: Строгий контроль терминальныхподключений

При следующем входе в систему

Режим работы: Автоматический выбор максимальногоуровня сессии

При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Замкнутая программнаясреда»

Учетные записи, на которые не действуют правилазамкнутой программной среды

При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Защита диска ишифрование данных»

Учетные записи с привилегией на созданиекриптоконтейнера

При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Контроль печати»

Маркировка документов При следующем входе в систему

Теневое копирование При следующем входе в систему

Вкладка «Настройки», раздел «Параметры» — параметры группы «Управление трассировкой»

Все настраиваемые параметры группы После перезагрузки

Табл.19 Параметры в программе «Контроль программ и данных»

Параметр Момент применения

Список ресурсов в задании ЗПС При следующем входе в систему*

Диалоговое окно настройки параметров субъекта управления, диалог «Режимы»

Режим ЗПС включен При следующем входе в систему*

Изоляция процесса включена При следующем входе в систему*

*При централизованной настройке возможно принудительное применение изменений покоманде «Перезагрузка параметров работы пользователей» в контекстном меню субъектовуправления.

Табл.20 Параметры в программе управления пользователями

Параметр Момент применения

Операции с учетными записями: удаление, блокировка,смена пароля

При следующем входе в систему

Окно настройки свойств пользователя, диалог «Параметры безопасности» — параметрыгруппы «Идентификатор»

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

58Secret Net Studio – C. Руководство администратораПринципы построения

Параметр Момент применения

Список электронных идентификаторов пользователя При следующем входе в систему

Окно настройки свойств пользователя, диалог «Параметры безопасности» — параметрыгруппы «Доступ»

Все параметры полномочного управления доступом При следующем входе в систему

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

59Secret Net Studio – C. Руководство администратораПринципы построения

Документация1. Средство защиты информации Secret Net Studio – C.

Руководство администратора.Принципы построения

RU.88338853.501400.002 91 1

2. Средство защиты информации Secret Net Studio – C.Руководство администратора.Установка, обновление, удаление

RU.88338853.501400.002 91 2

3. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация

RU.88338853.501400.002 91 3

4. Средство защиты информации Secret Net Studio – C.Руководство администратора.Централизованное управление, мониторинг и аудит

RU.88338853.501400.002 91 4

5. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация.Локальная защита

RU.88338853.501400.002 91 5

6. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация.Сетевая защита

RU.88338853.501400.002 91 6

7. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация.Доверенная среда

RU.88338853.501400.002 91 8

8. Средство защиты информации Secret Net Studio – C.Руководство пользователя

RU.88338853.501400.002 92

© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»

60Secret Net Studio – C. Руководство администратораПринципы построения

Администрирование аттестованных объектов информатизации — автоматизированных рабочих мест. Практика

В рамках предыдущей статьи мы в теории разобрали, что необходимо делать администратору. В этой же изучим вопрос на практике.

Администрирование аттестованного АРМ

Администрирование аттестованного АРМ сводится к следующим шагам:

• Знакомство с Актом классификации.

• Знакомство с Разрешительной системой доступа.

• Настройка системы и администрирование СЗИ от НСД.

• Поддержание АРМ в актуальном состоянии, в соответствии с разрешительной системой доступа.

Знакомство с Актом классификации

Шаблонов в интернете много, поэтому не будем его детально расписывать, подчеркнем суть из него. В Акте классификации указано, что объект информатизации – автоматизированная система «АРМ-1» классифицирована по классу 1В в соответствии с РД АС. Ссылка на РД АС.

Знакомство с Разрешительной системой доступа

Я придумал нечто следующее (пример РСД), на основе её будем настраивать систему и СЗИ от НСД. Из документа мы получаем всё необходимое: 

• Наименование всех учётных записей, которые должны быть на ПК, а также их роли.

• Перечень информационных ресурсов, их расположение, их гриф.

• Перечень разрешенного оборудования, участвующего в обработке информации.

• Матрицу доступа, содержащую подробную информацию, какой пользователь, к какому информационному ресурсу/оборудованию, под каким грифом имеет доступ.

Настройка системы и администрирование СЗИ от НСД

Пришло время настроить нашу систему согласно исходным данным. Рекомендованный порядок настройки СЗИ от НСД такой:

1. Настройка самого СЗИ от НСД

2. Настройка пользователей

3. Настройка ресурсов

4. Настройка приложений

Начнём с СЗИ от НСД Secret Net Studio. Вот рекомендации по настройке.

Настройка самого СЗИ от НСД

Заходим в «Локальный центр управления»

Кратко по меню:

• Если горит зеленый квадратик, то всё работает хорошо. 

• Если серый, то модуль отключен. 

• Если красный, произошли изменения которые необходимо подтвердить администратору. Или же произошёл сбой.

В меню «Настройки» можно задать нужные параметры с помощью шаблонов или ручками. Если вы не знаете, какие параметры выставлять, рекомендую изучить «Рекомендации по настройке СЗИ от НСД» Dallas Lock. Это руководство от другой СЗИ, но основные параметры одинаковые, так что заострять внимание на этом не будем, упомянем только основное.

В «Базовая защита» это:

В других СЗИ от НСД, требования парольной политики по содержанию символов настраивается более гибко, тут же, только вот этим параметром.

В «Локальная защита» это:

Создадим необходимый перечень мандатных уровней:

В данной СЗИ от НСД менее трёх быть не может. Вы же поняли, почему?

Не включайте сразу параметр «Контроль потоков включен» он включается в самый последний момент, когда уже всё настроено.

В «Контроль устройств» рекомендуется отключить все, что не используется в обработке информации. USB-устройства — разрешаете подключение для конкретных, и потом для родительского объекта запрещаете подключение, чтобы кроме разрешенного пользователи ничего подключить не смогли.

В «Контроль печати» нужно добавить принтер, МФУ, на котором будете печатать, и с помощью шестеренки разрешить доступ «Все», после чего выбрать «Настройка по умолчанию» и для него уже запретить «Все».

Настройка пользователей

В Secret Net Studio есть свой аналог меню по созданию учетных записей – «Управление параметрами безопасности пользователей». Создаём учетные записи в соответствии с разрешительной системой доступа: 

Важно помнить, что колонку «Имя» изменить уже не получится. А всё остальное можно. В меню «Параметры безопасности» выставляем уровень допуска и выбираем то, что он может делать с грифованными данными. «Управление категориями конфиденциальности» должен быть только у администратора.

Настройка ресурсов

Следующий шаг – создать информационные ресурсы. В разрешительной системе доступа указываются и их наименования и их расположение. Делаем как в документе.

Ресурсы мы создали, а теперь нужно настроить дискреционные и мандатные полномочия пользователей на этих каталогах, как в матрице доступа, находящейся в РСД. Заходим в «Свойства» каталога Документы, далее во вкладку «Secret Net Studio» и настраиваем мандатный уровень для папки. Суть этого разделения в том, что мы можем контролировать, под каким уровнем мандатной сессии пользователи смогут открыть её. Так как у нас в папке «Документы» находятся папки разных грифов, то на самой папке мы ставим самый меньший уровень. А вот на папке «Конфиденциально» и «Не_конфиденциально» ставим нужные уровни.

Дискреционное разграничение определяет права доступа пользователей к каталогам, то есть кто и куда может зайти. Если оставить галку «Наследовать настройки доступа от родительского объекта», то папка примет настройки от родительского объекта. 

Важно, в данной СЗИ от НСД при настройке каждого каталога необходимо добавлять администратора, иначе он не сможет настраивать эту папку.

Для папки «Документы» это диск C:\, а для других, что внутри этой папки – сама папка «Документы». Снимаем галку, и ставим всё как матрице доступа разрешительной системы доступа. По правам для пользователей для родительского объекта ставим разрешить «Чтение» «Запись» «Выполнение», запрещаем «Удаление» и «Изменение прав доступа». Правами на изменение прав доступа обладает только администратор. 

По поводу удаления: так как у нас регламентированы папки, которые должны быть в папке «Документы» («Конфиденциально» и «Не_конфиденциально») то удалять их нельзя, но в самих уже этих папках можно свободно действовать.

В каталогах на USB-устройствах настроить в большинстве случаев можно только дискреционное разграничение, так как для мандатного разграничения может не соответствовать файловая система.

Настройка приложений

Самый трудоёмкий пункт. Для настройки работы приложений в ненулевой сессии администратору необходимо настроить «Подсистема полномочного управления доступом». Для этого выполните во вкладке «Автоматически» процесс настройки «По умолчанию» После чего можно настроить все приложения.

Суть в том, что для каждого приложения, чтобы оно работало в ненулевых мандатных сессиях (например, «Конфиденциально») необходимо сделать разделяемой папку, содержащую временные файлы этого приложения. Для большинства популярных приложений есть шаблоны программ, доступные на вкладке «Программы».

Если там нет, добавьте вручную. Для этого в вкладке «Вручную» -> «Общие» -> «Перенаправления» необходимо добавить пути до этих каталогов. Для этого в папке пользователя «AppData» -> Local, Roaming, LocalLow необходимо скопировать адрес до папки приложения. 

И вставить в новое правило. Чтобы правило работало для ещё не существующих пользователей, удалите ту часть, которая указывает на папку конкретного пользователя: 

После того, как настроите все необходимые приложения, вернитесь в «Локальный центр управления» и включите

После чего нужно перезагрузиться.

После перезагрузки при попытке войти под пользователем после ввода логина и пароля система спросит, под какой сессией вы хотите зайти. Зайдите под пользователем, чтобы проверить, что все приложения работают как надо, все папки открываются.

FAQ

Если система зависает на этом моменте и бесконечно грузится, жмите Ctrl+Shift+Esc. Вы пропустите проверку системы, компьютер будет заблокирован для всех, кроме администраторов. После исправления ошибок в локальном центре проведите проверку функционального контроля/

Dallas Lock 8.0-C

Настройка самого СЗИ от НСД

В меню «Параметры безопасности» можно задать нужные настройки с помощью шаблонов или ручками. Если вы не знаете, какие параметры выставлять, рекомендую изучить «Рекомендации по настройке СЗИ от НСД Dallas Lock». Заострять внимание на этом документе не будем, упомянем только основное.

Во вкладке «Мандатный доступ» установим всё как в нашем примере РСД 

Во вкладке «Контроль целостности «Программно-аппаратной среды»» выставляются алгоритмы и рассчитываются контрольные суммы в самом конце.

Контроль устройств находится в «Контроль ресурсов» «Устройства». Оставляем не запрещённым только то, что участвует в обработке данных.

Настройка пользователей

Добавляются пользователи во вкладке «Учетные записи», если учетная запись уже создана в системе, можно нажать на лупу и выбрать её. Поля заполнятся автоматически.

У каждой учетной записи не забывайте выставить «Мандатный доступ» в соответствии с РСД . 

Важно! У обычных пользователей должна стоять галка «Запретить работу при нарушении целостности», у администратора этой галки стоять не должно. О том, что означает этот функционал, поговорим позже. Также не забывайте, что поле “Логин” изменить нельзя, а все остальные поля можно.

Настройка ресурсов

Настраиваются с помощью вкладки «Права доступа». Всё делается так же, как и с предыдущей СЗИ от НСД. Настраивается «Дискреционное разграничение» (какая учетная запись имеет доступ в какую папку) и «Мандатное разграничение» (под какой сессией пользователи смогут зайти в папку). 

У пользователей выставляется стандартное «чтение», «запись», «выполнение», остальное в запрет на родительский объект. На дочерние, которые находятся внутри папки «Документы», выставляется в соответствии с РСД, то есть разрешается ещё удаление.

Важное различие между предыдущей СЗИ от НСД в плане дискреционного доступа заключается в том, что если в Secret Net Studio мы задаём, какие учетные записи будут иметь доступ и обязательно добавляем администратора, то в этой программе добавлять администратора не нужно, а все остальные пользователи по умолчанию контролируются сущностью «Все».

Каталоги на USB носителях настраиваются как обычные папки на компьютере.

Настройка приложений

Вот тут дела обстоят абсолютно по-другому, если сравнивать с предыдущей СЗИ от НСД.

Чтобы настроить приложения, которые будут запускаться под уровнем сессии выше нулевой, администратору необходимо сначала зайти под каждым пользователем по разу (а лучше по два) и запустить каждое используемое в обработке информации программное обеспечение. После чего зайти под администратором, и выполнить настройку шаблоном мандатного доступа (для тех, у которых имеется). 

Находится во вкладке «Конфигурация» 

А для тех, у которых этого нет, необходимо зайти в папку AppData каждого пользователя. После запуска приложения создадут в папке свои каталоги для временных файлов, ищем их. Когда нашли, делаем эти каталоги разделяемыми: 

После настройки, зайдите под пользователем и проверьте, что всё работает.

Если всё хорошо, заходим под администратором и настраиваем контрольные суммы 

После выбора алгоритма для расчета, нажмите кнопку “Пересчитать”. Система рассчитает уникальные значения для всего, для чего установлен алгоритм, и будет проверять их на моменте ввода логина и пароля. Если эти суммы на момент ввода логина и пароля не совпадут с теми, что были на момент пересчёта, то компьютер будет заблокирован, и вход будет разрешен только тем учетным записям, у которых не стоит галка «Запретить работу при нарушении целостности». 

Пример: на момент нажатия кнопки «пересчитать» у вас был подключен принтер. Смотрим по параметрам, «Контроль целостности прогр. апп.среды (Принтеры)», для параметра рассчитаны суммы. После перезагрузки компьютера принтер сгорает и после ввода логина/пароля от учетной записи, когда система начнёт сравнивать текущие значения в эталонными, они не совпадут, так как на момент расчёта принтер был. Компьютер заблокирован.

Возможные неисправности после настройки

Не печатает принтер – удалите из контроля папку «spool\PRINTERS», данная ошибка возникает из за неправильного шаблона Adobe Reader, разработчики никак починить не могут этот баг

Нарушение контроля программно-аппаратной среды (чего-то конкретно) – Зайти под администратором и пересчитать. Описано в настройках приложений.

Спасибо за внимание! Ваш Cloud4Y.

Что ещё интересного есть в блоге Cloud4Y

→ Спортивные часы Garmin: изучаем GarminOS и её ВМ MonkeyC

→ NAS за шапку сухарей

→ Взлом Hyundai Tucson, часть 1, часть 2

→ Взламываем «умную» зубную щётку

→ 50 самых интересных клавиатур из частной коллекции

В состав компонентов SNS, используемых
для локального управления, входят
следующие программные средства:

• значок
  Secret Net Studio в области
  трея Windows;

• дополнительная
  вкладка «Secret Net Studio» в диалоговом
  окне настройки свойств ресурса (файла,
  папки или устройства);

• программа
  настройки подсистемы полномочного
  управления доступом;

• диалоговое
  окно «Управление Secret Net Studio» в
  Панели управления Windows;

• программа
  «Локальный центр управления»
  (устанавливается в составе клиента
  Secret Net Studio);

• программа
  управления пользователями (для настройки
  параметров локальных пользователей);

• программа
  «Контроль программ и данных» в
  локальном режиме работы;

• дополнительные
  программные средства, описание работы
  с которыми приводится в руководстве
  администратора.

К локальным журналам относятся журнал
Secret Net Studio и штатные журналы ОС Windows
(журнал приложений, системный журнал и
журнал безопасности). Программа «Локальный
центр управления» позволяет
просматривать хранящиеся на компьютере
штатные журналы Windows и журнал SNS. Последний
может просматриваться только средствами
Secret Net Studio.

1. Откройте консоль ВМ StartSNS и авторизуйтесь
   в гостевой ОС под учетной записью
   администратора «adminsns».

2. Откройте программу управления в
   локальном режиме: «Пуск / Все программы
   / Код Безопасности / Secret Net Studio / Локальный
   центр управления». Откроется окно
   центра управления в автономном режиме.

Рис 5. Окно центра управления

1. На панели управления «Компьютер»
   выберите вкладку «Настройки». В
   левой части окна вы увидите список
   настроек по разделам. В разделе «Политики
   / Базовая защита» выберите группу
   параметров «Вход в систему». В
   центральной части окна вы увидите
   текущие параметры выбранной группы.

Рис 6. Текущие параметры настроек

1. Для политик группы «Вход в систему»
   установите следующие значения:

• «Максимальный
  период неактивности до блокировки
  экрана» – 15 минут (настройка применяется
  после следующего входа в систему);

• «Запрет
  вторичного входа в систему» –
  «Включить» (для применения данной
  настройки необходима перезагрузка
  компьютера);

• «Реакция
  на изъятие идентификатора» – оставьте
  значение по умолчанию «Не блокировать»;

• «Количество
  неудачных попыток аутентификации»
  – 5 (настройка применяется после
  следующего входа в систему);

• «Режим
  идентификации пользователя» – «По
  имени» (настройка применяется после
  следующего входа в систему);

• Режим
  аутентификации пользователя» –
  «Стандартная аутентификация»
  (изменение настройки применяется после
  следующего входа в систему).

1. Настройте
   регистрацию событий, относящихся к
   работе политик группы «Вход в систему».
   Для этого:

• в
  правой части заголовка группы нажмите
  ссылку «Аудит». Обратите внимание,
  что в левой части окна теперь выбрана
  группа «Вход в систему» раздела
  «Регистрация событий», а в центральной
  части отображаются настройки этой
  группы;

Рис 7. Настройка регистрации событий

• по
  умолчанию включена регистрация всех
  событий. С помощью значка
  

  ознакомьтесь с описаниями событий. В
  рамках данной лабораторной работы не
  выключайте регистрацию событий.

1. В левой части окна в категории «Политики
   / Базовая защита» выберите группу
   «Журнал». Установите следующие
   параметры:

• «Максимальный
  размер журнала системы защиты» –
  4096 Кб;

• «Политика
  перезаписи событий» – «Затирать
  события по мере необходимости».

Рис 8. Установка параметров журнала

1. В категории «Политики / Базовая
   защита» выберите группу «Теневое
   копирование». Установите следующие
   параметры:

• «Размер
  хранилища» – 15 %;

• «Автоматически
  перезаписывать старые данные…» –
  убедитесь, что в данном поле установлен
  флажок.

Рис 9. Установка параметров теневого
копирования.

1. Используя описание п. 7 данной лабораторной
   работы, просмотрите перечень типов
   регистрируемых событий группы «Теневое
   копирование».

Рис 10. Регистрируемые события группы
«Теневое копирование»

1. Чтобы активировать новые установленные
   значения параметров политик безопасности
   на вкладке «Настройки», нажмите
   кнопку «Применить»
   
   .
   Дождитесь завершения операции сохранения
   изменений и обратите внимание на
   появившуюся запись об изменении политик
   в панели событий. Перезагрузите ВМ
   StartSNS и вновь запустите программу
   управления.

2. Просмотрите содержимое локальных
   журналов в программе управления Secret
   Net Studio. Для этого:

• в
  окне программы управления Secret Net Studio в
  панели навигации выберите «Журналы»
  
  .
  Вы увидите перечень доступных для
  просмотра локальных журналов;

Рис 11. Перечень доступных для просмотра
локальных журналов

• для
  того чтобы просмотреть полное содержимое
  любого из журналов, достаточно выбрать
  его двойным щелчком мыши. Выберите
  журнал приложений. Обратите внимание,
  что открылась вкладка просмотра записей
  и в правой части окна появились кнопки,
  позволяющие распечатать или сохранить
  журнал в файл на диске;

Рис 12. Содержимое локального журнала

• в
  случае необходимости получить более
  конкретную выборку записей журнала
  можно составить запрос на формирование
  выборки по определенным условиям.
  Нажмите в правой части окна кнопку
  «Запрос»
  

  и в раскрывшейся панели с помощью кнопки
  «Добавить правило» добавьте
  следующие правила: «Дата» –
  «Интервал» – «За последние 24
  часа» и «Агент» – «Содержит»
  – «Secret Net Studio»;

Рис 13. Настройки выборки журнала событий

• нажмите
  кнопку «Применить запрос локально»,
  закройте панель настройки запроса,
  нажав в правой части окна кнопку «Запрос»
  
  ,
  и просмотрите полученный результат;

• подсистема
  запросов позволяет формировать выборки
  по более развернутым условиям, включая
  записи из любых локальных журналов. На
  панели инструментов нажмите кнопку
  «Новый»
  
  ,
  установите произвольные правила
  фильтра, нажмите кнопку «Получить
  журнал» и просмотрите результат;

• последовательно
  просмотрите журналы безопасности и
  Secret Net Studio.

1. Изменены некоторые локальные политики,
   установлен максимальный размер журнала
   системы защиты Secret Net Studio, показана
   возможность выбора регистрируемых в
   нем событий и в программе управления
   SNS проведен просмотр локальных журналов.

Вывод: приобретены практические навыки
инсталляции и настройки программно-аппаратных
средств защиты от НСД к информации,
хранимой в ПЭВМ, инсталляции и настройки
электронных замков.